Una de las características más promocionadas de Internet Explorer 8 ha sido el modo InPrivate Browsing, conocido de forma generalizada como “modo porno”, en la que el navegador no almacena registros de la sesión (incluyendo caché, cookies, historial de navegación, etc). Microsoft ha lanzado una serie de anuncios sobre las principales características de su navegador protagonizados por Dean Cain (“Lois y Clark”) y, bueno, ya ha retirado el primero.

A los que seáis rápidos con el ratón y hayáis visto el vídeo antes de leer el post, os está bien empleado. El anuncio es desagradablemente gráfico, de ahí su retirada. Vemos a una feliz pareja, y ella le pide prestado el portátil en el que él, supuestamente, ha estado visitando webs de dudoso contenido, con seguridad relacionados con la regla 34. La reacción de ella, podríamos calificarla de vomitiva.

A continuación os dejo otros tres de estos anuncios, que con el paso de los años formarán parte de esas listas que surgen cada cierto tiempo de “aquellos ridículos anuncios que hacía Microsoft”. Tenemos uno sobre los aceleradores para compartir (para mi gusto el mejor, es genial), otro sobre los web slices (el más patético con diferencia) y un último sobre la mejora en los tiempos de carga (pasable). Curiosamente, no hay ninguno que hable sobre el Acid3 Test…

A veces puede ser fastidioso que nuestro sitio web no esté disponible, y es por ello que son necesarias las aplicaciones que nos avisen al instante de las caídas que se produzcan. Howsthe es otra opción más que nos permite monitorizar nuestros sitios web y ser alertados por correo electrónico, y en algunos lugares, también mediante sms.

Por ahora, en el plan beta, podemos monitorizar hasta tres sitios web, donde deberemos de indicar sus nombres, direcciones, seleccionar uno de los intervalos, e incluso, podemos indicar los términos de búsquedas. Podemos añadir hasta tres direcciones de correo y tres números de teléfonos para ser alertados por sitio a monitorizar, aunque en el caso de los sms, como dije antes, está limitado a un número de operadoras de distintos países, donde no se encuentra ninguna española.

Malos momentos para Microsoft. Se acaba de detectar un nuevo 0 day en Windows que está siendo aprovechado activamente. Microsoft no ha reconocido todavía el fallo, pues ha sido “destapado” por terceras partes. El exploit es público, y parece que (como viene siendo habitual) muchas páginas legítimas comprometidas están sirviendo para infectar los sistemas.

El fallo en cuestión es un desbordamiento de memoria intermedia basado en pila en la función ‘MPEG2TuneRequest’ de la librería msvidctl.dll. Un atacante remoto podría aprovechar esto para ejecutar código arbitrario con los permisos del usuario bajo el que se ejecuta el navegador.

La única contramedida disponible es la activación del kill bit del control. Es posible hacerlo guardando este archivo con extensión .reg y ejecutarlo como administrador:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]

“Compatibility Flags”=dword:00000400

No se ha confirmado aún a qué versiones de Windows en concreto afecta.

La detección del JavaScript que explota el fallo es bastante pobre todavía. Según VirusTotal, solo McAfee, AntiVir, VirusBuster y Microsoft lo reconocen (recordando siempre que esto puede cambiar en un entorno de escritorio). El ejecutable que descarga sí tiene un mejor ratio de detección.

Malos momentos para Microsoft, puesto que acumula dos 0 day sin solución por ahora. A finales de mayo Microsoft reconocía un problema de ejecución de código explotable a través de archivos de QuickTime. En el posterior ciclo de actualizaciones de junio, no solucionó el problema, y tampoco parece que vaya a sacar un parche fuera de ciclo. La diferencia con este nuevo 0 day en msvidct.dll es que en aquel caso, no había información pública sobre cómo aprovecharlo. Esto hace mucho más peligroso este nuevo problema y sin duda hará que Microsoft actúe con mayor celeridad

Más Información:Microsoft

Fuente:Noticias Hispasec

La saga “El mes de los fallos en” comenzó en julio de 2006, cuando H.D Moore decidió dedicar un mes completo a publicar vulnerabilidades no parcheadas en los navegadores, a razón de una al día. La iniciativa, por lo original y relevante de la propuesta, fue todo un éxito. Otros investigadores le siguieron, creando el mes de los fallos en los núcleos (de cualquier sistema operativo) en noviembre de 2006, el mes de los fallos en Apple en enero de 2007… y algunos otros. Ahora es el momento de la Web 2.0.

Aviv Raff usará julio de 2009 como el mes de los fallos en Twitter. Su objetivo, como el de todos estos meses temáticos, es el de mejorar la seguridad a través de la presión mediática, y no solo la de Twitter. El resto de plataformas 2.0 puedan aprender algo de los problemas ajenos y por tanto prevenir. Por ejemplo, algunas de las vulnerabilidades encontradas hace tres años en el “Mes de los fallos en los navegadores”

se creían “simples fallos” en el sentido de que no podían ser aprovechadas por atacantes. El hecho de hacerlas públicas llamó la atención de ciertos creadores de malware y consiguieron finalmente, meses después, aprovechar algunos de estos “bugs” para ejecutar código.

En ese sentido supuso una buena alarma sobre los “bugs” a los que no se les da demasiada importancia.

“Month of Twitter Bugs” (MoTB) se centra en la API de Twitter, pero según Raff, bien podría tratarse de cualquier servicio 2.0 del momento.

twitpwn.com es el dominio elegido para alojar el blog que publicará las vulnerabilidades. Raff reconoce que algunas vulnerabilidades son lo suficientemente peligrosas como para que se pueda crear un gusano, así que avisará con 24 horas de antelación al fabricante para que puedan ser corregidas. El blog es seguido por personal de Twitter, que participan en los comentarios activamente. De hecho, han corregido en cuestión de horas fallos ya publicados.

A medida que el escritorio se entiende menos sin conexión remota y se traslada hacia la red (o “la nube”, como término de moda) y la línea que separa aplicaciones y servicios se difumina (casi siempre detrás de un navegador) no es de extrañar que las páginas y APIs de estas webs sean objetivo de ataques. Campañas llamativas como esta pueden ayudar a desvelar y prevenir vulnerabilidades, pero desde luego no las eliminarán. En el mundo de la programación y la informática en general se tiende insidiosamente a tropezar en la misma piedra siempre que se tiene la oportunidad. Por ejemplo, a medida que los sistemas operativos se han protegido (tarde, pero lo han hecho en cierta medida) contra ataques y malware, parece que nadie más a aprendido la lección, y los servicios en remoto que hoy en día se puede decir que forman parte de “la nube” (que a su vez forma parte del escritorio) parecen condenadas a repetir el mismo error.

Fuente:Noticias Hispasec

Apple está trabajando en un parche para arreglar un grave problema de seguridad que podría permitir la ejecución de código arbitrario en el iPhone al recibir un SMS especialmente manipulado. Hasta ahora los fallos graves se habían encontrado en su Safari integrado, cuando el usuario visitaba una página web de un atacante. Este problema hace posible que un atacante ejecute cualquier programa en el teléfono si necesidad de conexión a internet, con solo enviar un SMS que sea leído por la víctima.

El fallo se encuentra en la manera en la que el programa de SMS de iPhone procesa los mensajes cortos. No se han hecho públicos los detalles técnicos. Charlie Miller lo desveló en la conferencia SyScan en Singapur, al enviar un SMS que provocaba que la aplicación de mensajería del teléfono dejase de responder. Aunque dice no haber determinado todavía cómo aprovechar este fallo para ejecutar código, parece bastante convencido de poder lograrlo.

La aplicación que procesa los SMS (al contrario que otras que se encuentran más protegidas en el iPhone) se ejecuta bajo los privilegios de root, con lo que la ejecución de código tendría total control del dispositivo. Un atacante podría desde realizar llamadas a números especiales hasta abrir el micrófono del aparato y espiar conversaciones.

Miller dará todos los detalles en la Black Hat a finales de julio. Dice haber avisado a Apple y que está trabajando en una solución, que se hará disponible antes del famoso encuentro. Miller es coautor del libro “The Mac Hacker’s Handbook”.

Lo más probable es que esta vulnerabilidad no sea explotada de forma masiva por atacantes, pero abre un vector de ataque muy interesante.

iPhone adopta medidas de seguridad muy lógicas en su sistema operativo:

los paquetes deben estar firmados por Apple (excepto si el teléfono está

“jailbraked”) y muchas de sus aplicaciones se mueven dentro de una sandbox que impide que accedan a zonas sensibles del dispositivo. Sin embargo el programa que procesa los SMS no lo hace, y esto lo convierte en un vector de ataque muy atractivo, puesto que se puede transmitir código binario en un mensaje corto. El hecho de que el número de caracteres esté limitado parece irrelevante, puesto que se pueden enviar un número indefinido de SMS y el programa los rensamblará.

Fuente:Noticias Hispasec

NetBSD ha publicado actualizaciones de seguridad para OpenSSH, ntp y hack que corrigen diferentes problemas de seguridad. NetBSD es una implementación Unix de la familia *BSD, constituidos por NetBSD, OpenBSD y FreeBSD. Se trata de sistemas operativos de código abierto creados con la seguridad como principal motivación.

La actualización para OpenSSH, el conjunto de herramientas basado en el protocolo SSH, soluciona una debilidad en el manejo de errores que podría permitir a un atacante capturar hasta 32 bits en texto plano de bloques arbitrarios procedentes de tráfico cifrado con el modo CBC (Cipher Block Chaining).

Para ntp, se corrigen dos vulnerabilidades que podrían permitir a un atacante remoto ejecutar código arbitrario con los permisos del usuario ntp. Las vulnerabilidades, desbordamiento de memoria intermedia basada en pila, se encuentran en las funciones “cookedprint” y “crypto_recv”, pertenecientes al comando ntpq, encargado de efectuar consultas a servidores ntp. Un atacante remoto podría ejecutar código arbitrario en un sistema que use el comando ntpq contra un servidor atacante a través de paquetes especialmente manipulados.

La tercera y última actualización es para Hack, un popular juego de mazmorras en modo texto basado en Rogue. Se han encontrado múltiples vulnerabilidades que podrían permitir a un atacante ejecutar código arbitrario con los privilegios del grupo “games”.

Fuente:Noticias Hispasec

Ya sabes que la nueva versión del estándar de la web por excelencia se llama HTML5 y todos los navegadores actuales se encuentran más o menos en una carrera por implementar varias de sus partes. Aquí en Genbeta Guillermo nos explicó genialmente y de manera bastante gráfica lo interesante de HTML5 para los usuarios de la web, y últimamente hemos comentado en varias ocasiones los avances que está teniendo.

Sin embargo en el blog de AnexoM un servidor ha hecho una lista relativamente minuciosa sobre las novedades de HTML5 que tenemos desde el lado del desarrollador web, de un perfil algo más técnico y que trabajará escribiendo este lenguaje. A lo largo de cuatro artículos se resumen los cambios respecto a HTML4, desde qué nuevos elementos/atributos podemos usar hasta qué cosas se dejan de soportar, tanto de elementos estáticos como dinámicos mediante Javascript.

Ahora que Firefox 3.5 es una realidad y Safari/Chrome/Opera/IE8 se han puesto las pilas, es un muy buen momento para empezar a renovar vuestro conocimiento en HTML.

Fuente: Las novedades de HTML5 | Parte 2 | Parte 3 | Parte 4

Varios meses de intenso desarrollo han tenido que pasar para que salga a la luz esta versión, pero por fin está disponible Firefox 3.5, una actualización que trae consigo numerosas mejoras de rendimiento y estabilidad, así como mayor compatibilidad con diversas tecnologías web como HTML 5, CSS y Javascript.

Además de las mejoras, Firefox 3.5 incorpora algunas cuantas novedades como navegación privada, una característica de privacidad bien conocida en Safari, Google Chrome e incluso Internet Explorer 8, y que nos permite navegar de modo que Firefox no registre las páginas visitadas, cookies, formularios, descargas, y otros archivos que puedan revelar nuestro historial de navegación.

Firefox 3.5 está disponible en más de 70 idiomas y se puede descargar para Windows, Mac OS X y Linux. Si ya eres usuarios de Firefox, puedes actualizar de forma automática desde el menú Ayuda – Buscar Actualización, si no, ahora es el mejor momento para descargar este navegador en su sitio web oficial.

Enlace | Firefox 3.5

Fuente:Open Security