Kriptópolis

La última vulnerabilidad grave de Internet Explorer, que está siendo aprovechada cada vez por más sitios web para instalar programas espía, dispone desde hoy de un parche extraoficial y temporal publicado por eEye Digital Security. El parche se libera con su código fuente.

Por su parte Microsoft, que hasta el momento sólo ha acertado a sacar un boletín recomendando algunas medidas preventivas, no es partidaria de que ese parche se instale porque "aún no lo ha probado"...

Actualización (29-mar): El parche de eEye alcanza las 34.000 descargas, mientras otra empresa publica un nuevo parche.

"Muchos clientes nos han pedido una forma mejor de reportar bugs en Internet Explorer. Nos dicen: "¿Por qué no tienen ustedes un Bugzilla, como Firefox y otros grupos? Nunca hemos tenido una buena respuesta, excepto que se trata de algo que el equipo de Explorer nunca ha hecho antes."

(Al Billings, miembro del equipo de proyecto de Internet Explorer, en su weblog).

En realidad no lo han conseguido del todo (porque Microsoft Connect necesita disponer de una cuenta en Passport), pero sin ninguna duda será un sistema mucho mejor que tener que pagar por reportar bugs...

¿Merece la pena comentar que a Internet Explorer acaban de clavarle el tercer bug (dos críticos, uno menos crítico) en lo que va de semana?

No lo sé, pero desde luego aburre. Hasta el punto que no me extraña que algunos quieran cobrar por narrar esta especie de historia interminable...

Uno ya no sabe si merece la pena seguir informando de las continuas vulnerabilidades en Explorer (que luego pasa lo que pasa ;), pero he pensado que quizás sea de interés para los lectores de Kriptópolis que aún utilizan Explorer 6 saber que acaba de publicarse una nueva vulnerabilidad, no parcheada, que provoca el desbordamiento de buffer del navegador, sin que se haya podido confirmar hasta el momento que eso facilite la ejecución de código ajeno.

Lo que sí está disponible es una demostración on-line de este nuevo tropiezo. Si no quieres -o no puedes- probarla a continuación va una captura...

Si ayer mismo comentábamos cómo Explorer 7 Beta 2 puede provocar alarmas innecesarias entre los usuarios de Kriptópolis, hoy traemos a portada un asunto bastante más serio: la versión preliminar del próximo navegador de Microsoft -que se presenta como un aliado en la lucha contra el phishing- dificulta la denuncia on-line de este tipo de estafas, al menos en España.

Y es que Explorer 7 tampoco considera fiables los sitios web de la Policía Nacional y la Guardia Civil, los dos cuerpos de seguridad que en nuestro país admiten denuncias on-line y encabezan la lucha contra el phishing y otros delitos telemáticos.

Una vez más, las imágenes hablan por sí mismas..

Por Bruce Schneier

Estoy empezando a leer sobre las nuevas características de seguridad en Internet Explorer 7. Hasta el momento, me gusta lo que estoy leyendo.

IE7 obliga a que todas las ventanas del navegador muestren una barra de direcciones. Esto ayuda a combatir aquellos atacantes que operan haciendo emerger nuevas ventanas como si pertenecieran un sitio legítimo, cuando en realidad el sitio es fraudulento. Al ser obligatoria la barra de direcciones, los usuarios verán de inmediato la verdadera URL de la página mostrada, volviendo más obvio este tipo de ataques. Si crees que estás viendo www.microsoft.com, pero la barra de direcciones del navegador muestra www.tejaqueare.com, se debería sospechar.

Yo uso Opera, y hace mucho que utilizo la barra de direcciones para "verificar" URLs. Es una excelente idea. Lo mismo que esta otra:

A principios de Noviembre, se reunió un grupo de desarrolladores de navegadores Web y comenzaron a elaborar estándares para el coloreado de la barra de direcciones, de modo que ésta pueda orientar a los usuarios sobre los sitios seguros. A propuesta de Rob Franco, miembro del equipo de IE7, incluso los sitios que utilicen SSL mostrarán la barra de direcciones estándar de fondo blanco. Los sitios que utilicen un nivel de protección mayor, aunque todavía no determinado, mostrarán una barra de fondo verde.

...

Se trata de la Beta 2 y no de una versión definitiva, pero no deja de resultar sintomático que en sólo 15 minutos Tom Ferris haya encontrado el primer bug serio en Internet Explorer 7.

Basta cargar una URL malformada [demo] para que Explorer 7 caiga en una denegación de servicio, con posible ejecución -según Ferris- de código arbitrario en el ordenador afectado. Para nuestros lectores más técnicos, decir que el problema radica en que urlmon.dll no analiza apropiadamente el protocolo file://.

Microsoft ha sido avisada y reconoce la existencia del bug, si bien manifiesta que aún no se ha probado que permita la ejecución de código...

ACTUALIZACIÓN (3-2-2006): El fallo, en directo.

Por Bruce Schneier

Este estudio es de agosto, pero me lo perdí. Los investigadores siguieron el rastro a tres navegadores (MSIE, Firefox, Opera) en 2004 y contaron cuántos días fue cada uno "inseguro con certeza". Su definición de "inseguro con certeza": se anunció públicamente una vulnerabilidad explotable de forma remota y no había parche disponible.

• MSIE fue inseguro el 98% del tiempo. Sólo hubo 7 días en 2004 sin que existiera un agujero de seguridad no parcheado y anunciado públicamente.
• Firefox fue inseguro el 15%, Hubo 56 días con un agujero de seguridad públicamente anunciado y sin parche. 30 de esos días correspondieron a un agujero de los Mac, que sólo afectaba a los usuarios de Mac. Firefox bajo Windows fue inseguro el 7%.
• Opera fue inseguro el 17%: 65 días. Ese número resulta accidentalmente un poco mejor de lo que debiera, ya que dos de los períodos no parcheados se solaparon...

Microsoft publicó ayer dos boletines de seguridad que permiten parchear cuatro vulnerabilidades de Internet Explorer (dos de ellas críticas) y una de Windows 2000. Todos ellos está disponibles vía actualizaciones automáticas.

Como dato curioso, uno de los parches elimina los perniciosos efectos de otro parche: el desinstalador de Sony, que dejaba el sistema expuesto a la instalación de software por cualquiera...

FireFox no es -ni fue- la única víctima del script del webmaster "suicida", pero no por eso es para tomarlo como "mal de muchos consuelo de tontos".

Revisé mis notas sobre fallos y comportamientos extraños del navegador por defecto y encontré una fechada en Abril de 2005 (cuando no tenía FireFox instalado ni prestaba mucha atención a los comentarios o publicaciones sobre éste), que dice, casi textualmente, lo que sigue:

Después que reviso el correo con PopTray y filtro la basura diaria, envío y recibo con Outlook Express, inicio Internet Explorer como siempre, un click en el icono de la barra de tareas (tengo el escritorio más limpio que he visto hasta el momento, no más de 5 ó 6 iconos, fondo negro y sin contenido web).

Pasa algo raro, navego no más de 10 minutos e IE se niega sistemáticamente a avanzar, escribo las URLs a mano por si mi menú de Favoritos está corrupto o tiene entradas erróneas (acabo de instalar un nuevo disco SATA y pasé toda la info a él retirando del equipo el IDE), no sucede nada, sigue renegado, no avanza, no muestra "Error 404" ni otro que me oriente hacia dónde empezar a buscar el problema...