Tag Archives: firefox

Mac, Safari, IE8 y Firefox hackeado en el primer día

Posted on by
Reply

La competición de hackers en Vancouver muestra otra vez los problemas de seguridad entre los principales navegadores; Charlie Miller se ganó de nuevo una MacBook y $5,000 tras hackear una MacBook Air tras el usuario picar un vínculo malicioso. Otro hacker hizo lo mismo con una Sony Vaio P con Windows 7 y el nuevo Internet Explorer 8. El único que se libró fue el Chrome de Google -Opera no toma parte en la competición.

Para el experto en seguridad informática Charlie Miller fue extremadamente sencillo hackear una Macintosh.
El procedimiento le tomó sólo 10 segundos y el premio fue de 5.000 dólares.

Charlie Miller, quien ha ganado renombre en el mundo de Macintosh al haber hackeado en 2008 una MacBook Air en menos de dos minutos, logró el miércoles 18 de marzo la proeza de hackear una Mac en menos de 10 segundos, batiendo así su propio récord personal.

El concurso es denominado Pwn2own y es organizado cada año en el marco de la conferencia de seguridad Cansecwest. Un requisito mínimo de concurso es ejecutar código en el sistema intervenido.

Este año, Cansecwest se ha concentrado en el tema de los iPhone y los navegadores. Hace dos semanas, Miller declaró que Safari sería sin duda alguna el navegador más fácil de vulnerar. Explicó que el alto nivel técnico y numerosas funciones de Safari implican que éste tiene un gran potencial para vulnerabilidades, que los desarrolladores sencillamente han olvidado corregir.

“No puedo comentar los detalles de la vulnerabilidades, pero se trata de una Macintosh con las últimas actualizaciones de seguridad. Me tomó entre 5 y 10 segundos hackearla”, comentó Miller.

Los hackers participantes no tuvieron problema alguno en intervenir los navegadores Firefox y Explorer 8, además de Windows 7. Sin embargo, ninguno logró intervenir los sistemas de teléfonos móviles, incluido el iPhone. El premio por un hack de ese tipo habría sido el doble.

Los detalles de los hacks fueron proporcionados a las empresas desarrolladora de los software, para su análisis y corrección.

Según Miller, su hack fue posible aprovechando una vulnerabilidad que detectó durante el concurso del año pasado.

Si bien ya sabemos que Safari fue el primer navegador web en ser explotado, no deja de ser interesante los navegadores que siguieron después, pues entre los objetivos también estaban Internet Explorer 8, Firefox y Google Chrome.

Un investigador de seguridad simplemente conocido como “Nils”, además de que logró ser el segundo en explotar Safari, también pudo vulnerar la seguridad de Firefox e Internet Explorer 8, pese a que este último llevó más tiempo.

En el caso de Internet Explorer 8, el ataque se realizó sobre Windows 7 en un equipo Sony Vaio. Aunque por ahora no se han dado a conocer detalles de la vulnerabilidad, el equipo de TippingPoint ZDI, patrocinador del concurso, calificó el problema de seguridad como un “error brillante de Internet Explorer 8”.

Al concurso acudieron miembros de seguridad de Microsoft, y aunque parecía que la nueva versión del navegador se mantendría, finalmente fue explotado.

Las vulnerabilidades que han sido aprovechadas en los diferentes navegadores se mantienen hasta el momento en secreto. Los detalles se darán a conocer una vez que los respectivos desarrolladores corrijan el problema en sus productos.

Fuente:
Noticias Tech
DiatioTI
Engadget
Open Security
ZDNet

See the original post here:
Mac, Safari, IE8 y Firefox hackeado en el primer día |

Firefox 3.1 beta 3 disponible

Posted on by
Reply

Hace unos días foXtensor les comentaba como Firefox 3.1 había pasado a ser Firefox 3.5. A partir de hoy está disponible la tercera beta de Firefox 3.1, que como puede verse aun mantiene su nombre pero que según lo comentan en Mozilla Developer, el cambio va a suceder luego de esta beta.

Entre las novedades que se mencionan en las Notas de Lanzamiento se destaca lo siguiente:

Mejoras en el modo de navegación privada: esto lo habíamos comentado anteriormente en este artículo sobre Firefox 3.1. El modo privado o ‘porno’ consiste en navegar sin dejar rastros, como el cache, cookies, historial o detos ingresados en formularios.

TraceMonkey activado: TraceMonkey es el nuevo motor Javascript de Firefox, que mejora drásticamente su velocidad de ejecución. Hasta ahora era posible probarlo pero había que activarlo. En esta beta ya viene implementado por defecto y pueden notar la diferencia de velocidad. También es posible hacer un test de velocidad y comparar los resultados en este enlace.

Soporte nativo para JSON: como lo comentan en este artículo, esto es positivo ya que por un lado es más rápido que el navegador interprete JSON a que lo haga una libreria externa. Por otro lado es más seguro ya que previene posible ejecución de código malicioso.

Mejoras en los Web Workers: puede verse más información en este enlace.

Soporte para las etiquetas [audio] y [video]: esto es algo que venia probando en las últimas compilaciones y que se trata de que el navegador es capaz de reproducir nativamente audio y video en formato ogg sin necesidad de plugins. Puede verse una demostración de como utilizar estos elementos en este enlace.

Transformaciones CSS: algo que también les habíamos adelantado tiempo atrás. Se trata de soporte mediante CSS a transformaciones como escalar, rotación, sesgar o translación de elementos web. En este enlace puede verse más información y ejemplos sobre el uso de estas propiedades.

Además de lo anterior se ha aumentado el soporte de idiomas, y como siempre mejoras el el motor Gecko y en el soporte para CSS.

Fuente: ZonaFirefox

View post:
Firefox 3.1 beta 3 disponible |

PortableSigner (y III): Uso y verificación de firmas con Acroread

Posted on by
Reply

Ahora que ya hemos instalado Java y PortableSigner en nuestro sistema, de forma que pueda ser usado por cualquier usuario, vamos a ver la forma en la que podemos usar este programa para firmar digitalmente nuestros documentos PDF…

Leer Más…

More here:
PortableSigner (y III): Uso y verificación de firmas con Acroread |

La nueva versión de Firefox corrige otras ocho vulnerabilidades

Posted on by
Reply

Apenas un mes después de corregir seis vulnerabilidades con la última 3.0.6, Mozilla lanza la nueva versión 3.0.7 de su navegador Firefox que soluciona otros ocho fallos de seguridad. Seis de ellos críticos.

La nueva versión de Firefox soluciona ocho vulnerabilidades aglutinadas en cinco boletines. Tres de estos boletines tienen carácter crítico (permite ejecución remota de código con solo visitar una página web), uno es considerado de alto riesgo y uno de carácter bajo.

Específicamente, cada boletín:

* Un problema de falsificación de URL usando caracteres de control invisibles.
* Se ha actualizado la librería PNG para solucionar riesgos de seguridad con la memoria.
* Riesgo de robo de datos a través de RDFXMLDataSource.
* Un problema con el recolector de basura podría permitir ejecución de código.
* Múltiples problemas de corrupción de memoria con evidencias de posibilidad de ejecución de código.

Estos fallos, como de costumbre, también afectan al cliente de correo Thunderbird y SeaMonkey. Para los usuarios de Thunderbird, solo queda deshabilitar JavaScript para intentar mitigar solo algunos de estos problemas, o bien lanzarse a buscar las versiones en pruebas en los servidores FTP de la fundación Mozilla.

Mozilla todavía no ha corregido las anteriores vulnerabilidades aparecidas en febrero y que se supone deberían haber sido solucionadas con la versión 2.0.0.20 de Thunderbird. Incluso un mes después todavía no está disponible para descarga desde el sitio oficial (sigue la 2.0.0.19 disponible desde finales de diciembre). Ahora, anuncia que en una futura versión 2.0.0.21 (para la que no se indica fecha) se solucionarán también esta tanda de problemas.

Sergio de los Santos
[email protected]

Fuente: Hispasec

See more here:
La nueva versión de Firefox corrige otras ocho vulnerabilidades |

Malvertising : la publicidad en el punto de mira

Posted on by
Reply

El uso de técnicas de “malvertising” para aumentar el ratio de infecciones en las campañas de propagación de malware está en auge, el objetivo de este post es exponer de manera genérica esta problemática.

El malvertising (de malware + advertising ) consiste en la utilización de una infraestructura en apariencia legal para realizar campañas de despliegue de malware. Los principales vectores de infección pueden ir desde la vulneración directa del servidor de publicidad (Real Media 2007 ) , pasando por contratar el servicio de manera “legítima” e incluir código malicioso en el propio anuncio a distribuir (MySpace 2006 ) hasta la técnica más genérica que consiste en vulnerar sitios web “destino” para inyectar código que facilite la propagación del malware como ya comentámos recientemente en este mismo blog.

Como en todo negocio, la industria del malware tiene muy en cuenta el factor económico, es decir, la valoración de los recursos invertidos en relación con el supuesto beneficio que se obtendrá. En este sentido, parece que estas campañas de malvertising cumplen los requisitos deseados: una mínima inversión puede llegar a un elevadísimo ratio de infección .

Las contramedidas para este tipo de fraudes, serán diferentes teniendo en cuenta nuestra posición en la “cadena” : como usuarios podemos aplicar cierta medidas preventivas ( principalmente sentido común , usar el navegador Firefox con complementos como Noscript, StopAutoplay, Ad-block, FlashBlock ,etc.) , como responsables de contenidos deberíamos llevar a cabo una serie de comprobaciones sobre nuestro proveedor de publicidad (comprobar su reputación en el mercado, las medidas que adoptan para evitar este tipo de ataques, si nos ofrece la posibilidad de utilizar filtros específicos para incluir solo aquella publicidad que nos interese, creación de listas de proveedores de confianza ) .

El grupo que debería asumir parte importante de responsabilidad es el de los responsables de distribución que como encargados de la gestión y despliegue de la publicidad, son los que en primera instancia deberían tomar ciertas medidas : comprobar las referencias de los supuestos anunciantes, su credibilidad, el producto final, analizar las tecnologías empleadas con herramientas como Adoptools , etc.

Desde el departamento de eCrime seguiremos analizando y comentando métodos de propagación de fraudes ya que creemos que en un futuro próximo aparecerán nuevos vectores de infección cuya base operativa serán infraestructuras legítimas (y no solamente relacionadas con la publicidad). En el informe mensual de este mes, ampliaremos los puntos expuestos en este post.

Daniel López
S21sec e-crime

Fuente: S21Sec

Here is the original post: 
Malvertising : la publicidad en el punto de mira |