¿Os acordáis de PWN2OWN? Este evento cuyo nombre es prácticamente inpronunciable siempre llama la atención por sus iniciativas. Cada año prueban la resistencia y seguridad de los sistemas operativos y navegadores y los resultados pasan por todos los medios de actualidad como toque de atención para los desarrolladores. Hace dos años verificaron la fortaleza de Ubuntu, y el año pasado lo pasaron realmente mal al intentar hackear Chrome.

Este año han vuelto a hacer lo mismo, y tenemos una larga lista de caídos. En primer lugar el iPhone OS, que en apenas 20 segundos se ha comprometido su seguridad desde una página web (que, eso sí, han tardado semanas en programar) y gracias a ello se ha podido acceder a la lista de mensajes SMS guardados en el teléfono.

Otro gran afectado de Apple fue Safari, pirateado sin necesidad de acceder físicamente al Mac en el que está instalado. El responsable de hackear el navegador de esta manera ha recibido un premio de diez mil dólares. Firefox e IE8 han tenido la misma mala suerte al ser fácilmente hackeados por dos personas más que también han recibido el mismo premio.

El único que ha plantado cara a los piratas informáticos es Chrome, que de momento todavía no ha podido ser “reventado”. Según Charlie Miller, lo que hace tan difícil de piratear a Chrome es por el modelo de seguridad en el que se basa, llamado sandbox. Dicho modelo combinado con otras medidas de seguridad hacen que, a pesar de tener ya localizada una vulnerabilidad, ésta sea terriblemente difícil de aprovechar.

Otro navegador que todavía falta por piratear es Opera, aunque los motivos son diferentes. Al ser un navegador usado por una fracción muy pequeña de usuarios, no ha habido nadie que se haya interesado en buscar los puntos flacos de esta aplicación.

De todo esto, pues, podemos sacar en claro que los maniáticos de la seguridad deberían estar usando Chrome u Opera en estos momentos. Safari y el resto del software de Apple se llevan la peor cara, al ser los más fácilmente y rápidamente pirateables.

Sistemas Afectados
Mozilla Firefox 3.6 sobre Windows XP y Windows Vista.

Descripción
Se ha publicado un exploit para Firefox 3.6 que funciona sobre las instalaciones por defecto sobre Windows XP y Vista.

Impacto
La explotación de esta vulnerabilidad, provoca la ejecución de código remoto en el sistema afectado.

Solución
Como aún no se ha publicado una actualización de seguridad, la mejor forma de protegerse es utilizar en la medida de lo posible otro navegador.

Detalle
Se ha desarrollado un código de ataque que explota una vulnerabilidad en la última versión del Mozilla Firefox.

La explotación de esta vulnerabilidad, provoca una corrupción de memoria dinámica, con lo que deja el sistema expuesto.

De momento. el exploit se ha publicado en herramientas para expertos en seguridad, pero no es descartable que comience a explotarse próximamente.

Referencias

• Donna’s SecurityFlash.
• The register.
• Secunia.

Desde el blog de Firefox han publicado un aviso de seguridad relacionado con dos complementos de su navegador que contiene código malicioso, las extensiones afectadas son Sothink Web Video Downloader y todas las versiones de Master Filer.

En Sothink Web Video Downloader se ha encontrado el archivo malicioso Win32.LdPinch.gen, mientras que en Master Filer se ha descubierto el troyano Win32.Bifrose.32.Bifrose.

Si un usuario instala uno de estos complementos infectados, el ordenador se infectará cuando el usuario inicie Firefox , y aunque desinstalemos estos complementos el troyano no será eliminado, por lo que para no estar infectados es necesario desinstalar los complementos y pasar uno de los siguientes antivirus:

• Antiy-AVL
• Avast
• AVG
• GData
• Ikarus
• K7AntiVirus
• McAfee
• Norman
• VBA32

Actualmente ambos complementos se han deshabilitado en AMO.

Visto en Blog Mozilla.

Sistemas Afectados

• Mozilla Firefox 3.5.5 y anteriores
• Mozilla Firefox 3.0.15 y anteriores

Descripción

La fundación Mozilla ha publicado dos nuevas versiones, la 3.5.6 y la 3.0.16, de su navegador Firefox que corrige varias vulnerabilidades, algunas de ellas críticas.

Impacto

Si no se actualiza el navegador se corre el riesgo de sufrir alguna de estas acciones:

• Ejecución remota de código
• Elevación de privilegios
• Caída del navegador y ejecución del código que el atacante desee.

Solución

Actualizar a las nuevas versiones lo antes posible, para la 3.5.6 desde la página de descarga de Firefox 3.6., para la versión 3.0.16, desde la página de descarga de Mozilla Firefox 3.0.16

Detalle

Las vulnerabilidades resueltas han sido publicadas como avisos de seguridad de la fundación Mozilla, y son:

• Mozilla Foundation Security Advisory 2009-65. Este boletín trata de problemas que afectan a caídas con evidencia de corrupción de memoria. Problema crítico.
• Mozilla Foundation Security Advisory 2009-66. Se refiere a un problema de seguridad con la memoria provocado por varios fallos en liboggplay. Fallo clasificada como crítico.
• Mozilla Foundation Security Advisory 2009-67. Categorizado como crítico, este fallo permite a un atacante provocar un desbordamiento de entero en la biblioteca de video Theora, empleando un archivo especialmente manipulado.
• Mozilla Foundation Security Advisory 2009-68. Relativo a una vulnerabilidad de reflexión NTLM y clasificada como alta, el fallo podría permitir a un atacante, redireccionar a páginas y aplicaciones web de su elección.
• Mozilla Foundation Security Advisory 2009-69. Problema que afecta a la navegación segura ya que el fallo hace que se visualice una página bajo https cuando realmente no está bajo un protocolo seguro. Catalogada como moderada.
• Mozilla Foundation Security Advisory 2009-70. Este fallo, clasificado como moderado, permite la escalada de privilegios a través del control window.opener cuando se ejecuta sobre una ventana Chrome.
• Mozilla Foundation Security Advisory 2009-71. Problema relativo al objeto GeckoActiveXObject por el que una web maliciosa podría listar los objetos COM instalados en el sistema del usuario afectado. Clasificado como bajo.

En la misma línea, también se ha actualizado el navegador de la rama 3.0 a la versión 3.0.16. A partir de Enero de 2010 se descontinuarán las actualizaciones de seguridad y estabilidad.

Referencias

• Informe Mozilla Firefox 3.5
• Informe Mozilla Firefox 3.0

Fuente

Asa Dotzler, director de comunidades en Mozilla, reaccionó con indignación frente a las declaraciones de Eric Schmidt, presidente de Google, donde planteaba que los defensores de la privacidad tienen, en realidad, “algo que ocultar”. Dotzler propone, lisa y llanamente, desactivar a Google como buscador estándar en Firefox, y activar Bing, que “tiene una mejor política de privacidad que Google”.

El planteamiento exacto de Eric Schmidt fue el siguiente: “Si tienes algo que ocultar, quizás deberías desistir de hacerlo. Si realmente necesitas ese tipo de privacidad, lo cierto es que los buscadores, incluyendo a Google, retienen la información por algún tiempo y es importante, por ejemplo, entender que en Estados Unidos todos somos sujeto de la Ley Patriótica, que faculta a las autoridades a requerir tal información”.

La intención de Schmidt era explicar las razones que llevan a Google a guardar información sobre sus usuarios. Sin embargo, el presidente de Google quizás no consideró las reacciones que podrían motivar sus dichos en la comunidad de Internet. Una de las reacciones más airadas y específicas se ha producido en el seno de Mozilla, tradicional aliado y socio comercial de Google. El director de comunidades y desarrollo en Mozilla, Asa Dotzler, sugiere a los usuarios de Firefox desactivar a Google como buscador estándar y sustituirlo por Bing.

Dotzler recalca en su blog que las declaraciones de Eric Schmidt son muy precisas y que no han sido citadas fuera de contexto. Para ello, incluye un enlace al video con la entrevista a Schmidt (publicado, por cierto, por Gawker con el título “Presidente de Google: ´La privacidad es para gente inmunda´”).

Dotzler publica en su blog una extensión para Firefox que permite instalar Bing como buscador estándar, agregando que el buscador de Microsoft tiene una mejor política de privacidad que Google.

Uno de los lectores del blog pregunta si acaso no es mejor dejar de usar los servicios de Google, a lo que Dotzler responde afirmativamente, agregando que él ya lo ha hecho.

El duro tono y la extraordinaria recomendación adquiere mayor relevancia considerando que Mozilla y Google son socios comerciales y que el 90% de la facturación Mozilla proviene de Google.

Fuente