Tag Archives: firefox

Firefox 3.0.10 corrige una vulnerabilidad introducida con la actualización anterior

Posted on by
Reply

Una semana después de publicar la 3.0.9 que corregía un buen puñado de vulnerabilidades, Mozilla saca a la luz la versión 3.0.10 de su navegador Firefox. Esta soluciona un fallo de seguridad crítico introducido por una de las actualizaciones anteriores.

Se trata de una regresión (un problema ya corregido en el pasado) que vuelve a quedar expuesto tras una actualización. Después de los últimos parches, muchos usuarios del plugin HTML Validator experimentaron inestabilidad en el navegador. Luego se comprobó que no estaba causada por ese plugin en concreto, y que se trataba de un problema de corrupción de memoria que podría permitir a un atacante ejecutar código si la víctima visita una página web especialmente manipulada. El fallo en concreto se da en la función nsTextFrame::ClearTextRun.

A finales de marzo, la fundación Mozilla adelantaba la actualización de Firefox debido a otra vulnerabilidad muy grave que estaba siendo aprovechada desde hacía días. Aunque anunciaron que la publicarían para principios de abril, el día 28 de marzo ya estaba disponible la versión 3.0.8 de Firefox que corregía dos graves vulnerabilidades. Dos semanas después aparecía la 3.0.9 que solucionaba otras tantas.

Con la versión 3.0.10, el equipo de seguridad de Mozilla vuelve a resolver rápidamente un grave problema. Ante esta celeridad, solo cabe esperar que efectivamente hayan realizado las comprobaciones oportunas y las modificaciones realizadas solucionen tajantemente los fallos.

Fuente: Hispasec

More here:
Firefox 3.0.10 corrige una vulnerabilidad introducida con la actualización anterior |

Disponible Firefox 3.0.9

Posted on by
Reply

Se encuentra disponible la actualización de la versión 3.0.9 de Firefox que soluciona varios problemas encontrados en Firefox en las versiones anteriores:

  • Solucionados varios problemas de seguridad.
  • Solucionados varios problemas de estabilidad.
  • Bastantes usuarios experimentaron un problema de corrupción en la base de datos local, la cual provocaba que Firefox perdiera las cookies almacenadas (bug 470578).
  • Solucionado un problema por el cual, desde Firefox 3.0.7, los adjuntos de imágenes en línea no se mostraban en algunos servicios de correo web populares (como AOL y AIM). (bug 482659)
  • A veces, los formularios muy extensos tardaban mucho tiempo en ser enviados. (bug 426991)
  • En algunas ocasiones, las ventanas nuevas no obtenían el foco. (bug 446568)
  • Para ver los cambios en publicaciones previas, lee las notas de versión de Firefox 3.0.8.

Fuente: Fundación Mozilla

Read more:
Disponible Firefox 3.0.9 |

10 configuraciones del IE para una navegación más segura

Posted on by
Reply

Pida, en una sala llena de especialistas de seguridad, una lista de configuraciones de seguridad que hagan seguro de usar el Internet Explorer (IE) y escuchara risas o el consejo de obtener un nuevo navegador tal como Firefox de Mozilla, Opera ó Chrome de Google.

Enfrentamiento de Navegadores: IE 8 vs. Firefox
Batalla de navegadores: Firefox 3.1 vs. Chrome vs. IE 8

Aun cuando Microsoft ha trabajado con diligencia para mejorar la seguridad en su navegador aquejado de problemas, especialmente en IE7 y el recientemente liberado IE8, los profesionales de seguridad sencillamente no le confían. La mayoría ha cambiado a navegadores alternativos, especialmente a Firefox [Vea: Microsoft Libera IE8, Refuerza la Seguridad]

Pero la intoxicación de seguridad que encuentran los profesionales de seguridad en Firefox y otros alternativos viene con una gran resaca. Cuando uno se levanta después de una noche de aventuras en línea con uno de los navegadores alternativos, la dura realidad es que no podrá nunca alejarse por completo del IE. La razón obvia es que IE está tan estrechamente integrado dentro del sistema operativo Windows, a pesar que algunas voces de la industria han llamado a Microsoft para divorciarlo del SO. [Vea: Experto de Seguridad: Microsoft debe amputar el IE del Windows]

“No vamos a ser capaces de escaparnos del IE en el mundo corporativo en el futuro cercano,” dijo Christopher Mendlik, un analista de amenazas de Wachovia. Más allá de la estrecha integración con Windows, está la simple realidad que algunas aplicaciones de negocios solo funcionan con IE. En CSOonline y otras tiendas de medios, por ejemplo, los programas usados para poner contenido en linea tienden a ser alérgicos con los navegadores que no son IE.

Aquellos que no tienen otra opción que usar IE se han volcado a ciertos mecanismos para arreglárselas.

Mendlik elije fijar el IE con políticas de grupo (GPO), mantenerse al día con los nuevos parches y usar filtrado de contenidos en un proxy/firewall con listas negras de actualización en tiempo real. También monitorea las conexiones internas y las salientes como un águila en busca de cualquier actividad inusual.

Thomas Evans, un administrador de seguridad de red de Cleveland, sugiere instalar Sandbox for IE, el cual le permite a los usuarios correr cualquier programa en una “caja de arena” (sandbox) y confinar cualquier daño a la caja de arena y el registro virtual. “Cuando la sesión (de navegación) termina, se puede borrar todo lo asociado con esta de forma segura. Si uno se descargó algo mediante una descarga conducida (drive-by) no puede salir de allí para hacer ningún daño,” dijo.

Además de estas medidas, CSOonline fue en busca de 10 configuraciones esenciales de seguridad para hacer que un paseo en linea a bordo del IE sea más seguro. Aquí está la lista de esos 10 provista por Jeff Forristal, un experimentado ingeniero de seguridad del proveedor de seguridad Zscaler:

1. Deshabilite los documentos XPS

Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Documentos XPS: Deshabilitar. Los documentos XPS son un formato de imagen nuevo que se introdujo en Vista, dijo Forristal. Los atacantes han estado haciéndose un día de campo explotando los formatos de imagen/documento y los parsers, de modo que mientras menos formatos soporte con su navegador, mejor.

Contra: Esto puede afecta la visualización de documentos XPS simples, pero se puede conseguir un viso de XPS de MS que no requiere IE, dijo.

2. Deshabilitar la descarga de fuentes

Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Descarga de fuentes: Deshabilitar.

Los sitios Web puede ofrecer que su navegador descargue e instale un archivo con la fuente apropiada para mostrar correctamente caracteres internacionales cuando se ve una página Web. Esto es, si embargo, otro formato de archivo y vector de ataque que podría albergar vulnerabilidades desconocidas o no descubiertas, dijo Forristal. Si no suele navegar sitios web fuera de su idioma normal, entonces realmente no necesita eso.

Contra: Esto podría hacer que algunas páginas se vean un poquito menos lindas, pero Forristal dice que aun así serán usables.

3. Deshabilitar la inclusión del camino del directorio local de archivos cuando se suben archivos a un servidor.

Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Incluir camino de directorio de archivos local cuando se suben archivos a un servidor: Deshabilitar.

Cuando fuera que suba un archivo a un servidor Web (tal como una imagen a su blog o a su cuenta de Flickr), el navegador tiene la opción de enviar solo el nombre del archivo o el camino completo del archivo, aunque el sitio solo necesita el nombre del archivo, dijo Forristal. Esto resulta en una preocupación de privacidad benigna porque la ruta completa del archivo incluye información de identificación tal como su nombre de usuario para el ingreso en la computadora. Enviar “c:UsersjforristalPicturesblog.gif” expone mi nombre de usuario “jforristal,” señaló.

Contra: Nada obviamente negativo.

4. Deshabilitar preguntar si uno es proclive a dar clic en “si”

Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/(varios).

Muchas de las semi-opciones de seguridad en la solapa de zona de seguridad tienen por defecto la opción “preguntar”, lo que significa que le pregunta que hacer. Si uno es proclive a seleccionar siempre que “si” sea cuando fuera que se le aparezca una ventana emergente (no es un buen hábito!), puede eliminar la tentación simplemente cambiando todas las opciones en “preguntar” al valor “deshabilitar”. Esto usualmente es seguro si no suele uno recibir muchas consultas.

Contra: Nada obviamente negativo.

5. Preguntar siempre por el usuario y contraseña

Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Autenticación de usuario/Logon: Preguntar por usuario y contraseña.

Para los usuarios hogareños y otros que usan computadoras que no están en un ambiente de empresa que use Active Directory, no hay ventaja de tener habilitado un auto-logon ya que no hay prácticamente nada a lo que querrá tener auto-logon en Internet, dijo. Normalmente IE limitará este comportamiento de auto-logon a los sitios de la zona de Intranet, pero ¿que pasaría sin un atacante lo engaña y le hace cree que un sitio web está en una zona diferente?. No hay motivo para arriesgarse por una característica que no necesita, para nada, dijo.

Contra: Nada obviamente negativo.

6. Deshabilitar el soporte de SSL 2.0

Herramientas/Opciones de Internet/solapa Avanzado/Usar SSL 2.0: sin marcar.

SSL2 ha sido declarado inseguro desde hace mucho y no es apropiado para usar según los reguladores de las instituciones financieras, señalo Forristal. Cualquier sitio web en el mundo que solo soporte SSL2 y nada mas nuevo (como SSL2 o TLS) es o bien algo que no es bueno o tan viejo que está lleno de vulnerabilidades, haciéndolo proclive a estar comprometido por un hacker y por lo tanto no es nada bueno.

Contra: Nada obviamente negativo.

7. Habilitar el soporte TLS

Herramientas/Opciones de Internet/solapa Avanzado/Usar TLS 1.0: marcado

TLS es una evolución de SSL, ofrece más mejoras de seguridad y extensiones que SSL3. Su uso está garantizado, y por lo tanto esta característica debe esta habilitada.

Contra: Nada obviamente negativo.

8. Deshabilitar la búsqueda desde la barra de direcciones URL

Herramientas/Opciones de Internet/solapa Avanzado/Buscar desde la barra de direcciones: No buscar desde la barra de direcciones

A Forristal personalmente no le gusta la idea de que cada error de copiar y pegar o de tipeo u otras cosas ingresadas en la barra de dirección URL sea enviado automáticamente hacia los motores de búsqueda como términos de búsqueda. Existe la posibilidad de que suceda una situación de divulgación de información. Por eso esta sugerencia.

Contra: Nada obviamente negativo.

9. Deshabilitar los agregados innecesarios

Herramientas/Opciones de Internet/solapa Programas/Administrar el botón de Agregados

Hay muchas herramientas de terceros que se añaden solas dentro de nuestro navegador. Cada una es técnicamente un camino para que potencialmente un atacante lo ataque, y por eso, deseará deshabilitar tantas como sea posible, dijo Forristal.

Contra: Desafortunadamente no siempre es obvio lo que hay que dejar y que debe ser deshabilitado, dijo Forristal.

Pero los usuarios deben examinar cuidadosamente la lista para ver si algo les salta a la vista como algo que no es mas necesario. Por ejemplo, preguntó, “¿Sigue usando Skype después de haberlo probado hace unos meses atrás? Luego uno puede deshabilitar con seguridad el agregado de Skype en el navegador.

10. Desinstalar viejas instalaciones de Java

(Vista) Menú Inicio/Panel de control/Programas y características.

Por alguna extraña razón, las nuevas versiones de Java a veces instalan completamente una nueva versión en lugar de actualizar las viejas existente. Esto puede ser problemático porque un atacante aun puede utilizar versiones viejas, y aquellas pueden albergar fallas de seguridad arregladas en la versiones más nuevas. De modo que Forristal sugiere verificar sus lista de aplicaciones instaladas, bajar hasta ‘Java’ y conservar la versión mas alta instalada eliminando las demás. “Cuando está allí, también es un buen momento de recorrer la lista y eliminar cualquier otra cosa que ya no use — de nuevo, una menor superficie de ataque,” dijo.

Contra: Nada obviamente negativo.

“La mayoría de las opciones señaladas, con la excepción de desinstalar versiones antiguas de Java, se pueden deshacer con seguridad simplemente cambiando un tilde o un botón de opción de configuración,” dijo Forristal. “Así que está bien experimentar e intentar con estas configuraciones; si alguna le da problemas, sencillamente revierta el cambio y todo volverá a ser normal.”

Traducción exclusiva de Segu-info: Raúl Batista
Autor: Bill Brenner
Fuente: NetworkWorld

Read more from the original source:
10 configuraciones del IE para una navegación más segura |

Mozilla adelanta la actualización de Firefox 3.0.8

Posted on by
Reply

Aunque anunciaron que la publicarían para principios de la semana que viene, ya está disponible la versión 3.0.8 de Firefox que corrige la grave vulnerabilidad de la que hablábamos en esta una-al-día.

Además de otro fallo crítico que se descubrió en la Pwn2Own 2009 de la CanSecWest.

Solucionar el primer problema era relativamente sencillo (apenas una permutación de líneas en el código) pero es cierto que con los cambios en programas mastodónticos nunca se sabe, y es necesaria una fase de comprobación y pruebas. Con el anuncio para la semana que viene, quizás buscaban cubrirse las espaldas, cuando en realidad intuían que podrían publicar la actualización oficial varios días antes, como finalmente han hecho. Ante este celeridad, solo cabe esperar que efectivamente hayan realizado las comprobaciones oportunas y las modificaciones realizadas solucionen tajantemente los fallos. En cualquier caso, bien por el equipo de la fundación Mozilla.

Fuente: Blog de Hispasec

See original here:
Mozilla adelanta la actualización de Firefox 3.0.8 |

Preguntas al hacker de Pwn2Own Charlie Miller

Posted on by
Reply

VANCOUVER, BC — En la conferencia de seguridad CanSecWest, tuve la oportunidad de sentarme con Charlie Miller, el investigador que irrumpió dentro de una MacBook completamente actualizada usando una vulnerabilidad de código de ejecución del navegador Safari.

Discutimos el estado de la seguridad de los navegadores Web, el mercado de las vulnerabilidades y la necesidad de mitigaciones anti-explotación en los sistemas operativos modernos.

Ryan Naraine: ¿qué puede decirnos sobre la vulnerabilidad?

Charlie Miller: No mucho. Como parte de las reglas de la competencia, estoy bajo un acuerdo de no divulgación (NDA) respecto de los detalles técnicos. Puedo decirle que la computadora (MacBook Air) estaba completamente actualizada. Fue una explotación contra el Safari 4 y también funciona en Safari 3.

En realidad encontré esta falla antes del Pwn2Own del año pasado pero, en ese momento, era difícil de explotar. El último año, se podría ganar solo una vez así que reservar esta segunda falla. Salió bien, aún seguía allí este año así que escribí otra explotación y lo usé este año.

¿Funciona en Safari para Windows?

No lo sé. No me fijé.

¿Consideró informar la vulnerabilidad a Apple?

Nunca entrego gratis las vulnerabilidades. Tengo una campaña nueva. Se llama NO MÁS VULNERABILIDADES GRATIS. Las vulnerabilidades tienen un valor de mercado de modo que no tiene sentido trabajar duro para encontrar una falla, escribir una explotación y luego darlo sin más. Apple le paga a gente para hacer ese mismo trabajo de modo que sabemos que tiene un valor. No más fallas gratis.

¿Qué valor aproximado tiene esa falla de Safari?

Era de probablemente más que los u$s 5.000 del premio que gané. Es mucho menor que la vulnerabilidad de IE8 (explotada separadamente por Nils) en un factor de diez. Podía haber obtenido más que u$s 5.000 por ella pero me gusta la idea de venir aquí y exponer lo que puedo hacer y conseguir algunos titulare para la compañía en la que trabajo (Independent Security Evaluators).

¿Porqué Safari? ¿Porqué no fuiste tras IE or Safari?

En verdad es simple. El Safari en la Mac es más fácil de explotar. Las cosas que hace Windows para que sea más difícil (para que una explotación funcione), las Macs no las hacen. Atacar en una Mac es mucho más sencillo. No tienes que hacer malabares y lidiar con todas las mitigaciones anti-explotación que se encuentran en Windows.

Es más cuestión del sistema operativo que del programa (objetivo). Firefox en Mac también es muy sencillo. El SO subyacente no tiene cosas anti-explotación incorporadas en él.

[ Vea: 10 preguntas para el hacker de MacBook hacker Dino Dai Zovi ]

Con mi explotación para Safari, pongo el código en el proceso y se exactamente donde ca a estar. No hay distribución al azar. Se que cuando salto allí, el código está y puedo ejecutarlo allí. En Windows, el código puede aparecer pero no se donde está. Incluso si llego al código, no es ejecutable. Esas son dos vallas que las Macs no tienen.

Está claro que los tres navegadores (Safari, IE y Firefox)tienen fallas. Agujeros de ejecución por todas partes. Pero eso es sólo la mitad de la ecuación. La otra mitad es explotarlos. Casi no hay vallas por la que saltar en Mac OS X.

¿Qué es más difícil, encontrar la falla o escribir la explotación?

Está cambiando. Antes, siempre era difícil encontrar fallas, pero cuando encontrabas algo, era más sencillo escribir un código de explotación confiable. Ahora las (compañías de software) se volvieron astutas y hacen mucho más difícil la explotación. Es difícil encontrar una buena falla en estos días y aún más explotarla y tratar con todas las mitigaciones. Es por eso que Dino (Dai Zovi) y yo somos un buen equipo. Él se especializa en explotaciones y yo me puedo concentrar en encontrar buenas fallas.

En una escala de 1-10, ¿qué tan admirable fue el alcance de la explotación de Nils de los tres navegadores?

Me sorprendió. Por el de IE8 le daría 9 sobre 10. Por Safari, quizás un 2. Es tan fácil reventar a Safari. Por Firefox en Windows, le doy un 10. Ese fue el más admirable de los tres. Es verdaderamente difícil explotar Firefox en Windows.

¿En serio? ¿Cuál es la diferencia entre lo que puedes hacer en IE pero no puedes en Firefox?

La técnica que usó funciona contra IE pero no con Firefox. Permite poner código en una espacio específico en la memoria. Mark Dowd y Alex Sotirov hablaron sobre esto en el Black Hat del último año. Se puede usar la técnica para hacer que .Net no opte en las mitigaciones y saltárselo por arriba fácilmente. con Firefox, no se puede hacer eso.

De todos los navegadores en sistemas operativos, el blanco más difícil es Firefox sobre Windows. Con Firefox sobre Mac OS X, se puede hacer lo que quieras. No hay nada en el sistema operativo de Mac que te detenga.

Hablaste ante sobre el valor de las vulnerabilidades. ¿Fué una sorpresa que él (Nils) entregara los tres de “alto valor” por u$s 5.000 cada uno?

Queda claro que él es increíblemente talentoso. Quedé estupefacto cuando vi a alguien que se anotaba para ir tras el IE8. Se puede obtener una paga muchos más alta que u$s 5.000 por una de esas vulnerabilidades. He hablado a mucha gente lista, conocedora y nadie sabe con exactitud como lo hizo. Podría obtener fácilmente u$s 50.000 por aquella vulnerabilidad. Digo que u$s 50.000 es un precio de inicio.

Por el tiempo que empleó para hacer lo que hizo en IE y Firefox, podría haber encontrado y explotado cinco o 10 bugs de Safari. Ya que ellos pagan u$s 5.000 por cada vulnerabilidad verificable, él podría haber empleado el mismo tiempo y recursos y hacerse de u$s 25.000 o u$s 30.000 fácilmente solo yendo tras Safari sobre Mac.

Google Chrome fue un blanco que quedó en pie. ¿Le sorprendió?

Hay fallas en Chrome pero son muy difíciles de explotar. Ahora mismo tengo una vulnerabilidad pero no se como explotarla. Es verdaderamente difícil. Consiguieron el modelo de cajón de arena (sandbox)del cual es difícil salir. Con Chrome, es una combinación de cosas – uno no puede ejecutar en la (memoria) pila (heap), las protecciones en Windows y el cajón de arena.

[ VEA: Pwn2Own hacker: Apple Safari es una 'elección sencilla' ]

Debería tener esta vulnerabilidad y debería poder ser capaz de conseguir ejecutar código. Pero ahora uno está en un cajón de arena y no tiene permisos de hacer nada. Se necesita de otra falla para salir del cajón de arena. Ahora necesita dos fallas y dos explotaciones. Eso eleva la valla.

Al llegar, cuando publique mis predicciones, no pensaba que nadie iría tras Chrome, IE o Firefox. Por economía. Sólo es difícil o sencillo comparado con cuanto va a pagar alguien. Si Pwn2Own ofreciera $1 millón por falla de Chrome, habría una fila de gente buscando mandarlos a la quiebra.

¿Se están volviendo mejores los navegadores en general para asegurar a los navegantes Web?

Los navegadores son tan complejos, es casi imposible hacerlo todo bien. Con todo ese código y dependencias, es difícil ser perfecto. LA gente decía cinco años atrás que los desbordamientos de buffer estarían resueltos para esta época. Bien, no lo están. Las fallas siempre estarán allí así que la acción lógica es trabajar en las mitigaciones y controles (anti-explotación).

Los navegadores hacen un mejor trabajo al proveer advertencias visuales de sitios de phishing y malware o SSL pobre. No es suficiente pero es mejor que nada. Pienso que lo que uno ve con Chrome y el cajón de arena, es allí donde todos deben ir. Tomará algunos años pero deberá ser el estándar.

Traducido para blog Segu-info por Raúl Batista
Autor: Ryan Naraine
Fuente: Blogs Zdnet

See the original post here:
Preguntas al hacker de Pwn2Own Charlie Miller |