Navegadores nuevos con viejos problemas

octubre 31, 2006 § Deja un comentario

Sergio de los Santos
ssantos@hispasec.com

Dos nuevas versiones de navegadores muy utilizados han aparecido casi
de forma simultánea. Mozilla Firefox 2.x e Internet Explorer 7.x de
Microsoft. Son dos evoluciones muy esperadas por los usuarios, que se
supone traerían mejoras en funcionalidad y protección. Tras varios días
a disposición de los usuarios, se ha demostrado que sufren distintos
problemas de seguridad. Lo extraño es que varios los han heredado de
sus versiones predecesoras.

Como adelantábamos hace unos días en un boletín, a IE7 “no le espera una
vida ‘cómoda’”, y con sólo unos días en la calle, ha quedado demostrado.
Nada más “nacer”, algunas casas ya lanzan ataques antiguos contra el
nuevo navegador de Microsoft. Se demostró el día 19 de octubre que un
problema de seguridad descubierto en abril de 2006 (y sin parche
oficial) en Internet Explorer 6, también afectaba a la nueva versión 7.
Puede ser aprovechado por atacantes para revelar información sensible.
El día 30 se ha descubierto una “nueva” vulnerabilidad en Internet
Explorer 7 que puede ser aprovechada por atacantes para falsificar el
contenido de una ventana emergente que se cargue desde un web site en la
que se confía. Este problema es un variación de un fallo muy similar no
corregido, encontrado en diciembre de 2004 en Internet Explorer 6.x.

Además, se ha publicado código para hacer que Internet Explorer 7.x
deje de responder a través de ADODB.Connection (aunque se especula con
que es posible ejecutar código, no se ha confirmado) y otro error de
falsificación de URL que afecta en mayor o menor medida a todos los
navegadores, pero que en Internet Explorer 7 resultaría especialmente
“útil” para realizar ataques de phishing.

Por otro lado, Mozilla Firefox no se queda atrás. Desde que está
disponible su versión final, ya se ha demostrado que vuelve a ser
vulnerable a dos errores de seguridad que se suponían solucionados. El
primero consiste en tres formas de echar abajo las versiones 1.5.x,
descubiertas por Michal Zalewski. Aunque se suponían solucionados, la
versión 2 todavía es vulnerable a alguno de los tres fallos. Por si
fuera poco, se ha descubierto también que es vulnerable a otro error
calificado como crítico y con casi un mes de antigüedad.

Las razones de estos fallos prematuros y antiguos (y aparecerán más,
sin duda) en unas versiones “mejoradas” pueden ser muy diversas, y
aventurarse a encontrar un motivo concreto no es sencillo. Se supone
un problema surgido por combinación de varios factores y no resultaría
productivo estancarse en la “pelea mediática” entre el código que no
se conoce y el que puede ser analizado por millones de ojos. Toda
transición a una versión superior con nuevas funcionalidades puede ser
más o menos traumática, no hay que llevarse las manos a la cabeza. Lo
que es sin duda deseable es que ciertos factores no hayan tenido nada
que ver. Por ejemplo, esperamos que no hayan influido de ninguna manera
procesos de calidad insuficientes en productos que se ponen a
disposición de millones de usuarios. O que las prisas por aparecer y
protagonizar una lucha mediática hayan tenido mayor peso que el hecho de
lanzar un producto de mayor calidad… o que los parches creados para
vulnerabilidades anteriores no hayan supuesto más que maquillaje que no
solucionen los problemas de raíz… En cualquier caso, y sean cuales
sean los motivos, como decía Alan Cox hace sólo unos días, “la alta
calidad sólo se aplica a algunos proyectos, los que tienen buenos
autores y buenas revisiones de código”, y esta afirmación será siempre
válida para todo el software.

Más información:
Vulnerabilidad Firefox 2.0 y anteriores
http://www.extremeambient.net/2006/10/29/vulnerariblidad-firefox-20-y-anteriores/

Firefox 2, vulnerable
http://www.kriptopolis.org/firefox-2-vulnerable

ADODB.Connection POC Published.
http://blogs.technet.com/msrc/archive/2006/10/27/adodb-connection-poc-published.aspx

IE Address Bar Issue
http://isc.sans.org/diary.php?storyid=1804
http://blogs.technet.com/msrc/archive/2006/10/26/ie-address-bar-issue.aspx

Information on Reports of IE 7 Vulnerability
http://blogs.technet.com/msrc/archive/2006/10/19/information-on-reports-of-ie-7-vulnerability.aspx

Fuente: http://www.hispasec.com/unaaldia/2928/
___

Anuncios

Navegadores nuevos con viejos problemas

octubre 31, 2006 § Deja un comentario

Sergio de los Santos
ssantos@hispasec.com

Dos nuevas versiones de navegadores muy utilizados han aparecido casi
de forma simultánea. Mozilla Firefox 2.x e Internet Explorer 7.x de
Microsoft. Son dos evoluciones muy esperadas por los usuarios, que se
supone traerían mejoras en funcionalidad y protección. Tras varios días
a disposición de los usuarios, se ha demostrado que sufren distintos
problemas de seguridad. Lo extraño es que varios los han heredado de
sus versiones predecesoras.

Como adelantábamos hace unos días en un boletín, a IE7 “no le espera una
vida ‘cómoda’”, y con sólo unos días en la calle, ha quedado demostrado.
Nada más “nacer”, algunas casas ya lanzan ataques antiguos contra el
nuevo navegador de Microsoft. Se demostró el día 19 de octubre que un
problema de seguridad descubierto en abril de 2006 (y sin parche
oficial) en Internet Explorer 6, también afectaba a la nueva versión 7.
Puede ser aprovechado por atacantes para revelar información sensible.
El día 30 se ha descubierto una “nueva” vulnerabilidad en Internet
Explorer 7 que puede ser aprovechada por atacantes para falsificar el
contenido de una ventana emergente que se cargue desde un web site en la
que se confía. Este problema es un variación de un fallo muy similar no
corregido, encontrado en diciembre de 2004 en Internet Explorer 6.x.

Además, se ha publicado código para hacer que Internet Explorer 7.x
deje de responder a través de ADODB.Connection (aunque se especula con
que es posible ejecutar código, no se ha confirmado) y otro error de
falsificación de URL que afecta en mayor o menor medida a todos los
navegadores, pero que en Internet Explorer 7 resultaría especialmente
“útil” para realizar ataques de phishing.

Por otro lado, Mozilla Firefox no se queda atrás. Desde que está
disponible su versión final, ya se ha demostrado que vuelve a ser
vulnerable a dos errores de seguridad que se suponían solucionados. El
primero consiste en tres formas de echar abajo las versiones 1.5.x,
descubiertas por Michal Zalewski. Aunque se suponían solucionados, la
versión 2 todavía es vulnerable a alguno de los tres fallos. Por si
fuera poco, se ha descubierto también que es vulnerable a otro error
calificado como crítico y con casi un mes de antigüedad.

Las razones de estos fallos prematuros y antiguos (y aparecerán más,
sin duda) en unas versiones “mejoradas” pueden ser muy diversas, y
aventurarse a encontrar un motivo concreto no es sencillo. Se supone
un problema surgido por combinación de varios factores y no resultaría
productivo estancarse en la “pelea mediática” entre el código que no
se conoce y el que puede ser analizado por millones de ojos. Toda
transición a una versión superior con nuevas funcionalidades puede ser
más o menos traumática, no hay que llevarse las manos a la cabeza. Lo
que es sin duda deseable es que ciertos factores no hayan tenido nada
que ver. Por ejemplo, esperamos que no hayan influido de ninguna manera
procesos de calidad insuficientes en productos que se ponen a
disposición de millones de usuarios. O que las prisas por aparecer y
protagonizar una lucha mediática hayan tenido mayor peso que el hecho de
lanzar un producto de mayor calidad… o que los parches creados para
vulnerabilidades anteriores no hayan supuesto más que maquillaje que no
solucionen los problemas de raíz… En cualquier caso, y sean cuales
sean los motivos, como decía Alan Cox hace sólo unos días, “la alta
calidad sólo se aplica a algunos proyectos, los que tienen buenos
autores y buenas revisiones de código”, y esta afirmación será siempre
válida para todo el software.

Más información:
Vulnerabilidad Firefox 2.0 y anteriores
http://www.extremeambient.net/2006/10/29/vulnerariblidad-firefox-20-y-anteriores/

Firefox 2, vulnerable
http://www.kriptopolis.org/firefox-2-vulnerable

ADODB.Connection POC Published.
http://blogs.technet.com/msrc/archive/2006/10/27/adodb-connection-poc-published.aspx

IE Address Bar Issue
http://isc.sans.org/diary.php?storyid=1804
http://blogs.technet.com/msrc/archive/2006/10/26/ie-address-bar-issue.aspx

Information on Reports of IE 7 Vulnerability
http://blogs.technet.com/msrc/archive/2006/10/19/information-on-reports-of-ie-7-vulnerability.aspx

Fuente: http://www.hispasec.com/unaaldia/2928/
___

Navegadores nuevos con viejos problemas

octubre 31, 2006 § Deja un comentario

Sergio de los Santos
ssantos@hispasec.com

Dos nuevas versiones de navegadores muy utilizados han aparecido casi
de forma simultánea. Mozilla Firefox 2.x e Internet Explorer 7.x de
Microsoft. Son dos evoluciones muy esperadas por los usuarios, que se
supone traerían mejoras en funcionalidad y protección. Tras varios días
a disposición de los usuarios, se ha demostrado que sufren distintos
problemas de seguridad. Lo extraño es que varios los han heredado de
sus versiones predecesoras.

Como adelantábamos hace unos días en un boletín, a IE7 “no le espera una
vida ‘cómoda’”, y con sólo unos días en la calle, ha quedado demostrado.
Nada más “nacer”, algunas casas ya lanzan ataques antiguos contra el
nuevo navegador de Microsoft. Se demostró el día 19 de octubre que un
problema de seguridad descubierto en abril de 2006 (y sin parche
oficial) en Internet Explorer 6, también afectaba a la nueva versión 7.
Puede ser aprovechado por atacantes para revelar información sensible.
El día 30 se ha descubierto una “nueva” vulnerabilidad en Internet
Explorer 7 que puede ser aprovechada por atacantes para falsificar el
contenido de una ventana emergente que se cargue desde un web site en la
que se confía. Este problema es un variación de un fallo muy similar no
corregido, encontrado en diciembre de 2004 en Internet Explorer 6.x.

Además, se ha publicado código para hacer que Internet Explorer 7.x
deje de responder a través de ADODB.Connection (aunque se especula con
que es posible ejecutar código, no se ha confirmado) y otro error de
falsificación de URL que afecta en mayor o menor medida a todos los
navegadores, pero que en Internet Explorer 7 resultaría especialmente
“útil” para realizar ataques de phishing.

Por otro lado, Mozilla Firefox no se queda atrás. Desde que está
disponible su versión final, ya se ha demostrado que vuelve a ser
vulnerable a dos errores de seguridad que se suponían solucionados. El
primero consiste en tres formas de echar abajo las versiones 1.5.x,
descubiertas por Michal Zalewski. Aunque se suponían solucionados, la
versión 2 todavía es vulnerable a alguno de los tres fallos. Por si
fuera poco, se ha descubierto también que es vulnerable a otro error
calificado como crítico y con casi un mes de antigüedad.

Las razones de estos fallos prematuros y antiguos (y aparecerán más,
sin duda) en unas versiones “mejoradas” pueden ser muy diversas, y
aventurarse a encontrar un motivo concreto no es sencillo. Se supone
un problema surgido por combinación de varios factores y no resultaría
productivo estancarse en la “pelea mediática” entre el código que no
se conoce y el que puede ser analizado por millones de ojos. Toda
transición a una versión superior con nuevas funcionalidades puede ser
más o menos traumática, no hay que llevarse las manos a la cabeza. Lo
que es sin duda deseable es que ciertos factores no hayan tenido nada
que ver. Por ejemplo, esperamos que no hayan influido de ninguna manera
procesos de calidad insuficientes en productos que se ponen a
disposición de millones de usuarios. O que las prisas por aparecer y
protagonizar una lucha mediática hayan tenido mayor peso que el hecho de
lanzar un producto de mayor calidad… o que los parches creados para
vulnerabilidades anteriores no hayan supuesto más que maquillaje que no
solucionen los problemas de raíz… En cualquier caso, y sean cuales
sean los motivos, como decía Alan Cox hace sólo unos días, “la alta
calidad sólo se aplica a algunos proyectos, los que tienen buenos
autores y buenas revisiones de código”, y esta afirmación será siempre
válida para todo el software.

Más información:
Vulnerabilidad Firefox 2.0 y anteriores
http://www.extremeambient.net/2006/10/29/vulnerariblidad-firefox-20-y-anteriores/

Firefox 2, vulnerable
http://www.kriptopolis.org/firefox-2-vulnerable

ADODB.Connection POC Published.
http://blogs.technet.com/msrc/archive/2006/10/27/adodb-connection-poc-published.aspx

IE Address Bar Issue
http://isc.sans.org/diary.php?storyid=1804
http://blogs.technet.com/msrc/archive/2006/10/26/ie-address-bar-issue.aspx

Information on Reports of IE 7 Vulnerability
http://blogs.technet.com/msrc/archive/2006/10/19/information-on-reports-of-ie-7-vulnerability.aspx

Fuente: http://www.hispasec.com/unaaldia/2928/
___

La administración de Munich y su migración a GNU/Linux

octubre 30, 2006 § Deja un comentario

Estaba dándome una vuelta por Slashdot y me he encontrado con esta información de “Heise Online” en la que se habla del cambio que están llevando a cabo en Munich.

En dos ocasiones he estado en esa ciudad y a pesar de que no me veo viviendo allí ni de casualidad (son más aburridos que el discurso de Ramoncín-;), si que os digo que se respira modernidad por los cuatro costados.

En el artículo dicen que la capital de Baviera planea terminar su migración actual de más del 80 por ciento de sus sistemas de escritorio a GNU/ Linux antes de 2008. Los primeros funcionarios en utilizar sofware abierto en la administración, comentan que están satisfechos con el resultado.

Leo también que el alcalde de Munich, Christine Strobel, dijo recientemente en una feria tecnológica que “estaban muy contentos con la migración y que no era un gurú de la informática pero que no le fue difícil adaptarse al nuevo software” (no me digáis que no tiene que molar ir a hacer un asunto a una oficina municipal y ver a alguien tirando de KDE -;).

Por lo que se ve, antes de fin de año, unos 200 lugares de trabajo, funcionarán una distribución especial llamada “LiMux”. Si todo funciona según lo planeado, la mayor parte de los aproximadamente 14.000 PCs que hay en la administración pública, completarán la migración antes de 2 años.

También comentan que aunque algunos de los programas en Windows y GNU/Linux son muy similares, (MS Office OpenOffice por ej), los usuarios en los primeros días del cambio y al haber adquirido hábitos de uso arraigados, pueden encontrarse un poco perdidos pero Jens Barth, director del proyecto, dijo recientemente a un semanario Aleman que “eso cambiará rápidamente cuando la gente note que sus ordenadores realizan sus tareas del mismo modo que antes y en algunos casos igual o mejor y de un modo sencillo.

El proyecto está basado principalmente en una distribución de Debian GNU/Linux (3.1), usando como entorno de escritorio KDE 3.5 y OpenOffice 2.

Muchas veces tendemos a mirar a Alemania como un referente en cuanto a avance e innovación, a ver si ejemplos como este también se tienen en cuenta en nuestra administración publica, porque a pesar de que hay provincias donde se están haciendo algún giro hacia el software libre, en mi opinión estás iniciativas se quedan cortas y para acabar, recuerdo que todavía hay sitios web estatales en los que solo se puede entrar con la basura de Internet Explorer

Artículo original, (en Inglés).

Fuente: http://www.daboblog.com/2006/10/29/la-administracion-de-munich-y-su-migracion-a-gnulinux/

___

La administración de Munich y su migración a GNU/Linux

octubre 30, 2006 § Deja un comentario

Estaba dándome una vuelta por Slashdot y me he encontrado con esta información de “Heise Online” en la que se habla del cambio que están llevando a cabo en Munich.

En dos ocasiones he estado en esa ciudad y a pesar de que no me veo viviendo allí ni de casualidad (son más aburridos que el discurso de Ramoncín-;), si que os digo que se respira modernidad por los cuatro costados.

En el artículo dicen que la capital de Baviera planea terminar su migración actual de más del 80 por ciento de sus sistemas de escritorio a GNU/ Linux antes de 2008. Los primeros funcionarios en utilizar sofware abierto en la administración, comentan que están satisfechos con el resultado.

Leo también que el alcalde de Munich, Christine Strobel, dijo recientemente en una feria tecnológica que “estaban muy contentos con la migración y que no era un gurú de la informática pero que no le fue difícil adaptarse al nuevo software” (no me digáis que no tiene que molar ir a hacer un asunto a una oficina municipal y ver a alguien tirando de KDE -;).

Por lo que se ve, antes de fin de año, unos 200 lugares de trabajo, funcionarán una distribución especial llamada “LiMux”. Si todo funciona según lo planeado, la mayor parte de los aproximadamente 14.000 PCs que hay en la administración pública, completarán la migración antes de 2 años.

También comentan que aunque algunos de los programas en Windows y GNU/Linux son muy similares, (MS Office OpenOffice por ej), los usuarios en los primeros días del cambio y al haber adquirido hábitos de uso arraigados, pueden encontrarse un poco perdidos pero Jens Barth, director del proyecto, dijo recientemente a un semanario Aleman que “eso cambiará rápidamente cuando la gente note que sus ordenadores realizan sus tareas del mismo modo que antes y en algunos casos igual o mejor y de un modo sencillo.

El proyecto está basado principalmente en una distribución de Debian GNU/Linux (3.1), usando como entorno de escritorio KDE 3.5 y OpenOffice 2.

Muchas veces tendemos a mirar a Alemania como un referente en cuanto a avance e innovación, a ver si ejemplos como este también se tienen en cuenta en nuestra administración publica, porque a pesar de que hay provincias donde se están haciendo algún giro hacia el software libre, en mi opinión estás iniciativas se quedan cortas y para acabar, recuerdo que todavía hay sitios web estatales en los que solo se puede entrar con la basura de Internet Explorer

Artículo original, (en Inglés).

Fuente: http://www.daboblog.com/2006/10/29/la-administracion-de-munich-y-su-migracion-a-gnulinux/

___

La administración de Munich y su migración a GNU/Linux

octubre 30, 2006 § Deja un comentario

Estaba dándome una vuelta por Slashdot y me he encontrado con esta información de “Heise Online” en la que se habla del cambio que están llevando a cabo en Munich.

En dos ocasiones he estado en esa ciudad y a pesar de que no me veo viviendo allí ni de casualidad (son más aburridos que el discurso de Ramoncín-;), si que os digo que se respira modernidad por los cuatro costados.

En el artículo dicen que la capital de Baviera planea terminar su migración actual de más del 80 por ciento de sus sistemas de escritorio a GNU/ Linux antes de 2008. Los primeros funcionarios en utilizar sofware abierto en la administración, comentan que están satisfechos con el resultado.

Leo también que el alcalde de Munich, Christine Strobel, dijo recientemente en una feria tecnológica que “estaban muy contentos con la migración y que no era un gurú de la informática pero que no le fue difícil adaptarse al nuevo software” (no me digáis que no tiene que molar ir a hacer un asunto a una oficina municipal y ver a alguien tirando de KDE -;).

Por lo que se ve, antes de fin de año, unos 200 lugares de trabajo, funcionarán una distribución especial llamada “LiMux”. Si todo funciona según lo planeado, la mayor parte de los aproximadamente 14.000 PCs que hay en la administración pública, completarán la migración antes de 2 años.

También comentan que aunque algunos de los programas en Windows y GNU/Linux son muy similares, (MS Office OpenOffice por ej), los usuarios en los primeros días del cambio y al haber adquirido hábitos de uso arraigados, pueden encontrarse un poco perdidos pero Jens Barth, director del proyecto, dijo recientemente a un semanario Aleman que “eso cambiará rápidamente cuando la gente note que sus ordenadores realizan sus tareas del mismo modo que antes y en algunos casos igual o mejor y de un modo sencillo.

El proyecto está basado principalmente en una distribución de Debian GNU/Linux (3.1), usando como entorno de escritorio KDE 3.5 y OpenOffice 2.

Muchas veces tendemos a mirar a Alemania como un referente en cuanto a avance e innovación, a ver si ejemplos como este también se tienen en cuenta en nuestra administración publica, porque a pesar de que hay provincias donde se están haciendo algún giro hacia el software libre, en mi opinión estás iniciativas se quedan cortas y para acabar, recuerdo que todavía hay sitios web estatales en los que solo se puede entrar con la basura de Internet Explorer

Artículo original, (en Inglés).

Fuente: http://www.daboblog.com/2006/10/29/la-administracion-de-munich-y-su-migracion-a-gnulinux/

___

Tu disco duro se autoencriptará solo

octubre 30, 2006 § Deja un comentario

Una de las tecnologías más interesantes de las que oímos hablar en el IDF fue la que presentó Seagate, denominada DriveTrust. Su objetivo: cifrar y descifrar de forma automática y transparente el contenido de tu disco duro.

Imagina un cifrado digital que funcione de forma independiente respecto al ordenador. De hecho, la unidad de disco lo hace todo a la misma velocidad de lectura (o esa es la idea). Esta técnica dispone de varias ventajas respecto a los esquemas software, y por supuesto, algunas desventajas.

En primer lugar, todo se almacena en el disco, y este actúa de forma transparente. Lo instalamos en un PC, establecemos una contraseña, y listo. Aunque la nota de prensa no indica cómo es posible arrancar desde un volumen cifrado que puede no haber sido detectado por la BIOS, se supone que esto es factible. Suponemos que además es posible cifrar de forma selectiva volúmenes y ficheros. Teóricamente el proceso no supone una carga adicional para el sistema.

Además, este disco puede hacer algo que pocos desarrollos pueden hacer: es capaz de erradicar los contenidos del disco en menos de un segundo, y hacerlo de forma muy segura. Si se eliminan las claves de cifrado, los datos quedan totalmente ilegibles. Esto significa que si quisieras recuperar los datos (o alguien tratara de hacerlo) tendría que enfretarse con algo muy distinto al análisis de la superficie del disco: tratar de descifrar y crackear claves AES, un problema mucho más complejo.

¿Qué ocurre si pierdes las claves? En otros casos tendrías que llamar al vendedor y pedir que te solucionen el problema, a veces con un coste añadido. Seagate nos dijo en el IDF que dispone de una utilidad denominada SOL para ayudar en estos casos. No hay puertas traseras, así que si las pierdes, lo llevas crudo. Así de sencillo. No digas que no te avisamos.

Para muchas empresas, gobiernos y otras organizaciones conscientes de la necesidad de seguridad, esta unidad es precisamente lo que buscan. Sin embargo, para el usuario medio, ese que se deja el post-it encima de la mesa con la contraseña del correo, lo mejor será no optar por esa solución.

Afortunadamente, hay dos gamas de este disco. La denominada Momentus 5400 FDE.2 y la DB35 son las dos únicas que incluyen esta tecnología. La 5400 está preparada para instalarse en portátiles, una idea muy interesante. La DB35 está pensada para DVR (Digital Video Recorders) y otros dispositivos multimedia. Por el momento no hay precios concretos para dichas unidades.

Seagate tiene con estas unidades dos productos tremendamente interesantes. Al igual que asa siempre con el cifrado, las cosas pueden ir perfectas… o ser un desastre. Será interesante ver lo que pasa cuando ambos modelos sean analizadas por los expertos en seguridad y criptografía. En cualquier caso, tened en cuenta estos productos, tienen mucho potencial. µ

Noticia original

Fuente: http://es.theinquirer.net/2006/10/30/tu_disco_duro_se_autoencriptar.html
___

¿Dónde estoy?

Actualmente estás viendo los archivos para octubre, 2006 en Seguridad Informática.