Daboweb | Seguridad y ayuda informática |

Curiosa la noticia que leemos en la red acerca del viejo y conocido «ping de la muerte» que afectaba allá por la década de los noventa a sistemas Windows y que todos creíamos desaparecido. Al parecer Microsoft publicó el boletín de seguridad MS11-064 en el que corrige un fallo de similares características en la pila TCP/IP de Windows Vista y Windows 7, el cual mediante paquetes ICMP especialmente diseñados pueden provocar una denegación de servicios en el sistema afectado. Llama la atención que Windows XP no se vea afectado por esta vulnerabilidad y que sin embargo, los dos últimos sistemas operativos del gigante informático si que «incorporen» este grave fallo.

Sin duda uno de los mas conocidos bugs de la gama de productos made in Microsoft, tanto por la facilidad en su ejecución como por los efectos inmediatos que producía: cuelgue del equipo que lo sufría y la aparición de la tan temida «pantalla azul». Para los que no conozcais este clásico entre los clásico dentro de lo que es su día se dio a conocer como el «IRC War», os dejamos este enlace a la Wikipedia donde podéis leer mas al respecto. Y si sois usuarios de los mencionados Windows Vista y Windows 7, pues ya sabéis lo que procede…

Acaba de ser publicada por Apple una nueva versión de su reproductor multimedia iTunes que solventa varios fallos localizados en el software, además de corregir una vulnerabilidad (CVE-ID:  CVE-2009-2817).

Concretamente se trata de un desbordamiento del búfer cuando se manipulan ficheros .pls especialmente manipulados para tal fin, provocando en ese caso la ejecución de código arbitrario en el sistema afectado por lo que es más que recomendable su inmediata actualización.

Sobre las mejoras en el software Apple nos cuenta que;

iTunes 9.0.1 soluciona varios problemas importantes, como los siguientes:

• Soluciona problemas de navegación en iTunes Store.
• Soluciona un problema de rendimiento que podía provocar que iTunes no respondiera.
• Soluciona un problema que podía provocar que iTunes se cerrara inesperadamente.
• Soluciona un problema de sincronización de podcasts incluidos en listas de reproducción con el iPod o el iPhone.
• Soluciona un problema de ordenación de álbumes con múltiples discos.
• Soluciona un problema que provocaba que el botón de zoom no activara el minirreproductor.
• Mejora la sincronización de aplicaciones con el iPod touch y el iPhone.
• Ahora Genius se actualiza automáticamente para mostrar las mezclas Genius.

Descarga de iTunes 9.0.1.

Disponible para Mac OS X v10.4.11 o posterior, Mac OS X Server v10.4.11 o posterior, Windows XP, Vista y Windows 7.

Como muchos sabréis, Internet Explorer 8 ya está en la sección de descargas de Microsoft desde hace unos días. Después de más de un año en estado “Beta”, ya se puede usar como una versión estable.

¿Qué podemos esperar de IE8 hablando de seguridad? Esta nueva entrega del veterano Explorer viene con muchas novedades para el usuario final, algunas serán muy apreciadas por usuarios sin mucha experiencia en Internet, otras creo que no tanto por usuarios más avanzados. Siempre es una buena noticia que el navegador que ahora mismo goza de la mayor cuota de mercado (espero y sé que no por mucho tiempo) sea más seguro, más que nada porque eso redunda en beneficios para todos, los que usan productos de Microsoft y los que no los usamos habitualmente.

Seguridad en IE8

Microsoft ha llamado “Navegación privada” (InPrivate) a lo que coloquialmente se está denominando “Modo porno”, que no es otra cosa que un modo de navegación en el que una vez se finaliza la sesión, no queda registrado en el equipo nada de los lugares en los que hemos estado navegando, tampoco se almacenan cookies, contraseñas guardadas ni quedará ningún dato registrado en el historial del navegador o formularios de búsqueda o de entrada de datos.

Para ser justos, esto además de para usuarios que naveguen habitualmente por webs de contenido pornográfico, puede ser muy útil en equipos compartidos, ciber cafés, etc. Eso si, nada que no se puede hacer con otro navegador como Chrome de Google, Safari de Apple o incluso en el próximo Firefox 3.1, en versiones actuales de Firefox con alguna extensión y pequeños cambios se puede hacer mucho en pro de mejorar la privacidad, sólo que aquí lo consiguen con un click de ratón abriendo una nueva pestaña que ejecuta esa nueva sesión de navegación como un proceso del sistema aparte, al más puro estilo Chrome, aunque por defecto, según he podido comprobar, no viene activado.

Como apunte simplemente comentar que eso de la «navegación privada» le ha provocado a más de un navegador un disgusto, como ejemplo el caso de Safari y que nadie se olvide que si bien una vez que ha finalizado la sesión de navegación no quedarán en teoría rastros de por donde se ha estado, mientras se esté llevando a cabo esa sesión de navegación, el equipo y navegador es sensible a cualquiera de los múltiples ataques que se pueden dar vía web.

Un dato curioso, Unas horas después de salir a la luz, el navegador de Microsoft ya fue hackeado en el concurso PWN2OWN, también cayeron Safari y Firefox y sólo Google Chrome aguantó el envite. De todas formas en estas pruebas ya se tiene bien estudiada la vulnerabilidad a explotar y que haya sido en unos minutos es meramente anecdótico, porque la preparación igual se ha llevado a cabo desde hace meses en las que IE8 era una versión «beta». Ahora bien, buena publicidad y buen comienzo no es desde luego…

Otra de las novedades hablando de seguridad es su filtro anti-malware “SmartScreen”, funciona de un modo parecido al “Safe Search “ de Google con el cual se avisa a los usuarios de los lugares potencialmente peligrosos para sus equipos, según informan desde Microsoft evita la instalación inadvertida de código o algún programa que ellos consideren malintencionado o que pueda comprometer de algún modo la seguridad de tu sistema.

Lógicamente, esto no puede ser considerado como un antivirus integrado en el navegador, por lo que os seguiremos recomendando hablando de Windows, el uso de uno de ellos además de un firewall y una solución anti-spyware. Otro tema puede ser la consideración de lo que para Microsoft puede ser peligroso por lo que si fuera tu, yo me cuidaría muy mucho de ver como funciona ese filtro…

Protección contra ataques XSS. Es el nuevo filtro de scripts malintencionados de Internet Explorer 8. Una nueva característica para detectar y bloquear código malicioso en webs manipuladas para tal fin y con este filtro, se pretende combatir el robo de sesiones de navegación y cookies del usuario en busca de una navegación más segura.

Algo que los usuarios de Firefox y derivados ya usamos hace mucho tiempo con la extensión “noscript” (con muy buenos resultados por cierto pero tampoco es infalible, ojo).

Incorpora también una protección anti-phising que a mi modo de ver se queda (muy) corta y que lo que hace es simplemente resaltar el dominio principal en negrita para que el usuario vea que corresponde a un dominio legítimo (un punto que daría mucho que hablar). Esta de por si no es una mala medida, pero no sé que les hubiera costado hacer lo mismo con dominios que empiecen con «https» (conexión segura) yendo un poco más allá del típico candado y seguro que si lo resaltan de la misma forma la gente lo asociaría de un modo más fácil.

Para acabar, si usas Windows Vista Service Pack 1, Microsoft anuncia otra protección más por medio de la prevención de ejecución de datos (DEP), una forma de intentar proteger la ejecución de código malicioso en memoria.

He probado IE8 en una máquina virtual bajo Debian GNU/Linux en la que corría un Windows XP y se hace hasta raro que sea tan fácil y accesible su desinstalación, cosa que he hecho nada más acabar de probarlo. En el momento de escribir esta entrada, acabo de ver un post publicado por nuestros amigos de Blogoff sobre Explorer 8 donde podréis informaros con detalle de otras funcionalidades que a mi sinceramente me parecen un cúmulo de «come-recursos», como esa forma de querer reinventar las RSS (los slides) o los aceleradores.

Del cacareado respeto a los estándares web de IE8 nada de nada, estrepitoso fracaso en el Acid3 Test por lo que este navegador seguirá siendo el más odiado entre los desarrolladores web y con toda la razón del mundo ya que Microsoft sólo trabaja con un estándar, el de Microsoft.

Algunos resultados del test ACID3 (podéis probar).

100/100 Chrome 2.0.169.1 Beta
100/100 Epiphany 2.24 (Webkit)
100/100 Midori (Webkit)
100/100 Opera 10 Alpha
100/100 Safari 4 Beta (Webkit)
71/100  Epiphany 2.24 (Gecko)
85/100  Konqueror 4.2
85/100  Opera 9.64
79/100  Google Chrome 1.0.154.48
75/100  Safari 3.1
71/100  Firefox 3.0.7
71/100  Songbird 1.1.1
71/100  Flock 2.0.3
53/100  K-Meleon 1.5.2
20/100  Internet Explorer 8.0.6001.18372
12/100  Internet Explorer 7

Apuntar que esta prueba no es oficial del W3C, pero se basa en 100 test que buscan la máxima compatibilidad con sus estándares, desde la interpretación del código HTML, CSS, pasando por el renderizado, DOM, etc, etc.

En definitiva, Internet Explorer 8 es un navegador más seguro que sus anteriores versiones, pero creo que dista mucho de ser un navegador recomendable a nivel general habiendo otras versiones que cumplen mejor su cometido. Será por opciones…

(Nota del editor, considérese esta entrada como una apreciación personal y subjetiva de alguien que nunca ha visto con buenos ojos a este navegador y que lo ha probado pero no con la suficiente profundidad ya que más de una hora con IE me produce espasmos y convulsiones -;)

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Nota del editor (Dabo). Esta era una reseña o «review» (como se dice ahora-;) creo que más que necesaria para nuestros fieles lectores, después del fracaso conocido por todos de Windows Vista, Microsoft no se ha quedado quieto y ha querido poner las cosas en su sitio con el futuro Windows 7.

En este repaso a fondo que le da nuestro recién estrenado redactor, Alejandro Herrero, también conocido por el nick de «Obiw» a la beta (recordamos, no es una versión definitiva) de Windows 7, da las pistas adecuadas para comprobar lo que podemos esperar de Windows 7 cuando sea liberado como una versión final y también, el autor, nos muestra las diferencias de Windows 7 con su antecesor, Vista. Sin más, os dejamos con el excelente artículo de Alejandro Herrero acompañado además de las capturas de dos vídeos. (Enhorabuena Obiw-;).

Windows 7 por fuera, Windows Vista por dentro ¿versión o revisión?

Introducción

Haremos un repaso por la nueva «versión» de Windows. Bajo el codename «7» llegará el sustituto de Windows Vista a finales de este 2009. Apenas tres años después Windows Vista tiene sustituto. ¿Por qué? ¿Será que los miles de hoax sobre lo malo que es Windows Vista ha hecho verdadera mella en las ventas del sustituto del viejo XP? ¿La premura con que se lanzó Vista nos utilizó a todos como beta-testers de este nuevo Windows 7? ¿Por qué y para qué Windows 7?

Que cada cual saque sus propias conclusiones, particularmente creo que la salida de esta nueva «versión» de Windows viene como consecuencia de un Windows Vista que no fue todo lo redondo que se esperaba en sus inicios, en unos tiempos en los que GNU/Linux y Mac OS también quieren una parte del pastel de los S.O. En cuanto comencemos a ver el nuevo «7» nos daremos cuenta de que el parecido con Mac OS tal vez no sea casual y sí una maniobra comercial y de marketing.

Dos veces he entrecomillado «versión». Informáticamente hablando cuando un producto software sufre cambios considerables en su diseño o prestaciones hablamos de nueva versión, poniendo un ejemplo, Adobe PhotoShop CS4 es en realidad PhotoShop 11, como su predecesor CS3 fue PhotoShop 10, etc. El cambio en el dígito principal nos indica que el producto ha sufrido cambios notables. Por el contrario las revisiones suelen ser correcciones de errores, adición de pequeñas funcionalidades, y en definitiva, cambios poco relevantes.

Si Windows Vista tiene el número de versión 6.0.6001 (Vista con SP1), el propio equipo de desarrollo de Windows 7 ha denominado a este nuevo sistema como 6.1.7000. Es decir, desde el propio Microsoft, hasta la fecha, mientras no haya cambios notables en estos meses, Windows 7 no es más que una revisión de Windows Vista.  Tras pasar unos días con él todo parece indicar que el «7» es consecuencia de esa compilación «7000», aunque de aquí a finales de año, cuando se libere la versión definitiva, esa compilación sufrirá algunos cambios, no sabemos entonces donde quedará el 7, sería realmente pretencioso pasar de una 6.1 a una 7.0 en tan pocos meses, aunque tratándose de Microsoft todo es posible.

Windows Vista SP2 está al caer, la Beta está liberada y oficialmente será abril de 2009 cuando esté en su versión definitiva para todos, a tenor de lo visto en «7» no habría sido en absoluto descabellado haberlo convertido en Windows Vista SP3, aunque evidentemente esta práctica no supondría una nueva remesa de fanáticos, y no tan fanáticos, actualizando sus sistemas operativos.

Si bien es cierto que Windows Vista no entró precisamente con buen pie en el mercado, faltaríamos a la verdad si dijéramos que todo sigue igual. Una vez pasados dos años, el sistema estabilizado en el mercado, con un buen soporte de drivers, un service pack que mejora algunos fallos importantes de la versión inicial, y máquinas considerablemente más potentes, Windows Vista comienza (ahora que está sentenciado a muerte) a verdaderamente correr (sin comillas) en las nuevas máquinas que salen a la venta.

Continue reading…

Se han reportado varias vulnerabilidades en el navegador Safari de Apple que afectan a sistemas Windows Vista y XP.

Ya está disponible la versión 3.2.2 de Safari que solventa dichos bugs desde el actualizador de software de Apple así como del sitio de descargas del navegador.

Estos fallos (ejecución de código arbitrario en feeds / RSS manipulados o Javascript embebidos en los mismos) no afectan a sistemas Mac OS X con el Security Update 2009-001 instalado (publicados los detalles del mismo en Daboweb hace unas horas).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias