Kriptópolis

Aunque Kaminsky trataba de dar un plazo para que los servidores DNS fueran parcheados adecuadamente, vuelve a comprobarse que no es nada fácil guardar un secreto desde que existe Internet.

Slashdot cuenta hoy como las especulaciones de un experto en torno a la vulnerabilidad soltaron la lengua de otro experto que sabía algo más, y aunque su post ha sido luego retirado, Internet ya lo ha incorporado a su memoria.

Se complican pues las cosas y los exploits pueden correr ahora más rápido que los parches...

Arioso es un script de usuario creado por 0x000000, que proporciona a los usuarios del navegador Opera una protección adicional durante su navegación Web similar a la que el famoso NoScript otorga a los usuarios de Firefox.

Los usuarios de Opera interesados en probar Arioso habréis de comenzar por descargar el script. A continuación váis al menú "Herramientas" de Opera y seleccionáis Opciones -> Contenidos -> Avanzado. A continuación pulsamos el botón "Opciones Javascript" y donde pone "Archivos JavaScript de usuario" procedemos a seleccionar la carpeta donde descargamos el script de Arioso (o, en general, aquella donde sitúamos nuestros scripts de usuario para Opera).

Ilustro este proceso con los dos pantallazos que siguen...

Por Fernando Acero

El Parlamento Europeo quiere hacer recaer la seguridad y la comodidad de los ciudadanos, eliminando el molesto "spam" en las operadoras, pero parece que hay algo que falla en todo este planteamiento.

Y es que pesar de lo que se les viene encima a las operadoras de comunicaciones desde Europa, con enmiendas como éstas (ver también nota final en este mismo artículo), que se envían desde la Comisión de Asuntos Jurídicos a la Comisión de Mercado Interior y Protección del Consumidor, con ocasión de la modificación de la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, esta mañana he puesto las siguientes DNS de Telefónica / Terra en mi configuración y obtengo lo siguiente, tras comprobar las DNS con el botón "Check My DNS" de la página del amigo Kaminsky...

Firefox 3.0.1, presentado hoy, soluciona tres fallos de seguridad considerados por Mozilla como críticos.

• El primero hace caer al navegador al tratar de abrir un GIF malformado en Mac OS X.
• El segundo, descubierto por Billy Rios, afecta curiosamente a Firefox cuando no está funcionando. Si se pasa una URL con algún caracter "|" desde la línea de comandos se pueden ejecutar URIs de tipo "chrome", lo que permite explotar otras posibles vulnerabilidades.
• El tercero permite sobrecargar el contador de objetos CSS y colgar el navegador, abriendo la puerta a una posible ejecución de código. Este fallo afecta también a Thunderbird y Seamonkey.

Paralelamente se ha publicado también Firefox 2.0.0.16, que corrige los dos últimos fallos pero en la serie 2...

No es la primera vez ni será la última. Ahora es un equipo alemán quien afirma haber recopilado unas 800 vulnerabilidades en los principales antivirus del mercado.

Las conclusiones del estudio son estremecedoras: al contrario de lo que se espera de ellos, los antivirus abrirían la puerta a los atacantes y les permitirían penetrar en las redes corporativas e infectarlas con código malicioso.

El estudio se basa principalmente en los datos sobre vulnerabilidades en software antivirus publicados por Secunia. Sin embargo, en esta ocasión, el trabajo dista mucho de ser independiente, puesto que procede de una empresa que afronta el lanzamiento de su propio antivirus. Por eso mismo, las empresas tradicionales (por ejemplo, McAfee) ya están empezando a refutar todos esos datos...

Actualización [22:10]: Diferentes fabricantes están reaccionando al problema con parches e instrucciones concretas: Debian, Cisco, Infoblox, ISC, Juniper, Microsoft, Red Hat, Sun (Solaris)...

Esta vez, quien esté libre de fallo que tire el primer parche: desde Debian a Microsoft, y desde Cisco a Sun, todos han lanzado -o están a punto de hacerlo- el parche correspondiente para resolver un grave problema de diseño en el sistema de servidores de nombre de dominio (DNS), que permitiría a un atacante desviar todas las peticiones a kriptopolis.org a una imitación del sitio original, o a cualquier otro sitio que no tenga nada que ver con él.

Pese a lo que digan hoy la mayoría de los medios, el fallo es antiguo (probablemente tanto como la propia Internet) y en diversas variantes ya había sido anticipado por varios autores, aunque ahora sea Kaminsky quien parece llevarse toda la "gloria" mediática. Entre esos trabajos anticipatorios merece quizás la pena citar los de D.J. Bernstein o el presentado por Ian Green hace tres años sobre la resolución de nombres de dominio en Windows XP...

Ésa es al menos una de las principales conclusiones de un estudio publicado hoy, basado en el campo User-Agent de los registros de acceso a las búsquedas en Google en los últimos meses.

Según este trabajo, el 83.3% de los usuarios de Firefox, el 65.3% de los usuarios de Safari, el 56.1% de los usuarios de Opera y el 47.6% de los usuarios de Internet Explorer utilizaban las versiones más actualizadas de sus respectivos navegadores entre enero de 2007 y junio de 2008.

Invirtiendo esos mismos datos, el 52.4% de los usuarios de Explorer, el 43.9% de los usuarios de Opera y sólo el 16.7% de los usuarios de Firefox navegaban por la Web con versiones obsoletas de sus navegadores.

No creo que esas cifras puedan extrapolarse sin más matices a la hora de valorar qué navegador resulta más seguro, pero tampoco puede despreciarse sin más su relativa importancia, que creo que algo tiene que ver con el cómodo sistema de actualizaciones que utiliza Firefox...

Por Fernando Acero

Como la mayoría de los usuarios de Firefox, me he actualizado a la versión 3 aprovechando el "Download Day", colaborando así al recuento para el Guiness. Como es lógico, tras descargarlo, lo primero que he hecho es instalarlo y he tenido un problema.

Una vez configurado, e instalados todos los complementos, he intentado acceder a las Notificaciones Seguras de nuestra querida Administración y no ha sido posible. He cambiado configuraciones y versiones de Java y he realizado pruebas durante varios días, sin ningún éxito. Puesto en contacto contacto con el servicio técnico, me han dicho que están en ello y que esperan tener listo el sistema para que funcione con Firefox3. Mientras, me recomiendan que use una versión antigua, algo que tengo que probar cuando tenga tiempo.

Sin embargo, durante las pruebas apareció otro problema relacionado con el contenedor de certificados de Firefox: no puedo importar o exportar certificados...

Tras el primer disgusto (ocurrido a las pocas horas del lanzamiento de Firefox 3), más investigadores están publicando la existencia de otras vulnerabilidades afectando a Firefox 2 y 3.

Es el caso de Billy (BK) Rios, que señala que Firefox también coopera con Safari en la grave vulnerabilidad que hasta hoy se creía que sólo afectaba a la combinación entre este último e Internet Explorer.

Otro investigador, autodenominado azurIt, apunta hoy en Security Focus un grave fallo en el manejo de extensiones, incluyendo FFsniFF como prueba de concepto. Esta extensión maliciosa se esconde del gestor de extensiones y presuntamente actúa como un sniffer, que se encarga de remitir a una dirección de email los formularios que el usuario rellene durante su navegación con Firefox.

Actualizaciones [16:48]: Mozilla ya investiga el asunto. Según Giorgio Maone, una vez más los usuarios de NoScript estarían a salvo.

TippingPoint afirma que cinco horas después del lanzamiento oficial de Firefox 3.0 ya tenían constancia de una vulnerabilidad crítica, de la que no revelan más detalles mientras Mozilla trabaja en una solución.

Sólo sabemos que afecta también a Firefox 2.0 y que permite ejecutar código arbitrario, aunque para ello se requiere que el usuario haga clic en un enlace malicioso.