Daboweb | Seguridad y ayuda informática |

Se encuentran disponibles para su descarga e instalación la versión 3.6.11 y la versión 3.5.14 de Mozilla Firefox, que solventan varios problemas de seguridad de versiones anteriores de este navegador web.

Como siempre, la nueva versión de Firefox, tanto para la rama 3.6 como para la 3.5 se encuentra disponible para Windows, GNU/Linux o Mac OS X y es multi-lenguaje.

|  Notas de la versión 3.6.11. |  Notas de la versión 3.5.14. |

Descarga de Firefox 3.6.11

Descarga de Firefox 3.5.14.

También puedes actualizar Firefox desde el propio navegador a través del menú Ayuda.

Por otro lado, el equipo de desarrollo del cliente de correo de Mozilla acaba de anunciar las nuevas versiones 3.1.5 y 3.0.9 de Thunderbird, que solventan varias vulnerabilidades alguna de ellas clasificada como de alto riesgo para el sistema.

Esta versión está disponible para sistemas Windows, GNU/Linux y Mac OS X y puede descargarse a través del menú “Ayuda” del cliente de correo “Buscar actualizaciones”.

| Notas de la versión 3.1.5 |  Notas de la versión 3.0.9 |

Descargar Thunderbird 3.1.5

Descargar Thunderbird 3.0.9

Os recordamos que podéis consultar nuestro Manual de empleo de Mozilla Thunderbird.

Para hoy Sábado y vía Wwwhat’s New os recomendamos guardar en vuestros marcadores la siguiente url; www.htaccesstools.com. Alguna vez hemos hablado de los ficheros .htaccess y cómo usarlos para aumentar la seguridad de un servidor, web o blog, esta herramienta os ayudará para simplificar los pasos a seguir.

Desde Htaccess Tools podréis generar passwords, hacer redirecciones por lenguaje, bloqueos de IPs maliciosas o definidas por vosotros, reducir el consumo de ancho de banda cuando se usan vuestras imágenes en otras webs (hotlinking), etc.

Todo ello de un modo muy intuitivo y aún estando la información en Inglés, se entiende perfectamente. También cuentan con un foro de ayuda para los temas que tratan en la web.

Publicada una actualización  que corrigen  35 problemas de seguridad en Suse Linux que podrían poner en peligro la seguridad del sistema afectado permitiendo la ejecución remota de código por parte de un atacante. Las versiones afectadas de esta distribución son: SuSE Linux Enterprise Server 9; SuSE Linux Enterprise 10-SP3, 11 y SLE11-SP1; openSUSE 11.1, 11.2 y 11.3. Los responsables de la misma recomiendan una actualización inmedianta con las herramientas administrativas del sistema operativo destinadas a tal fin.

Las vulnerabilidades son (via Hispasec):

* Se ha corregido un desbordamiento de búfer en samba que podría ser aprovechado por un atacante remoto para conseguir ejecutar código arbitrario.

* Se han corregido fallos de desbordamiento de entero en el tratamiento de libgdiplus0 de imágenes tiff, bmp o jpeg específicamente manipuladas.

* Se ha actualizado el motor de navegación libwebkit a la versión 1.2.4 para corregir once problemas de diversa índole.

* Se ha corregido un fallo en bzip2 que podría permitir la ejecución de código arbitrario.

* PHP se ha actualizado a la versión 5.2.14 para corregir 20 vulnerabilidades en OpenSuSE 11.1.

* Por último, se ha corregido un desbordamiento de búfer en Okular al abrir archivos pdf específicamente creados.

El equipo de desarrollo de Joomla acaba de anunciar la inmediata disponibilidad de la versión 1.5.21 liberada con el nombre «senu takaa ama wepulai» que solventa una vulnerabilidad XSS reportada por YGN Ethical Hacker Group.

Dado que es una actualización de seguridad, se recomienda desde Joomla actualizar el software a la mayor brevedad posible para paliar este bug, que afecta a todas las versiones 1.5.x incluyendo la 1.5.20..

Anuncio oficial | Info sobre el XSS

Adobe ha publicado un boletín de seguridad en el que informa que ha actualizado sus productos Adobe Acrobat y Adobe Reader, corrigiendo diversas vulnerabilidades críticas de las versiones anteriores, que podrían permitir a un atacante tomar el control del sistema afectado.

Las nuevas versiones actualizadas son las numeradas como 9.4 y 8.2.5 para Windows, Unix y Macintosh.

Por tanto si utilizas este programa para manipular o ver los archivos pdf en tu equipo, recomendamos actualices a estas nuevas versiones a la mayor brevedad posible.

Acceder al boletin Adobe.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Septiembre de 2010 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Septiembre 2010

• LibreOffice se perfila como el reemplazo de OpenOffice
• Posibles paradas en la web y foro el Martes y Miércoles.
• Stuxnet, un gusano informático que ataca a Irán
• Recordando a FentLinux: primer magazine
• Partido Pirata: nuevo presidente español y descalabro sueco
• Mac OS X Security update 2010-006 solventa grave bug en AFP
• Herramientas para la interpretación de capturas de red. (4/10)
• El Partido Pirata español elige presidente
• Seguridad básica en Daboweb. La pregunta secreta
• Actualizaciones de Microsoft Septiembre 2010
• Civic Commons, un proyecto de software libre para ayuntamientos
• [Breves] Safari 5.0.2 y 4.1.2 solventan 3 vulnerabilidades
• Nuevas versiones de Mozilla Firefox y Thunderbird
• Actualización de seguridad del kernel de SuSE Linux Enterprise 10
• Novedades Apple: iOS 4.1, iOS 4.2 e iTunes 10
• H.264 gana, ¿el fin de la guerra?
• Novedades Apple: Nuevos iPods y Apple TV
• (Publicado) DaboBlog Podcast, número 21. Kernel Panic y Manzanas Traigo.
• Publicado en Daboweb, Julio y Agosto de 2010

La gente de Automattic ha liberado la versión 2.6 de la app de WordPress para dispositivos móviles de Apple; iPhone, iPad y para iPod Touch.

Esta versión incluye mejoras como la posibilidad de grabar vídeo desde la aplicación y publicarlo directamente en el sitio, el autoguardado de borradores o mejoras en el modo de agregar sitios a la aplicación (para los muy bloqueros).

Se puede comprar en la itunes store de apple y para los que posean otros dispositivos diferentes hay igualmente soluciones bajo licencia GPL; para Android, Nokia (beta) y Blackberry.

Fuente: WordPress.org

Info completa: ios wordpress.

Varios responsables de empresas de seguridad informáticas situadas en el «mundo occidental», han apuntado la posibilidad de que el gusano informático de nombre Stuxnet haya sido creado con la complicidad del algún gobierno contrario al régimen islamista deTeheran, ya que en algo mas de un sesenta por ciento de los ordenadores afectados, se ha detectado que radican en ese pais de Oriente Próximo.

Kevin Hogan, directivo de Symantec ha manifestado que «Stuxnet es un prototipo temible y en funcionamiento de una cíber arma que llevará a la creación de una nueva carrera armamentística en el mundo».

Incluso los rumores van mas allá y varios especialistas en seguridad informática apuntan la posibilidad de la central nuclear de Bushehr, primera central de este tipo en el pais, sea el verdadero objetivo de este gusano, lo que podría interpretarse como un intento de dificultar el desarrollo de la energía nuclear en Irán, la cual siempre ha estado bajo sospecha de tratarse en realidad de conseguir armamento de destrucción masiva. No cabe duda de que la informática e Internet son también el campo de batalla donde los Estados también combaten «cuerpo a cuerpo».

Apple pone a disposición de sus usuarios la actualización de seguridad 2010-006 que solventa un bug grave en el servicio AFP (Apple Filing Protocol, válido para dar acceso a carpetas compartidas) mediante el cual un atacante remoto bajo determinadas circunstancias, puede acceder a dichos recursos compartidos con sólo el nombre de usuario sin necesidad de introducir un password.

Recordar que de forma predeterminada, este servicio no está activo y que la actualización es válida para Mac OS X 10.6.4 versión escritorio y servidor, estando disponible a través del menú «actualización de software». Más info en el sitio web de Apple.

Una nueva entrada en nuestra sección de Seguridad Básica para los que empiezan y hoy trataremos un aspecto que en muchas ocasiones va a guardar mucha relación con la seguridad de nuestras contraseñas, que  vimos en la entrada anterior.

Y es que, aun cuando hayamos puesto en práctica las recomendaciones que ya vimos y seleccionado una robusta contraseña…

¿De qué nos va a servir si a través de la pregunta secreta alguien cuenta con la posibilidad de cambiarla y acceder a nuestra cuenta?.

En el tema de hoy vamos a ver una serie de consejos y recomendaciones a tener en cuenta a la hora de decidir la respuesta a la pregunta secreta, que hemos publicado en nuestro otro blog, Basicoyfacil.

Suele ser habitual en muchos registros web, ya sean para acceso a un blog, foros e incluso para crear cuentas de correo electrónico (GMail, Hotmail, Yahoo, AOL, etc.), que además de indicar un nick y una contraseña, nos muestren una opción para rellenar un casillero, respondiendo a una pregunta secreta.

Esta pregunta secreta o de seguridad, no es más que una respuesta a una pregunta preestablecida que seleccionaremos y cuya finalidad va a ser la de recuperar nuestra contraseña en caso de pérdida u olvido de la misma.

Pero mucho ojo. Esta pregunta secreta en cierto modo, puede suponer un riesgo para la seguridad de nuestra cuenta, por ello hay que prestarle la debida atención en los registros, tal y  como hacemos con nuestras contraseñas.

Lo más interesante y seguro, es responder a esas preguntas generalmente ya predefinidas con respuestas que no tengan nada que ver con la pregunta planteada, os muestro un ejemplo.

• Pregunta: ¿Cual es tu número de pasajero favorito?.

• Respuesta: Llueve en Pamplona pero en la costa hace un calor horroroso.

Como veis no tiene nada que ver la respuesta con la pregunta planteada, es decir, no hay relación alguna.
En cambio, si mi respuesta hubiese sido un número, simplemente sería cuestión de tiempo y pruebas averiguarlo.

Por tanto prestad atención a este apartado en vuestros registros y utilizad respuestas que nada tengan que ver con vuestra vida personal, que además gente de vuestro entorno podría conocer, y sobre todo, para incrementar su dificultad y seguridad, que no tengan relación alguna con la pregunta planteada.

Hasta la próxima entrega.

Entradas publicadas de Seguridad Básica:

• Seguridad básica para los que empiezan.

• ¿A qué nos enfrentamos?.

• Las contraseñas.

• La pregunta secreta.

• Analiza siempre tus descargas con el antivirus.

• Utiliza cuentas de usuario limitadas.

• Enlaces cortos, como crearlos, precauciones.

Se encuentran disponibles para su descarga e instalación la versión 3.6.9 y la versión 3.5.12 de Mozilla Firefox, que solventan varios problemas de seguridad de versiones anteriores de este navegador web.

Como siempre, la nueva versión de Firefox, tanto para la rama 3.6 como para la 3.5 se encuentra disponible para Windows, GNU/Linux o Mac OS X y es multi-lenguaje.

|  Notas de la versión 3.6.9. |  Notas de la versión 3.5.12. |

Descarga de Firefox 3.6.9

Descarga de Firefox 3.5.12.

También puedes actualizar Firefox desde el propio navegador a través del menú Ayuda.

Por otro lado, el equipo de desarrollo del cliente de correo de Mozilla acaba de anunciar las nuevas versiones 3.1.3 y 3.0.7 de Thunderbird, que solventan varias vulnerabilidades alguna de ellas clasificada como de alto riesgo para el sistema.

Esta versión está disponible ya para sistemas Windows, GNU/Linux y Mac OS X y puede descargarse a través del menú “Ayuda” del cliente de correo “Buscar actualizaciones”.

| Notas de la versión 3.1.3 |  Notas de la versión 3.0.7 |

Descargar Thunderbird 3.1.3

Descargar Thunderbird 3.0.7

Os recordamos que podéis consultar nuestro Manual de empleo de Mozilla Thunderbird.

Disponible una nueva actualización del kernel de SuSE Linux Enterprise 10, la cual da solución a dos vulnerabilidades que podían llegar a producir en el sistema afectado dos denegaciones de servicio, concretamente un fallo en  la pila de procesos puede crecer hasta sobreescribir la memoria y una denegación de servicio del servidor NFSv4 ante peticiones específicamente construidas para tal efecto.

Los responsables de la distribución comercial de Novell recomiendan una actualización inmediata.

Fuente: aquí.

Continuando con nuestra sección de Seguridad Básica para los que empiezan, hoy trataremos un apartado de vital importancia y al que no siempre se le da el valor que requiere.

Las Contraseñas  o Passwords.

Las contraseñas o passwords son ya un elemento imprescindible, tanto en nuestra vida cotidiana como en nuestra vida informática; tarjetas de crédito, alarmas, DNI-e, correo electrónico, accesos a foros y webs, acceso a banca online, Redes sociales, etc., son una pequeña muestra de ello.

Lejos de modas, repeticiones e insistencias que podáis encontrar a diario sobre este tema, como ya indicábamos en otra entrada de Daboweb, la comodidad en la seguridad se paga y a veces el precio es muy elevado.

En ocasiones además, tendemos a relajarnos tras un periodo en el que no hemos tenido ningún problema con los passwords o contraseñas que habitualmente manejamos y ello, va a posibilitar que tarde o temprano suframos un percance.

Entrando en materia, vamos a ver una serie de consejos y recomendaciones a tener en cuenta a la hora de elegir y trabajar con nuestras contraseñas, que hemos publicado en nuestro otro blog, Basicoyfacil.

Una Contraseña o Clave personal, también denominada con su anglicismo Password, es un código o combinación de caracteres, utilizado como medida de seguridad y cuyo objeto es el de proteger el “acceso no autorizado” a un recurso determinado.

Como ejemplo de contraseñas de uso cotidiano tenemos las de nuestras tarjetas de crédito, el pin y el puk del teléfono móvil, la de bloqueo del televisor, la alarma de casa o la oficina, etc., e informáticamente hablando; la de acceso al sistema operativo o a nuestra sesión de usuario, la del Messenger, la de nuestros correos electrónicos, la de acceso al blog, a nuestras cuentas bancarias, etc.

Como podréis observar es algo bastante habitual en nuestro día a día y por tanto, debemos metalizarnos de que hay que prestarle una atención máxima, tanto en su empleo como en su elección, discrección y mantenimiento posterior.

Consejos para la elección y empleo de las contraseñas:

• Una contraseña será más segura cuanto mayor sea la dificultad para averiguarla, pero claro, a veces la elección de contraseñas con combinaciones muy rebuscadas y difíciles de recordar complican su empleo posterior, pero esto nunca debe ser motivo para obviar este aspecto.
  Existen además programas informáticos que nos permiten almacenarlas para utilizarlas cuando sea necesario, como puede ser Keepass.

• Se recomienda utilizar contraseñas que estén compuestas por una combinación de caracteres de al menos 8 cifras, compuesto por Letras (mayúsculas y minúsculas), Números (1,2,3,4,5) y Signos ( & % $ ! = ? *· – / )  Por ejemplo: Di5/4%$ext&.

• Dependiendo del recurso que se proteja algunas de estas contraseñas podrán ser en cierto modo más livianas, más cortas, etc., pero aún así, recomendamos utilizar siempre que sea posible las combinaciones expresadas anteriormente.

• Para generar vuestras contraseñas huir de utilizar palabras comunes, de uso habitual o que se encuentren en el diccionario, no utilicéis vuestra fecha de nacimiento o de los familiares, matrícula del coche u otros datos relacionados, que alguien puede conocer y por tanto deducir.

• Por supuesto sobra decir que la contraseña es secreta y como tal debe tratarse. No se debe dejar al alcance de otras personas, poca validez puede tener por ejemplo la contraseña para arrancar nuestro equipo si la dejamos colocada en la pantalla con un Pos-it 😀

• Es recomendable cambiar las contraseñas periódicamente, quizás no es necesario hacerlo todos los días pero si hay que hacerlo de vez en cuando y sobre todo, siempre cambiarlas tras aquellos supuestos en que nuestro equipo haya estado comprometido (infectado por algun troyano, virus, etc).

• No es recomendable utilizar la opción que nos ofrecen determinados programas y navegadores web para guardar las contraseñas automáticamente para que en accesos posteriores no tengas que introducirla, piensa que otro usuario detrás de tí podrá acceder a ese programa.

• Y por supuesto, ni que decir tiene que no se debe utilizar la misma contraseña para todo.

Hasta la próxima entrega.

Entradas publicadas de Seguridad Básica:

• Seguridad básica para los que empiezan.
• ¿A qué nos enfrentamos?.

• Las contraseñas.

• La pregunta secreta.

• Analiza siempre tus descargas con el antivirus.

• Utiliza cuentas de usuario limitadas.

• Enlaces cortos, como crearlos, precauciones.

Los poseedores de SuSE Linux Enterprise 10 pueden proceder a la actualización del kernel del sistema cómodamente mediante la herramienta YaST, solucionando de esta manera un grave problema de seguridad originado en la función nfs_wait_on_request, del archivo  fs/nfs/pagelist.c del kernel de Linux,  mediante la cual se permite a un atacante provocar una denegación de servicio  mediante vectores especialmente construidos para este caso, los cuales están  relacionados con el truncado de archivos y una operación que no pueda interrumpirse.

En esta misma actualización, los responsables de Suse Linux han dado solución a otros fallos encontrados, por lo que se recomienda que los usuarios de estas versiones actualicen el núcleo del sistema cuanto antes.