Un bug en el conocido navegador web Safari de Apple, podría permitir la instalación y ejecución de malware simplemente con que un usuario cierre un pop-up proveniente de páginas o correos electrónicos en HTML maliciosos.
Precaución con los mensajes que se abren vía webmail, se recomienda inhabilitar JavaScript excepto para sitios de confianza.
Interesante entrada en el blog de ESET Latinoamérica sobre los peligros que pueden acarrear para el usuario, ciertas URLs cortas (Short-URLs) muy usadas en servicios como puede ser Twitter.
El problema viene dado porque esa URL corta, podría llevarnos a un sitio web dañino sin darnos cuenta, ya que, situando el cursor del ratón sobre el enlace, no se puede ver el destino final del enlace. ¿Cómo paliarlo?
No es una solución definitiva, pero puede ser muy válida para la mayor parte de los casos, los usuarios de Firefox y derivados, pueden instalar la extensión «LongUrlPlease«(válida para Firefox: 2.0 – 3.6). Con este añadido, podremos ver al situar el ratón sobre el link el auténtico destino del mismo, funciona con unos 80 lugares que proporcionan el acortamiento de URLs y es una protección muy efectiva ante este tipo de engaños.
Apple acaba de publicar el lanzamiento de la versión 4.0.5 de su navegador web Safari, esta entrega del software solventa múltiples vulnerabilidades en ColorSync, ImageIO, PubSub y su motor WebKit.
Safari 4.0.5 está disponible para Mac OS X S.Leopard, Leopard, Tiger, Windows Vista y 7 y dado el impacto de los bugs que se han parcheado en esta versión, es más que aconsejable su inmediata actualización. La gran mayoría de fallos corregidos previenen la ejecución arbitraria de código en el sistema afectado, corrupciones de memoria en el navegador o un cierre inesperado.
Además de lo dicho, se mejoran otros aspectos del navegador como pueden ser el funcionamiento de «Top Sites» o la configuración de Safari con algunos routers Linksys.
(Debajo toda la lista de vulnerabilidades corregidas según la info de la lista de correo de «Apple Security»; (ENG)
APPLE-SA-2010-03-11-1 Safari 4.0.5
Safari 4.0.5 is now available and addresses the following:
Apple acaba de liberar la versión 4.0.4 de su navegador web Safari que además de mejoras en el funcionamiento en general del software, solventa varios fallos de seguridad en Safari por lo que su actualización es más que recomendable.
Está disponible para Mac OS X Tiger, Leopard, Snow Leopard y Windows 7, Vista y XP.
Además de dotar de más seguridad al navegador, según informan desde Apple, esta actualización mejora los siguientes aspectos;
Mayor rendimiento de JavaScript
Mayor rendimiento de la búsqueda en el historial completo para usuarios con muchos elementos en el historial
Mayor estabilidad de los módulos de terceras partes, el campo de búsqueda y Yahoo! Mail
Sitio web de descarga de Safari.
Se ha reportado una vulnerabilidad crítica explotable tanto local como remotamente en el navegador web Google Chrome. El fallo viene dado por un error de corrupción de memoria en el motor «v8», en combinación con el procesamiento de ciertas cadenas de números flotantes bajo su implementación «dtoa()».
La explotación de este bug podría llevar a comprometer un sistema vulnerable causando desde el cierre del navegador como mal menor, o la ejecución de código arbitrario dentro de la «sandbox» (Caja de arena, término en informática que se refiere a un sistema de seguridad que se usa para ejecutar la aplicación en un entorno cerrado, si por ejemplo un atacante logra ejecutar código arbitrario, de este modo se protege al sistema de dicho código)
Versiones vulnerables, las anteriores a la 3.0.195.24.
La solución pasa por instalar la versión 3.0.195.24 de Google Chrome. Cómo actualizar Google Chrome.
Como viene siendo habitual, os recomendamos el recopilatorio de entradas publicadas en Daboweb (mes de Septiembre) por si en el día a día de la publicación, alguna que pudiera interesarte se te ha pasado por alto.
Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivos de contenidos publicados).
Se han reportado vulnerabilidades severas en Debian Iceweasel, este navegador como muchos sabréis, es un proyecto derivado de Mozilla Firefox, creado bajo la licencia y filosofía de Debian GNU/Linux.
Concretamente se trata de dos errores, el primero se da en el módulo «FeedWriter» que podría llevar a la ejecución de código Javascript con elevados privilegios en el sistema afectado, el segundo caso de ser explotado podría provocar un cross-site scripting por un mal funcionamiento de la interfaz del plugin «MozSearch».
En la versión actual estable de Debian (lenny, 5.0) los problemas se solventan actualizando a la versión 3-0-6-3, en la versión inestable (Sid), Debian pone a disposición de los usuarios la versión 3.0.14-1 y en la rama experimental, dichos bugs se han solventado con la versión 3.5.3.1.
Recordar también a los usuarios de la antigua versión estable (Etch, 4.0), etiquetada como «oldstable» deberán instalar manualmente cualquiera de las versiones estables, ya que para esta rama de Debian, aunque siguen llegando actualizaciones de seguridad (más bien indicadas para servidores web) regularmente, Iceweasel queda excluido de ellas. En cualquier caso, conviene actualizar a la mayor brevedad posible el navegador.
Fuente Security Focus (ENG).
Por David Hernández (Dabo).
Actualizar el navegador de Google es una tarea bastante sencilla pero la forma de hacerlo puede no resultar demasiado obvia para mucha gente; por este motivo y teniendo en cuenta que cada vez más gente utiliza esta navegador vamos a ver cuan sencillo es actualizarlo en unos simples y cómodos pasos.
Para hacerlo iremos a las opciones del navegador que se encuentran en la parte superior derecha, en un icono con forma de herramienta (
), pinchamos ahí para desplegar el menú y seleccionamos Acerca de Google Chrome (About Google Chrome, en inglés).
Automáticamente el navegador empezará a buscar actualizaciones, mostrará un mensaje mientras lo hace, y a continuación si hay nueva versión disponible nos mostrará el botón (como se ve en la captura) para actualizar. Una vez actualizado solo queda reiniciar el navegador para los cambios surtan efecto.
Y esto es todo, fácil y sencillo, aunque como decía al principio la opción está un poco escondida.
Simon Berry-Byrne, quien descubrió el bug que afectaba a la versión 3.5 (exploit incluido), ha reportado otra vulnerabilidad para la nueva versión 3.5.1 que vio la luz hace unos días y por lo que hemos podido leer, sin solución de momento, el uso de NoScript parece que no lo mitiga por completo.
Mozilla Firefox 3.5.1 es sensible a un ataque remoto por desbordamiento del búfer (unicode data buffer overflow) y la catalogación de «alto riesgo» se la otorga xforce en este caso, las consecuencias podrían ser bien la ejecución arbitraria de código en el sistema afectado o un mal funcionamiento de la aplicación.
Roi Saltzman del IBM Rational Application Security Research Group ha reportado una vulnerabilidad en Google Chrome que afecta a la versión 1.0.154.55 y anteriores considerada como de riesgo moderado.
Este bug podría permitir a atacantes remotos saltarse las restricciones de seguridad y conseguir información sensible del sistema afectado. El falllo es provocado por un error en el tratamiento de «ChromeHTML» URI pudiendo provocar la enumeración de archivos del usuario o listado de sus directorios así como una ejecución arbitraria de código.
Curiosamente al igual que ha sucedido en alguna ocasión con Firefox, la explotación de la vulnerabilidad viene en combinación de la visita a una web maliciosa utilizando Internet Explorer.
La solución pasa por actualizar Google Chrome a la versión 1.0.154.59. Fuente Vulpen | Más info.
Por David Hernández (Dabo).
Se han reportado varias vulnerabilidades en el navegador Safari de Apple que afectan a sistemas Windows Vista y XP.
Ya está disponible la versión 3.2.2 de Safari que solventa dichos bugs desde el actualizador de software de Apple así como del sitio de descargas del navegador.
Estos fallos (ejecución de código arbitrario en feeds / RSS manipulados o Javascript embebidos en los mismos) no afectan a sistemas Mac OS X con el Security Update 2009-001 instalado (publicados los detalles del mismo en Daboweb hace unas horas).
¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias
A continuación exponemos un recopilatorio de algunos de los navegadores web que han actualizado sus versiones a lo largo de las últimas semanas.
Es muy importante disponer de las más recientes actualizaciones de este tipo de programas, para en la medida de lo posible, minimizar las vulnerabilidades y riesgos de seguridad en nuestra navegación por la red.
¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias
Se encuentran disponibles para su descarga las nuevas versiones Firefox 3.0.5 Final y Firefox 2.0.0.19 Final del navegador web de Mozilla.
Estas nuevas actualizaciones vienen a solventar varios fallos de seguridad catálogados como críticos, que afectarían a las versiones anteriores del navegador.
El navegador web Mozilla Firefox está disponible para varios sistemas e idiomas incluido el español. La actualización puede realizarse desde el propio navegador mediante la actualización automática a través del menú Ayuda -> Buscar actualizaciones si no tenéis configurada la detección automática de nuevas versiones, o bien, realizar la descarga manualmente e instalar posteriormente.
A todos aquellos que aún utilizáis la rama 2.x recordaros que Mozilla ya anunció que a mediados de este mes discontinuaría sus actualizaciones, y esta es la última versión, por lo que os recomendamos actualicéis a la rama 3.x
Un error de Firefox podría ser utilizado por un sitio web malicioso para robar datos privados de usuarios. Aviso de seguridad.
La versión para Windows de Firefox 2.0.0.19 fue publicada sin la solución para este problema (otras plataformas fueron correctamente parcheadas). Firefox 2.0.0.20 para sistemas Windows ha sido liberado para corregir esta vulnerabilidad.
Podeis utilizar el mismo enlace de descarga de la versión anterior para realizar la descarga de esta actualización.
¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias
Se han reportado varias vulnerabilidades en el navegador web Apple Safari que afectan a las versiones para Windows XP, Vista, Mac OS X v10.4.11 y Mac OS X v10.5.5.
Los problemas localizados pueden llevar a la ejecución de código arbitrario, conseguir información sensible del sistema afectado, un cierre inesperado de la aplicación, ataques de denegación de servicio, etc, etc.
Todos estos motivos hacen que actualizar Safari a la nueva versión 3.2, que solventa dichos bugs, sea algo más que necesario si no queréis tener problemas con su uso.
Más info > Página de descarga de Safari | Notas de la nueva versión
¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.
Se encuentran disponibles para su descarga las nuevas versiones Firefox 3.0.4 Final y Firefox 2.0.0.18 Final del navegador web de Mozilla.
Estas nuevas actualizaciones vienen a solventar varios fallos de seguridad críticos que afectarían a las versiones anteriores del navegador.
El navegador web Mozilla Firefox está disponible para varios sistemas e idiomas incluido el español. La actualización puede realizarse desde el propio navegador mediante la actualización automática a través del menú Ayuda -> Buscar actualizaciones si no tenéis configurada la detección automática de nuevas versiones, o bien, realizar la descarga manualmente e instalar posteriormente.
¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.
© 2024 Daboweb | Seguridad y ayuda informática | All Rights Reserved.