bug

Safari tiene un problema de seguridad, un agujero, a partir del cual algunos de nuestros datos personales podrían ser obtenidos sin nuestro permiso a través de webs malintencionadas y creadas para tal uso.

Según ha publicado Jeremiah Grossman, CEO de Whitehat security, este problema lleva presente ya varias semanas en varios navegadores, pero hasta ahora nadie se había percatado de la situación.

Leer más

Durante un tiempo, muchas personas dedicadas al análisis de seguridad de software se han visto en una encrucijada. Si yo descubro un fallo de seguridad importante en una aplicación determinada, ¿debo comunicárselo a la compañía y esperar a que lo arreglen sin llevarme un duro, o mejor vendo ese conocimiento a una empresa que pueda aprovechar ese fallo en su propio interés?

Esto ha sido durante bastante tiempo la pregunta a la que se han enfrentado muchas de estas personas. Con el propósito de evitar de todas las formas posibles el llegar a esa situación, Mozilla y Google llevan ya tiempo trabajando en lo que se conoce como bug bounty: un sistema a través del cual aquella persona que encuentre un fallo de seguridad de este tipo podrá llevarse una buena suma de dinero.

Leer más

Los desarrolladores de Windows consiguen que cada versión aparezca un bug estrella aún más extravagante que el anterior. Si en las primeras versiones de Vista fue la inexplicable lentitud a la hora de escribir en el disco duro, las versiones filtradas de Windows 7 han subido el listón más alto. Según reportan varios usuarios, Windows Media Player recorta unos segundos iniciales (de 5 a 15) de las canciones que reproduzcamos.

Este fallo parece causado por la funcionalidad de autoetiquetar las canciones con información de Internet, ya que al guardar los metadatos se sobreescriben encima del archivo original. Por ejemplo, si en un archivo MP3 de 3 megas se baja la carátula de 200KB, esos kilobytes se guardarán al inicio del archivo original, encima de esos primeros segundos. En principio es específico de Windows Media Player, aunque no se sabe si mete la tijera al indexar las canciones o al reproducirlas…

Por esta clase de situaciones siempre se recomienda que las betas se ejecuten con cuidado y sin dejarlas a cargo de información importante si no tenemos copias de seguridad. Esto parece de perogrullo, pero es algo que hemos hecho todos, y es una lástima que necesitemos una catástrofe digital para empezar a tomárnoslo en serio.

Vía | NeoWin

Todos los usuarios de Mozilla Firefox deben actualizar el navegador a la versión 3.0.3, disponible desde ayer debido a un importante error que impedía a algunos usuarios acceder a sus contraseñas guardadas. No se esperaba esta actualización todavía, de hecho tan sólo hace dos días de la liberación de Firefox 3.0.2, pero el informe y la gravedad de este bug ha obligado a liberar una actualización que arregle el problema.

Según el propio equipo de desarrollo de Firefox, el problema era que la información de aquellas contraseñas que no estuvieran guardadas con codificación UTF-8 o en ASCII no podían ser accesibles, lo cual afecta a una gran cantidad de usuarios. Al iniciar el navegador ya debería mostrar una invitación para realizar la actualización. Si no es así, desde Ayuda -> Buscar actualizaciones se puede realizar la instalación de la versión 3.0.3 del navegador.

Vía | Mozilla Links

El PWN2OWN es un concurso celebrado entre el 26 y el 29 de marzo y creado por la conferencia de seguridad digital CanSecWest. El objetivo es descubrir nuevos fallos de seguridad en los tres sistemas operativos más populares del momento: Windows, Mac y Ubuntu.

Los sistemas están instalados en tres portátiles diferentes, con su última versión y completamente actualizados. Los concursantes son todos hackers con mucho renombre y expertos en seguridad que luchan por quedarse el portátil y un premio económico de 10000 dólares. Leopard se ejecutaba sobre un Macbook Air, Ubuntu 7.10 sobre un Sony Vaio y Windows Vista en un Fujitsu.

El primer día sólo se permitían accesos mediante la red, y nadie consiguió entrar a ningún sistema. Lo más chocante fue que Mac OSX Leopard fue el primero en caer en cuanto se permitió acceder a los sistemas para hacer cosas como visitar páginas web. Charlie Miller tumbó el portátil de Apple aprovechando un bug del navegador Safari. Windows Vista aguantó el empentón hasta el último día, hasta que Shane Macaulay consiguió hackearlo. Ubuntu Gutsy permaneció intacto hasta el final, aguantando como un campeón.

Leer más

Los segundos martes de cada mes son día de actualizaciones. Es la fecha en que Microsoft lanza los parches mensuales para solucionar diversos errores y problemas de seguridad en sus aplicaciones. Así que lo mejor es estar atento y actualizado, cosa que podemos hacer con Windows Update en modo automático.

No todo el mundo tiene las actualizaciones automáticas instaladas, por diversas razones, y algunos usuarios optan por actualizar manualmente. Si eres de estos, lo mejor es que hoy te des prisa en actualizar si dispones de Excel instalado en tu ordenador, ya que un error crítico en este programa permite la ejecución de código.

Por culpa de este error, si abrimos un fichero de Excel maligno se podrá ejecutar en nuestro ordenador cualquier código que el autor haya añadido, lo que le permitiría tomar completo control de nuestra máquina.

Las versiones afectadas son Office 2000, Office XP, Office 2003 SP2 y Office 2007, además de las versiones para Mac, quedando excluidos Office 2007 SP1 y Office 2003 SP3. Así que si disponéis de alguna de ellas es el momento de actualizar.

Todo esto sin excluir, claro, el recordar normas básicas de seguridad como no abrir ficheros enviados por remitentes desconocidos o ficheros no esperados.

Más información | Microsoft.

Microsoft se ha puesto en el ojo del huracán por culpa de un bug en Office 2007, concretamente en la hoja de cálculo de Excel, en el que algunos valores parecen calcularse incorrectamente. Podemos ver diversos ejemplos en la imagen superior.

En ciertas operaciones, en las que el resultado debería ser 65535 podemos ver como se muestra el número 100000 en lugar del valor correcto. Esto es un problema bastante serio pues podría afectar a todos los cálculos posteriores que se hagan con ese valor.

De todos modos, y dentro de la gravedad del asunto, hay que desdramatizarlo un poco y ponerlo en contexto, ya que el error no es tan grave como aparenta, aunque tampoco hay que desmerecerlo.

Leer más

Ya habíamos leido que el UAC de Windows Vista no es una medida de seguridad, y ahora nos encontramos ya con el primer problema de seguridad que permite escalar privilegios de forma local en Windows Vista.

Es decir, que un programa malicioso que, en principio, solo podría ejecutarse en modo usuario y que no tendría permisos para realizar ciertas tareas, puede conseguir acceso completo al sistema gracias a esta vulnerabilidad. El problema parece ser similar a un desbordamiento de buffer, en el que se sobreescriben datos en la memoria para conseguir ejecutar código.

La compañía eEye notificó el bug a Microsoft el paso 19 de enero y está esperando a que se solucione el problema para ofrecer más detalles de esta vulnerabilidad. Sería de esperar que el parche saliera publicado el próximo día 13, segundo martes de mes, momento en el que Microsoft publica las periódicas actualizaciones.

Vía | PCWorld.

Los que uséis el programa Google Desktop con el plugin de GNotebook deberéis tener mucho cuidado si algún otro usuario tiene acceso a vuestro ordenador, puesto que este tiene un problema de seguridad que permitirá descubrir nuestra contraseña de GMail.

El programa guarda la contraseña en texto plano en un fichero en nuestro disco, concretamente en el directorio \temp con el nombre gnotebook.txt. Si miramos dentro encontraremos una linea como esta:

UM([UL(‘ammon.ra.eg@gmail.com@gmail.com’,***************’,5,1)]);

donde aparece nuestra dirección de correo y nuestra contraseña (la parte que aquí se muestra con asteriscos). Por ahora no hay solución disponible por parte del autor, aunque es de esperar que pronto lo actualice.

Vía | RootSecure.