Daboweb | Seguridad y ayuda informática |

Tal y como podemos leer en el aviso de INTECO-CERT, se ha reportado una vulnerabilidad catalogada como crítica en Firefox 16 (recién publicado). Dicho fallo de seguridad podría permitir a un sitio web malicioso conocer las páginas que han visitado sus usuarios, teniendo acceso a la URL así como a sus parámetros.

Dado el impacto de esta vulnerabilidad, se recomienda o bien hacer un «downgrade» a la versión 15.1, o utilizar mientras se solvente un navegador alternativo. (La versión 16 de Firefox ya no está disponible para su descarga).

Debido a la gran cantidad de usuarios que pueden verse afectados, es importante conseguir la máxima difusión posible.

Disponible desde el Nauscopio, una nueva actualización de la lista de filtros anti-publicidad del complemento AdBlock Plus tanto para Chrome como para Firefox.

Maty (@nauscopio) ha eliminado 3 filtros genéricos y 8 redundantes, además de añadir de 40 filtros nuevos. Como siempre, gracias Maty por la gran labor que realiza para que todos podamos navegar de una forma menos intrusiva y segura. (Anuncio original).

• Descarga: http://abp.mozilla-hispano.org/nauscopio/filtros.txt

Información sobre su instalación y dudas

• Nauscopio Scipiorum Archivo “hosts” nauscópico para combatir publicidad, páginas peligrosas, spam, etc
• Nauscopio Scipiorum Adblock Plus Pop-up Addon y lista de filtros antipublicidad (AdBlock) nauscópicos para Firefox
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en navegadores Gecko
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en Google Chrome
• Mozilla Hispano AdBlock Plus: Filtros nauscópicos antipublicidad

Siguen los problemas para Oracle y Java, incluidos los usuarios que tengan necesidad de usar esta tecnología. El mes pasado, ya nos hicimos eco del fallo grave en Java (con información sobre cómo desactivarlo en todos los navegadores, recordamos que está parcheado). En esta ocasión y según una información publicada en CSO España, la firma Polaca «Security Explorations» alerta sobre un bug que podría afectar a 1.000 millones de usuarios.

La vulnerabilidad estaría localizada en versiones 5, 6 y 7 de Java en plataformas Windows, Mac OS X, GNU/Linux y Solaris por lo que el alcance es importante. Pudiendo derivar según informan, en la ejecución de una app maliciosa consiguiendo privilegios de administrador en el sistema afectado. También se indica que este fallo, es de un impacto mayor que el anterior «0day» y se vuelve a recomendar su desactivación temporal o en caso de necesidad de uso, hasta que Oracle (conocedora ya del problema y que en la ocasión anterior actuó con una inesperada rapidez) lo solvente, no sería aconsejable usar la máquina virtual de Java indiscriminadamente y más aún en entornos no confiables.

Aunque como leemos en Genbeta, sólo ha sido testeada en Windows 7 totalmente parcheado y en su edición de 32 bits, por lo que a falta de una información más concreta, usar el sentido común y extremar las precauciones junto a lo comentado anteriormente, puede ser el mejor de los consejos con los datos que manejamos en este momento.

Tal y como se venía comentando días atrás, Microsoft, dado el grado de exposición en el que quedaban los usuarios de su navegador frente a la vulnerabilidad de la que os informamos hace unos días, ha publicado un parche que para Internet Explorer 7, 8 y 9 que podéis descargar vía Windows Update.

Debido al impacto sobre el sistema, se recomienda actualizar a la mayor brevedad posible caso de usar este navegador ya que hablamos de una vulnerabilidad crítica.

Para más información sobre versiones afectadas y las actualizaciones, recomendamos visitar este enlace de Microsoft (en Inglés)

A través de una información publicada por INTECO-CERT, (catalogada como «crítica») nos hacemos eco de una vulnerabilidad denominada «0Day» al ser un fallo explotado no conocido y la ausencia de un parche aún por parte del fabricante (Microsoft).

Hablamos de un un fallo en el navegador Internet Explorer, versiones 7, 8 y 9 que está siendo explotado ya  por atacantes con sólo visitar una página debidamente manipulada para tal fin, redirigiendo al usuario hacia sitios maliciosos.

Debido al impacto en el sistema de dicha vulnerabilidad, se recomienda temporalmente hasta que se proporcione una solución, el uso de un navegador alternativo. En «SpamLoco», han hecho una buena recopilación de información sobre el bug, incluyendo una demo realizada en el popular «framework» Metasploit.

Actualización: Información sobre el bug por Microsoft (ENG).

Aún sin los datos necesarios para conocer otras vías de mitigación del alcance de esta vulnerabilidad, se recomienda desactivar Java en todos los navegadores de forma urgente (info en Security By Default).

El motivo es que se ha descubierto un grave agujero de seguridad para el que Oracle aún no ha proporcionado un parche y cuyo código está al alcance de cualquiera con las consecuencias que este hecho conlleva. Si a esto le sumamos la política de actualización (cada 4 meses) que aplica Oracle a sus productos, la situación es preocupante.

Más información en Hispasec | En Ontinet Blog.

Disponible desde el Nauscopio, una nueva actualización de la lista de filtros anti-publicidad del complemento AdBlock Plus tanto para Chrome como para Firefox.

Maty ha añadido 12 nuevos filtros, cabe destacar como siempre la gran labor que realiza para que todos podamos navegar de una forma más segura.

• Descarga: http://abp.mozilla-hispano.org/nauscopio/filtros.txt

Información sobre su instalación y dudas

• Nauscopio Scipiorum Archivo “hosts” nauscópico para combatir publicidad, páginas peligrosas, spam, etc
• Nauscopio Scipiorum Adblock Plus Pop-up Addon y lista de filtros antipublicidad (AdBlock) nauscópicos para Firefox
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en navegadores Gecko
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en Google Chrome
• Mozilla Hispano AdBlock Plus: Filtros nauscópicos antipublicidad

Se ha liberado una nueva actualización de la versión estable de Firefox, en concreto la 13.0.1 que pasa a ser la primera revisión en esta versión del navegador de la Fundación Mozilla. A estas alturas la mayoría ya deberían de haber recibido la actualización mediante el actualizador del propio navegador (siempre que tengamos activada la opción) y si no siempre podemos forzar la actualización desde Ayuda – Buscar actualizaciones.

Esta actualización corrige vulnerabilidades con el idioma hebreo, Windows Messenger y Flash. Además incluye un buen número de mejoras. Es muy recomendable actualizar a la mayor brevedad posible.

Lista de cambios (ENG) y descarga.

A sabiendas de que es posible que ya hayas actualizado tu versión de Mozilla Firefox a la «12» desde el propio navegador, no está de más recordar que está nueva versión solventa múltiples vulnerabilidades y es más que recomendable su inmediata actualización.

Lista de cambios (ENG) y descarga.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Febrero de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Febrero 2012;

• 29: En Intypedia. Nuevo vídeo, lección 13. Seguridad en DNS
• 26: Aprende esperanto en GNU/Linux
• 25: El futuro de SMF
• 24: HijackThis es Open Source
• 19: Ubuntu Lucid Lynx 10.04.4
• 18: [Breves] Mozilla Firefox 10.0.2 solventa vulnerabilidad crítica
• 15: Actualizaciones de Microsoft Febrero de 2012
• 15: [Breves] Actualización crítica de seguridad para Firefox 10.0.1 Thunderbird 10.0.1 y SeaMonkey 2.7.1
• 12: Comprueba si el password de tu Router ADSL es visible vía web
• 07: Canonical “se deshace” de Kubuntu
• 07: Liberado Kernel Linux 3.2.5
• 03: Joomla! 2.5.1 y 1.7.5, actualizaciones de seguridad
• 02: Publicado en Daboweb, Enero de 2012
• 02: Drupal 7.11, 7.12, 6.23 y 6.24 actualización de seguridad

Pocos días después del lanzamiento de la versión 10.0.1, según leemos en INTECO -CERT, Mozilla ha liberado la versión 10.0.2 de su navegador Firefox. Dicha release, solventa una vulnerabilidad catalogada como crítica (MFSA 2012-11. Un «integrer overflow en libpng), así como otros problemas con «applets» de Java. Podéis actualizar directamente desde el propio navegador.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Enero de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Enero 2012;

• 31: Problema de seguridad en sudo
• 26: Herramientas para la interpretación de capturas de red. (9/10) Parte 2
• 26: Navegador web Opera (11.61) solventa dos bugs, uno de ellos catalogados como crítico.
• 25: [Breves] Kernel linux-3.2.x soporta conector midi UM-ONE
• 25: Joomla! 2.5.0 y 1.7.4 actualizaciones de seguridad
• 24: [Breves] Actualización en Kernel de Ubuntu 10.10 solventa 3 vulnerabilidades.
• 23: Vulnerabilidades en Apache Tomcat 5, 6 y 7
• 22: Vulnerabilidades severas en phpMyAdmin. Debian Security (DSA-2391-1).
• 20: El FBI cierra Megaupload
• 19: Sobre la responsabilidad de la (IN) Seguridad. Interesante reparto / repaso
• 18: Contra la Ley #SOPA y en defensa de nuestros Derechos y Libertades Civiles
• 17: LibreOffice 3.4.5
• 17: Vulnerabilidades severas en Linux Kernel para Debian (DSA-2389-1).
• 16: Herramientas para la interpretación de capturas de red. (9/10) Parte 1
• 15: Comprueba vía web si tu equipo está afectado por “DNSChanger”.
• 12: Actualizaciones de Adobe Acrobat X y Reader X solucionan graves vulnerabilidades
• 11: Actualizaciones de Microsoft Enero de 2012
• 10: En Intypedia. Nuevo vídeo, lección 12. Seguridad en redes WiFi
• 03: [Breves] Disponible WordPress 3.3.1. Actualización de seguridad
• 02: Foros phpBB 3.0.10, versión de mantenimiento
• 02: Fallos de seguridad en WhatsApp
• 02: Contenidos publicados en Daboweb. Diciembre 2011

Según podemos leer en H-Online, (ENG) el equipo de Opera ha liberado la versión 11.61 de su navegador web. Se han solventado dos vulnerabilidades, siendo una de ellas catalogada de un impacto crítico para el sistema.

Concretamente, un XSS (Cross-site scripting), puede hacer que un atacante pueda traspasar las políticas original de seguridad del software, comprometiendo su integridad. El segundo fallo, catalogado como «leve», puede hacer que páginas remotas detecten ficheros locales en el sistema del usuario. Hay acualizaciones para Windows, Mac OS X, GNU/Linux, FreeBSD y Solaris. Descargas.

Según podemos leer en Hispasec, se ha detectado un  fallo de seguridad en el navegador web del popular sistema operativo de móviles y tablets Android. Esta vulnerabilidad permite a un atacante, mediante una web especialmente diseñada, conseguir que esta contenga el certificado de seguridad de otra que se pretende suplantar, con lo que de este modo verá un certificado aparentemente seguro y confiará en el sitio web malicioso. Este fallo afecta a la version  2.3.3 de Android, aunque no se descarta que pueda encontrarse en otras también.
Desde varias webs especializadas en seguridad informática se ha calificado este fallo como de bajo riesgo, pero mas vale ser precavidos a la hora de navegar por la red. En este link tenéis mas información detallada y unas cuantas capturas de pantalla al respecto de este fallo.

En este caso, hay que decir eso de «la velocidad sí importa». Después de haber probado la versión final de Firefox 9 y aún sin estar disponible en los canales habituales de actualización (como siempre gracias a la info del amigo Gespadas), o desde el aviso de nueva versión del navegador, paso a paso se va llegando a un mayor rendimiento.

Ciertamente no es todavía el anunciado por Mozilla, o el esperado por su comunidad de usuarios frente al avance de Google Chrome, pero con estás ultimas entregas de Firefox se están notando mejoras importantes en el renderizado y rendimiento de su motor de Javascript, además de un menor consumo de memoria con múltiples pestañas abiertas.

Descargas para; Windows, GNU/Linux 32 y 64 bits y Mac OS X. | + Info ampliada.