Kriptópolis

Dos nuevas vulnerabilidades, que afectan al navegador Firefox incluso en su última versión 1.0.3, pueden otorgar a un intruso el control absoluto de la máquina de la víctima, sin más que hacerle visitar una página web especialmente construida a tal efecto...

Tras años limitándose a reprender a los investigadores que se apresuraban a publicar vulnerabilidades antes de que los correspondientes parches estuvieran disponibles, Microsoft ha decidido adoptar una estrategia más activa frente al problema.

Esta misma semana Microsoft presentará un nuevo servicio de alertas de seguridad que responderá antes de 24 horas a la publicación de cualquier vulnerabilidad relativa a sus programas y sistemas operativos...

La publicación en Internet de los detalles de un nuevo fallo crítico en Windows 2000 ha obligado a Microsoft a pronunciarse, tanto sobre el fallo en sí como sobre los propios investigadores de seguridad, a los que urge a actuar de forma responsable, permitiendo a los usuarios aplicar soluciones antes de que los delincuentes puedan sacar provecho de las vulnerabilidades...

Esta nueva versión, publicada hoy mismo, soluciona los siguientes fallos:

• Javascript "lambda"
• Javascript PLUGINSPAGE
• Javascript con privilegios erróneos en ventanas emergentes
• CCS por script malicioso
• Ejecución de códigos con script y favicons
• CSS por plugin de búsqueda
• Ejecución de código vía panel lateral
• Fallos de validación en intérprete Javascript
• Escalada de privilegios vía DOM

Vaya por Dios. El mismo día que Microsoft parchea 18 vulnerabilidades, le surge otra nueva.

Pasen y vean, oigan, que hoy tienen dónde elegir:

• Vulnerabilidad Microsoft Jet DB (OJO: afecta a Windows XP SP2 y Windows 2003 totalmente parcheados y hay un exploit on-the-wild. Microsoft aún no se ha pronunciado).
• Múltiples vulnerabilidades en kernel de MS Windows (Ya hay parches)
• Desbordamiento de buffer en servicio SMTP de Microsoft Exchange (Ya hay parches)
• Múltiples vulnerabilidades en MS Internet Explorer (Ya hay parches)
• Ejecución de código arbitrario en shell de Windows (Ya hay parches)
• Vulnerabilidad en componente Message Queuing de Windows (Ya hay parches)
• Vulnerabilidad en procesado de GIF por MSN Messenger (Ya hay parche)

[Linux Journal] El navegador Firefox, construido por la Fundación Mozilla y amigos, es una sofisticada obra de tecnología si uno se preocupa de mirar un poco bajo el envoltorio. Y no es obvio donde acaba el envoltorio, porque a la superficie de Firefox (su interfaz de usuario) se le ha dado el acabado necesario para atraer a usuarios corrientes, no técnicos.

Este artículo le permite vislumbrar la maquinaria que Firefox lleva debajo. Explica cómo el mero hecho de teclear about:config en la barra de direcciones de Firefox abre la puerta a un mundo de oscuras preferencias que permite afinar su configuración por defecto...

Mozilla está a punto de publicar la versión definitiva de Firefox 1.0.3, que no incorporará nuevas funcionalidades pero sí soluciones para bugs de seguridad, como el que mencionábamos aquí mismo hace sólo un par de días...

Me llama la atención que últimamente casi todo el mundo cuenta maravillas de Firefox: que si más seguro, que si código libre, etc. Perfecto. Quizás hasta el simple hecho de que empiece a amenazar el cuasimonopolio de Explorer sería razón suficiente para apoyarlo, pero no me gustaría que el avance de Firefox se basara en ocultar información sobre sus fallos...

La nueva versión del navegador soluciona tres problemas que pueden conducir a la ejecución de código malicioso en las versiones anteriores: 1) el denominado Firescrolling 2, 2) el ataque desde un bookmark malicioso en la barra lateral y 3) el desbordamiento ocurrido al procesar determinados GIF...

Francia, país que hasta fechas muy recientes padecía una de las legislaciones más restrictivas sobre criptografía del mundo civilizado, se acaba de colgar otra medalla en el terreno de las limitaciones a la información sobre seguridad informática, al condenar un tribunal francés a Guillaume Tena, más conocido por Guillermito.

¿Su "delito"? Haber informado sobre detalles relativos a una vulnerabilidad encontrada en un programa antivirus...