Daboweb | Seguridad y ayuda informática |

(Actualizado a día 2 de Abril, uno después del «April Fool’s Day», día de los inocentes en muchos paises Anglosajones, como avisé en el cuerpo del post y en el pie, «parecía que escribía esto el día de los inocentes», jggube, el autor de la reseña comenta en su Twitter «Happy March fool’s day» xDD. Si, se adelantó un día y la noticia salió en Digg, Slashdot, etc, etc y claro, no íbamos a ser menos -;). «Era demasiado «Cool for IE»…»

Parece que Microsoft se ha dado cuenta, tal y como os comentamos hace unos días, de que para estar hoy en día en lo más alto de la escala de los navegadores web, tenían que mejorar y mucho.

La futura versión de Internet Explorer que se prevee estará lista para este verano incorpora novedades realmente sorprendentes viniendo de un navegador que, siempre ha estado por detrás del resto en el respeto por los estándares web y la correcta visualización de muchos sitios web.

Lo que personalmente más me ha sorprendido es el anuncio de soportará extensiones de Firefox ¿?, incluso, comentan sobre las 4 probadas (Firebug, Web Developer, Tab Mix Plus y No-Script) que alguna funciona mejor que en el propio Firefox ¿?. Me vais a perdonar mi escepticismo con Microsoft, pero hasta que no lo compruebe me costará creerlo, aunque todo indica que será así.

Otro tema preocupante era la pobre puntuación en el ACID3 Test de IE8 frente al resto de navegadores, 20/100, un resultado nefasto, pues bien, anuncian un 71/100 en la futura versión 8.1, al nivel por ejemplo de Firefox 3.0.8. Esto le situaría ya a otro nivel hablando de como se verán muchas páginas que con la versión actual, distan mucho de verse tal haciendo caso omiso a los estándares y pautas que marca el W3C.

Pero además, anuncian importantes mejoras en la seguridad y lo atractivo que será su uso para desarrolladores web, incorpora múltiples motores de renderizado (no, hoy no es 28 de Diciembre -;), se sacan de la manga en conjunción con el equipo de Google Chrome, haciendo un frente común contra Firefox, Safari, etc, un nuevo motor de Javascript llamado “JSE” que según informan, está muy por encima del resto… (Los navegadores hacen extraños compañeros de cama)

Todas estas mejoras de la versión 8.1 caso de llegar a implantarse, harán que más de uno pueda pensar en Internet Explorer como una opción válida y sobre todo, más seria además de acorde a las exigencias actuales aunque…podéis estar tranquilos porque si Safari 4 Beta está dando muchas alegrías a sus usuarios, el futuro Firefox 3.1 también vendrá plagado de mejoras.

El guante está lanzado, habrá que ver como lo recogen los adversarios y si realmente el rival es tan fiero como lo pintan, no vaya a ser que al conejo se lo coma el zorro -;).

Por David Hernández (Dabo)

Fuente Smashing Magazine (ENG) | Visto en Slashdot (ENG)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticia

Aviso a navegantes. Hoy día 1 de abril es el día de los inocentes (April Fool’s Day) en algunos paises como EEUU o UK, pese a que las fuentes de la noticia están publicadas el día 31. ¿Nos lo creemos?

Como muchos sabréis, Internet Explorer 8 ya está en la sección de descargas de Microsoft desde hace unos días. Después de más de un año en estado “Beta”, ya se puede usar como una versión estable.

¿Qué podemos esperar de IE8 hablando de seguridad? Esta nueva entrega del veterano Explorer viene con muchas novedades para el usuario final, algunas serán muy apreciadas por usuarios sin mucha experiencia en Internet, otras creo que no tanto por usuarios más avanzados. Siempre es una buena noticia que el navegador que ahora mismo goza de la mayor cuota de mercado (espero y sé que no por mucho tiempo) sea más seguro, más que nada porque eso redunda en beneficios para todos, los que usan productos de Microsoft y los que no los usamos habitualmente.

Seguridad en IE8

Microsoft ha llamado “Navegación privada” (InPrivate) a lo que coloquialmente se está denominando “Modo porno”, que no es otra cosa que un modo de navegación en el que una vez se finaliza la sesión, no queda registrado en el equipo nada de los lugares en los que hemos estado navegando, tampoco se almacenan cookies, contraseñas guardadas ni quedará ningún dato registrado en el historial del navegador o formularios de búsqueda o de entrada de datos.

Para ser justos, esto además de para usuarios que naveguen habitualmente por webs de contenido pornográfico, puede ser muy útil en equipos compartidos, ciber cafés, etc. Eso si, nada que no se puede hacer con otro navegador como Chrome de Google, Safari de Apple o incluso en el próximo Firefox 3.1, en versiones actuales de Firefox con alguna extensión y pequeños cambios se puede hacer mucho en pro de mejorar la privacidad, sólo que aquí lo consiguen con un click de ratón abriendo una nueva pestaña que ejecuta esa nueva sesión de navegación como un proceso del sistema aparte, al más puro estilo Chrome, aunque por defecto, según he podido comprobar, no viene activado.

Como apunte simplemente comentar que eso de la «navegación privada» le ha provocado a más de un navegador un disgusto, como ejemplo el caso de Safari y que nadie se olvide que si bien una vez que ha finalizado la sesión de navegación no quedarán en teoría rastros de por donde se ha estado, mientras se esté llevando a cabo esa sesión de navegación, el equipo y navegador es sensible a cualquiera de los múltiples ataques que se pueden dar vía web.

Un dato curioso, Unas horas después de salir a la luz, el navegador de Microsoft ya fue hackeado en el concurso PWN2OWN, también cayeron Safari y Firefox y sólo Google Chrome aguantó el envite. De todas formas en estas pruebas ya se tiene bien estudiada la vulnerabilidad a explotar y que haya sido en unos minutos es meramente anecdótico, porque la preparación igual se ha llevado a cabo desde hace meses en las que IE8 era una versión «beta». Ahora bien, buena publicidad y buen comienzo no es desde luego…

Otra de las novedades hablando de seguridad es su filtro anti-malware “SmartScreen”, funciona de un modo parecido al “Safe Search “ de Google con el cual se avisa a los usuarios de los lugares potencialmente peligrosos para sus equipos, según informan desde Microsoft evita la instalación inadvertida de código o algún programa que ellos consideren malintencionado o que pueda comprometer de algún modo la seguridad de tu sistema.

Lógicamente, esto no puede ser considerado como un antivirus integrado en el navegador, por lo que os seguiremos recomendando hablando de Windows, el uso de uno de ellos además de un firewall y una solución anti-spyware. Otro tema puede ser la consideración de lo que para Microsoft puede ser peligroso por lo que si fuera tu, yo me cuidaría muy mucho de ver como funciona ese filtro…

Protección contra ataques XSS. Es el nuevo filtro de scripts malintencionados de Internet Explorer 8. Una nueva característica para detectar y bloquear código malicioso en webs manipuladas para tal fin y con este filtro, se pretende combatir el robo de sesiones de navegación y cookies del usuario en busca de una navegación más segura.

Algo que los usuarios de Firefox y derivados ya usamos hace mucho tiempo con la extensión “noscript” (con muy buenos resultados por cierto pero tampoco es infalible, ojo).

Incorpora también una protección anti-phising que a mi modo de ver se queda (muy) corta y que lo que hace es simplemente resaltar el dominio principal en negrita para que el usuario vea que corresponde a un dominio legítimo (un punto que daría mucho que hablar). Esta de por si no es una mala medida, pero no sé que les hubiera costado hacer lo mismo con dominios que empiecen con «https» (conexión segura) yendo un poco más allá del típico candado y seguro que si lo resaltan de la misma forma la gente lo asociaría de un modo más fácil.

Para acabar, si usas Windows Vista Service Pack 1, Microsoft anuncia otra protección más por medio de la prevención de ejecución de datos (DEP), una forma de intentar proteger la ejecución de código malicioso en memoria.

He probado IE8 en una máquina virtual bajo Debian GNU/Linux en la que corría un Windows XP y se hace hasta raro que sea tan fácil y accesible su desinstalación, cosa que he hecho nada más acabar de probarlo. En el momento de escribir esta entrada, acabo de ver un post publicado por nuestros amigos de Blogoff sobre Explorer 8 donde podréis informaros con detalle de otras funcionalidades que a mi sinceramente me parecen un cúmulo de «come-recursos», como esa forma de querer reinventar las RSS (los slides) o los aceleradores.

Del cacareado respeto a los estándares web de IE8 nada de nada, estrepitoso fracaso en el Acid3 Test por lo que este navegador seguirá siendo el más odiado entre los desarrolladores web y con toda la razón del mundo ya que Microsoft sólo trabaja con un estándar, el de Microsoft.

Algunos resultados del test ACID3 (podéis probar).

100/100 Chrome 2.0.169.1 Beta
100/100 Epiphany 2.24 (Webkit)
100/100 Midori (Webkit)
100/100 Opera 10 Alpha
100/100 Safari 4 Beta (Webkit)
71/100  Epiphany 2.24 (Gecko)
85/100  Konqueror 4.2
85/100  Opera 9.64
79/100  Google Chrome 1.0.154.48
75/100  Safari 3.1
71/100  Firefox 3.0.7
71/100  Songbird 1.1.1
71/100  Flock 2.0.3
53/100  K-Meleon 1.5.2
20/100  Internet Explorer 8.0.6001.18372
12/100  Internet Explorer 7

Apuntar que esta prueba no es oficial del W3C, pero se basa en 100 test que buscan la máxima compatibilidad con sus estándares, desde la interpretación del código HTML, CSS, pasando por el renderizado, DOM, etc, etc.

En definitiva, Internet Explorer 8 es un navegador más seguro que sus anteriores versiones, pero creo que dista mucho de ser un navegador recomendable a nivel general habiendo otras versiones que cumplen mejor su cometido. Será por opciones…

(Nota del editor, considérese esta entrada como una apreciación personal y subjetiva de alguien que nunca ha visto con buenos ojos a este navegador y que lo ha probado pero no con la suficiente profundidad ya que más de una hora con IE me produce espasmos y convulsiones -;)

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Se han reportado varias vulnerabilidades en el navegador Safari de Apple que afectan a sistemas Windows Vista y XP.

Ya está disponible la versión 3.2.2 de Safari que solventa dichos bugs desde el actualizador de software de Apple así como del sitio de descargas del navegador.

Estos fallos (ejecución de código arbitrario en feeds / RSS manipulados o Javascript embebidos en los mismos) no afectan a sistemas Mac OS X con el Security Update 2009-001 instalado (publicados los detalles del mismo en Daboweb hace unas horas).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Está ya disponible vía el menú «Actualizacion de software» de vuestros Mac la revisión de seguridad 2009-1 para Mac OS X 10.5.6 y 10.4.11 versiones de escritorio y server.

Dado los fallos que esta actualización de seguridad soluciona, es recomendable su instalación inmediata para estar protegidos ante una posible explotación de los mismos.

Concretamente, se han corregido los siguientes componentes vulnerables del sistema;

AFP Server, Apple Pixlet Video, CarbonCore, CFNetwork, CFNetwork, Certificate Assistant, ClamAV, CoreText, CUPS, DS Tools, fetchmail, Folder Manager, FSEvents, Network Time, Perl, Printing, Python, Remote Apple Events, Safari RSS, SMB, SquirrelMail, X11, XTerm.

También se han liberado sendas actuaciones de Java para las mismas distribuciones que solventan vulnerabilidades en Java Web Start y Java Plug-in que podrían ser sensibles a ataques vía webs especialmente manipuladas para tal fin.

Más info | Zona de descargas de Apple.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Brian Mastenbrook (importante desarrollador de software de código abierto) ha encontrado una vulnerabilidad en Safari, el navegador de Apple.

Dicha vulnerabilidad, ocurre cuando se tratan RSS y ocasiona que un posible sitio malicioso pueda acceder a ficheros  que se encuentran en el disco duro de la víctima.  Esto hace que cualquier fichero este  expuesto ante el ataque.

La versión afectada es la que viene con el Sistema operativo Mac OS 10.5, versiones de anteriores sistemas operativos no se ven afectadas, pero las versiones de Safari para Windows también se ven afectadas.

Mientras Apple desarrolla el parche para esta vulnerabilidad, el propio Brian recomienda realizar los siguientes pasos para evitar problemas:

1- Instalar la aplicación RCDefaultApp, siguiendo las instrucciones.

2- Abrir las Preferencias de Sistema y elegir la opción de Default Applications

3- Elegir la opción URL.

4- En las opciones de feed, feeds y feedsearch seleccionar una aplicación diferente a Safari o deshabilitarla directamente

Este método sólo sirve para usuarios de Mac, para los de windows, se recomienda la utilización de cualquier otro navegador, hasta que esté solucionado el problema

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro.

Se han reportado varias vulnerabilidades en el navegador web Apple Safari que afectan a las versiones para Windows XP, Vista, Mac OS X v10.4.11 y Mac OS X v10.5.5.

Los problemas localizados pueden llevar a la ejecución de código arbitrario, conseguir información sensible del sistema afectado, un cierre inesperado de la aplicación, ataques de denegación de servicio, etc, etc.

Todos estos motivos hacen que actualizar Safari a la nueva versión 3.2, que solventa dichos bugs, sea algo más que necesario si no queréis tener problemas con su uso.

Más info > Página de descarga de Safari | Notas de la nueva versión

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Microsoft recomienda extremar las precauciones al utilizar el navegador web Safari de Apple en sistemas Windows, ya que según informes que se están investigando existe una amenaza mixta que permite la ejecución remota de código en todas las versiones de Windows XP y Windows Vista con este navegador instalado.
Recordemos que Safari no está instalado con Windows XP o Windows Vista por defecto, sino que el usuario debe instalarlo por separado.

Se señala como opción atenuante a este problema cambiar la ubicación predeterminada donde Safari realiza las descargas de contenido en la unidad local.

Desde Microsoft informan que tomarán las medidas adecuadas para proteger a sus clientes, que pueden pasar por incluir una solución a través del proceso de actualización mensual, o un parche fuera del ciclo de actualizaciones de seguridad, dependiendo de las necesidades de los clientes.

Continue reading…

Ha sido liberada la versión 3.1 del navegador web Safari, conviene actualizar lo antes posible ya que corrige diversos fallos de seguridad importantes para el sistema así como fallos en su funcionamiento de diferente importancia tanto en sus versión para Windows XP y Vista como para Mac.
Listado de cambios de esta nueva versión.
Pluggins para Safari Windows.

Apple ha preparado un sitio de descargas para actualizar vuestras versiones tanto en Mac OS X como en Windows Xp y Vista. Descargar Safari 3.1.

Continue reading…