Por eso, la compañía Microsoft ha montado una celebración en toda regla (con tarta incluida) para decir adiós al navegador Internet Explorer 6 (IE6) que, pese a que ha acompañado a muchos internautas durante diez años, ha sido relegado por nuevas versiones.“Ha llegado la hora de abrir el champán”, afirmó el director de mercadeo de Explorer en Microsoft. “Esperamos que más desarrolladores y profesionales del sector tecnológico consideren el IE6 como una prioridad baja en este momento y que dejen de gastar su tiempo en el mantenimiento de este navegador desactualizado”.

Según un informe de la compañía, en diciembre de 2011, el 7,7% de los que navegaron en la red usaron IE6.

Entre los países que menos lo usan están México y Estados Unidos (donde la cuota de mercado del producto es inferior al 1%), mientras que en otras naciones de la región, como Argentina (1,6%) y Venezuela (2,5%), el uso del navegador es también minoritario.

El país que supera con creces la media es China, donde el 25,2% de los internautas siguen confiando en IE6.

Microsoft prentende con esta celebración convencer a los usuarios a que dejen atrás la versión obsoleta y se pasen a Internet Explorer 8 y 9.

Para el analista de la consultora tecnológica Ovum, este movimiento entra dentro de lo normal ya que IE6 tenía “muchos problemas de seguridad”.

“Creo que (IE6) fue señalado como uno de los peores programas de todos los tiempos por una revista cuando salió al mercado”, apuntó el experto.

Google penaliza a Chrome

Por otra parte, un rival de Microsoft, Google, se vio obligado este miércoles a reducir la valoración de su navegador Chrome después de hacerse público que Essence Digital, una empresa subcontratada que estaba encargada de promocionar ese producto, rompió sus propias reglas.

Google decidió degradar a Chrome en su lista de búsquedas cuando se enteró que Essence Digital pagó a blogueros para promocionar el navegador.

“Google, la compañía que ha luchado contra los vínculos pagados y el contenido superficial parece estar detrás de una campaña que genera los dos en el nombre de su navegador Chrome”, afirmó Aaron Wall, el bloguero que descubrió la etiqueta de “Este post está patrocinado por Google” en más de 400 páginas.

Sin embargo, los directivos del buscador se desmarcaron de esa irregularidad, de la que culparon a la empresa subcontratada, que asumió la responsabilidad.

“Google ha evitado constantemente pagar espacios en internet para promocionar sus productos porque, desde su punto de vista, este tipo de campañas no son transparentes ni benefician a los usuarios (…) Pedimos disculpas a Google que claramente no autorizó esto”, apunta Essence Digital en un comunicado.

Pese a estos problemas, los expertos apuntan que Chrome podría superar a Intenet Explorer como el navegador líder en 2012.
Otros apuntan que Firefox de Mozilla podría ser también el candidato que destrone al navegador de Microsoft.

Sin embargo, Edwards se muestra más cauteloso: “Mientras Microsoft mantenga su dominio, IE9 será el navegador número 1″.

El experto apunta además que la batalla de los navegadores se está pasando a los celulares: “Ese será el siguiente campo de batalla. Es donde Microsoft tiene que centrarse porque es su talón de Aquiles”.

Fuente: BBC Mundo

Un usuario que publicó una clic entrada en un foro de ayuda de Google parece ser quien dio la voz de alerta.

Google ha informado en su blog de seguridad que la mayoría de la gente afectada por la maniobra se encuentra en Irán (el usuario que advirtió del problema dice estar allí).

La compañía holandesa DigiNotar, una de las cientos de autoridades de certificación que existen en el mundo, había emitido un certificado para sitios de Google, que no terminó en manos del gigante de internet, sino de potenciales cibercriminales.

En un comunicado de prensa, Vasco, la compañía propietaria de DigiNotar, dijo que el 19 de julio esa autoridad de certificación detectó una intrusión en su infraestructura, “que resultó en la emisión fraudulenta de un certificado de clave pública para un número de dominios, incluido Google.com”.

Y agregó que al detectar la intrusión actuó “de acuerdo a todas las reglas y procedimientos relevantes”.
¿Qué son?

En términos simples, estos certificados consisten en una suerte de formulario virtual que el sitio web que está siendo visitado le “presenta” al navegador del usuario para confirmar que efectivamente es de quien dice ser.

Si el navegador reconoce el certificado, establece la conexión y comienza a intercambiar datos con confianza. Para reconocerlo, el propio navegador posee una lista de entidades que pueden emitir certificados, entre los que están autoridades de certificación, como DigiNotar.

Tanto Google como Microsoft y Mozilla, que proveen los más populares navegadores web (Chrome, Internet Explorer y Firefox, respectivamente), han intentado dar respuesta al problema.

Google clic dijo que rechazará los certificados de DigiNotar en Chrome, mientras continúa investigando; y aclaró que esa autoridad de certificación no debía emitir certificados de Google.

Microsoft clic informó que ha eliminado el certificado general de DigiNotar (el que a su vez valida los certificados emitidos por la empresa) de la lista autorizada por sus navegadores, por lo que si los usuarios intentan visitar un sitio con certificados de esa compañía recibirán un mensaje de error.

Por su parte, Mozilla clic ha decidido directamente lanzar versiones nuevas de su navegador (para PCs y dispositivos móviles) y su cliente de correo electrónico Thunderbird.

También ha sugerido a sus usuarios clic desactivar los certificados de DigiNotar en las preferencias de Firefox.
Casi dos meses

El asunto es que mientras los anuncios de las compañías son de este lunes, el certificado falso fue emitido el 10 de julio y nadie sabe a ciencia cierta para qué pudo ser utilizado durante todo este tiempo.

Los cierto es que, como explicó Mateusz Pawlowski, especialista en infraestructura de internet de la BBC, el solo hecho de poseer el certificado falso no es suficiente para interceptar las conexiones del usuario con los sitios de Google.

También es necesario hacer que el tráfico pase por algún servidor controlado por quien está intentando espiar a los usuarios.

Para eso, dijo el experto, el espía necesitaría penetrar la computadora de la víctima o los sistemas de su proveedor de servicios de internet (ISP), para poder desviar el tráfico que circula entre el navegador del usuario y el sitio de Google que está visitando, para constituirse como intermediario de esa comunicación.

Los estados autoritarios, con mayor control sobre los ISP tienen más facilidad que otras naciones de hacer algo así.

Aunque también pueden hacerlo actores privados, dijo Pawlowski.
Nuevas alternativas

Casos como este han llevado a que en el mundo de la seguridad en internet se cuestione cada vez con más fuerza la eficacia de los certificados y la estructura de las agencias de certificación.

En una clic nota publicada en su sitio web, la Fundación Fronteras Electrónicas (EFF, por sus siglas en inglés) dice que este sistema, creado hace décadas para verificar las transacciones en línea, no está en condiciones de satisfacer las necesidades de seguridad de hoy en día.

“Hoy los usuarios de internet confían en este sistema para proteger su privacidad de (los ojos) de naciones-estado”, dice.

“Ponemos en duda que pueda soportar esta carga”.

Existen varias iniciativas que buscan superar este sistema que hoy parece haberse vuelto demasiado susceptible de ser vulnerado.

La EFF ha establecido un clic observatorio de certificados y otra iniciativa llamada clic Convergence busca reemplazar totalmente su uso.

Y Chrome, el navegador de Google, ya trae incorporado un sistema de verificación para los sitios de la compañía que evita el fraude de certificados.

De hecho, esa característica fue la que le permitió al usuario que escribió en sus foros detectar que estaba frente a un certificado falso.

Fuente: BBC Mundo

Según un análisis independiente hecho por la empresa de seguridad NSS Labs [PDF], IE9 es capaz de filtrar casi todo el malware “social” (es decir, los sistemas en que se engaña al usuario para descargar un archivo) y sitios maliciosos a los que se enfrenta, con una tasa de éxito de 99,2%.

Chrome 12 obtuvo el segundo lugar con una tasa de éxito de 13,2%, Firefox 4 y Safari 5 anotaron un 7,6% y Opera fue el peor con un 6,1%. El estudio se hizo en abril, por lo que no están los datos para Chrome 13 y Firefox 5 (y ahora 6).

IE9 usa la lista de reputación de sitios SmartScreen para identificar sitios maliciosos, además de un sistema de reputación de aplicaciones, una lista de los archivos que pueden resultar peligrosos. De esta manera, cuando se detecta que la descarga es peligrosa, se le envía una alerta al usuario.

“La reputación de aplicaciones es el primer intento de cualquier fabricante de crear una lista definitiva de todas las aplicaciones en internet. Esta nueva capacidad puede ayudar a los usuarios a diferenciar entre el malware y software potencialmente inseguro, y el software bueno”, señala el informe de NSS Labs.

Aún sin la reputación de aplicaciones activada, IE9 logró bloquear 89,5% de las URLs maliciosas. Por supuesto, Microsoft está feliz con los resultados, celebrándolos en un post de su blog oficial, donde asegura que las mejoras significan “menos infecciones y dolores de cabeza” para los consumidores.

Por supuesto, el estudio no habla de otro tipo de vulnerabilidades que puedan tener los navegadores, de modo que éste es sólo un asunto más a considerar al momento de elegir uno. ¿Será que con esto logre convencer a algunos de cambiarse a IE?

Fuente: Fayer Wayer

Si bien desde Microsoft señalan que la vulnerabilidad aún no ha sido aprovechada, ya existe una prueba de concepto circulando por la red.

Los de Redmond ya se encuentran trabajando para liberar un parche que solucione el problema, mientras tanto la única alternativa disponible es desactivar el soporte para archivos MHTML.

Fuente:  Fayerwayer

Aunque a través de su blog, Microsoft lleva semanas advirtiendo de pequeñas vulnerabilidades y bugs en diferentes versiones de Internet Explorer, el fallo encontrado en las últimas horas es quizá el más grave, por lo que desde la compañía lo están tratando con la máxima celeridad. Se trata de un defecto en el navegador que podría permitir al intruso tomar el control del ordenador sin protección. Entre las posibilidades, el fallo permitiría a los hackers inyectar malware en cualquier sistema que lo utilice engañando a través de diferentes web-trampa.

La vulnerabilidad, anunciada en la BBC y luego difundida en varios medios, se encuentra entre las versiones de la 6 a la 8 y hasta el momento no se ha encontrado parche para paliar el problema. El código para explotar el bug ya ha sido publicado y desde Microsoft se asegura que están trabajando en ello.

Al parecer, se trata de un fallo que llega cuando el navegador administra la memoria en el ordenador y procesa CSS. Los hackers pueden inyectar su propio código en la secuencia de instrucciones y de esta manera poder apropiarse del equipo. Este tipo de fallos son quizá de los más graves, ya que permite la ejecución remota de código, pudiendo ejecutar terceros malware en el ordenador.

Como en todas las alertas, aquellos que utilizáis frecuentemente IE en las versiones de la 6 a la 8, tened cuidado, y en la medida de lo posible hasta que se solucione buscad alternativas con otros navegadores. Desde la compañía recomiendan la instalación de Enhanced Mitigation Experience Toolkit.

Vía: Daily Mail

Fuente: Bitelia

Bit9 se ha limitado a buscar en la base de datos pública de NIST (http://nvd.nist.gov) el número de vulnerabilidades graves archivadas para cada software. Ha contabilizado las publicadas entre el 1 de enero y el 21 de octubre de 2010. Consideran graves las vulnerabilidades cuyo valor estándar CVSS (Common Vulnerability Scoring System) es mayor que 7.

Este es el resultado:

* Google Chrome (76 vulnerabilidades graves)
* Apple Safari (60 vulnerabilidades graves)
* Microsoft Office (57 vulnerabilidades graves)
* Adobe Reader y Acrobat (54 vulnerabilidades graves)
* Mozilla Firefox (51 vulnerabilidades graves)
* Sun Java Development Kit (36 vulnerabilidades graves)
* Adobe Shockwave Player (35 vulnerabilidades graves)
* Microsoft Internet Explorer (32 vulnerabilidades graves)
* RealNetworks RealPlayer (14 vulnerabilidades graves)
* Apple WebKit (9 vulnerabilidades graves)
* Adobe Flash Player (8 vulnerabilidades graves)
* Apple QuickTime (6 vulnerabilidades graves) y Opera (6
vulnerabilidades graves)

En Hispasec hemos realizado las mismas búsquedas en la base de datos, y comprobamos que efectivamente los datos son correctos. Teniendo en cuenta que el NIST es una de las fuentes más serias y completas sobre vulnerabilidades confirmadas, los datos pueden considerarse fiables… pero son ¿acertados?

El estudio se queda ahí, y no pretende ir mucho más allá. Lógicamente, evaluar la seguridad integral de un producto involucraría muchas otras variables. Desde la velocidad de parcheo (sobre lo que Hispasec ya realizó su propio estudio) hasta el nivel de explotación de las vulnerabilidades, pasando por lo “hipotético” de una explotación real (que culmine en ejecución de código) de estas vulnerabilidades. Tampoco hay que olvidar que en teoría nada impide a Microsoft, por ejemplo, ocultar vulnerabilidades y solucionarlas de forma “silenciosa” (mientras que con software libre, a la larga, esto no sería posible). En la práctica, pensamos que no es una circunstancia habitual, dado el interés de los atacantes en descubrir fallos ocultos.

En este sentido, aunque los resultados del informe le sean favorables, Internet Explorer es el más atacado. Ciñéndose a los números, es el navegador (de entre Chrome, Safari y Firefox) con menor número de fallos graves. Pero esta “cualidad” no luce demasiado cuando sus fallos son, de lejos, los más explotados, mediáticos, deseados y aprovechados por atacantes. Igual ocurre con Adobe. Poco importa que en este estudio ocupe el cuarto puesto en número de vulnerabilidades. Durante los dos últimos años ha sido muy atacado y ha gestionado muy mal su seguridad: En cuestión de inseguridad “global”, es el primero.

Probablemente este estudio de Bit9, incluso siendo realmente sencillo y llegando hasta donde llega, será interpretado a gusto del “consumidor” en “beneficio” propio, esto es, adaptándolo a las pasiones generales fuera del ámbito puramente técnico. En este sentido, tenemos un ejemplo reciente de cómo algunos han malinterpretado un estudio de Hispasec que también se limitaba a comparar la capacidad de detección de URLs fraudulenta por parte de los navegadores. El título original de la noticia “Firefox el navegador más seguro contra el fraude” fue rápidamente truncado en miles de páginas (más de 3.000 en Google) por “Firefox, el navegador más seguro según Hispasec”, que desde luego, no es el mensaje original. Sería como titular esta noticia “Internet Explorer es el navegador más seguro (después de Opera)”.

En nuestra opinión, este estudio de Bit9 viene a recordar (y no a “demostrar”) que es posible que, si en algún momento Firefox o Chrome superan la cuota de uso de Internet Explorer, probablemente los atacantes tendrán más fallos donde elegir para explotar vulnerabilidades en su propio beneficio.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4409/comentar

Más Información:

Annual Report on Top Vulnerable Applications in 2010
http://www.bit9.com/landing/vulnapps2010/

Firefox el navegador más seguro contra el fraude
http://www.hispasec.com/unaaldia/4360

Estudio sobre la demora de los fabricantes de software en la corrección
de vulnerabilidades no públicas
http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf

Por Sergio de los Santos

ssantos@hispasec.com

Además, 90 por ciento de todas las amenazas detectadas por Symantec durante el periodo de estudio intentaron robar información confidencial. Las amenazas con capacidad de registrar las pulsaciones del teclado, lo que puede ser usado para robar información como las credenciales de cuentas de banca electrónica, representaron el 76 por ciento de las amenazas a la información confidencial, un número mayor al 72 por ciento registrado en 2007.

En términos de actividad maliciosa, a nivel regional, Brasil se ubicó en el primer sitio con 34 por ciento del total de actividad maliciosa en América Latina. En 2008, 12 por ciento del spam detectado a nivel mundial se originó en América Latina. En cuanto al spam detectado en la región, Brasil, Argentina, Colombia, Chile y México estuvieron entre los principales países de origen.

Enfoque Seguro

VÍA: Symantec

Un fallo es muy grave y permite la ejecución de código arbitrario en el sistema con solo visitar una página web. El otro fallo es mucho más leve, y solo permite que un atacante obtenga información confidencial a través de archivos PDF impresos desde el navegador.

De la primera vulnerabilidad, la más grave, se han dado todos los detalles de forma pública. No se han observado de forma masiva ataques que la aprovechen, pero dadas las circunstancias, parece que no tardarán en aparecer. El fallo está en el manejo de punteros en la función “getElementsByTagName” de mshtml.dll al procesar objetos CSS. Un atacante remoto podría ejecutar código arbitrario con los privilegios del usuario que corra Internet Explorer con solo visitar una página especialmente manipulada.

Microsoft ya ha reconocido el fallo y está trabajando en un parche para solucionarlo. Solo afecta a las versiones 6 y 7 del navegador. Si no es posible usar la versión 8, como contramedida, se recomienda elevar la seguridad de las zonas de Internet Explorer a “Alta” para las páginas no confiables. O desactivar directamente el “Active Scripting” en las “Opciones de Internet”, pestaña de “seguridad”, “nivel personalizado”.

El otro problema de seguridad encontrado en el navegador es mucho menos peligroso. Cuando se abren en Internet Explorer páginas web almacenadas en el disco duro y se imprimen con cualquier impresora virtual en formato PDF, el navegador añade en el archivo información que no debería estar ahí, como la ruta local de la página que se ha impreso en PDF. Lo añade en el interior del archivo de forma que no se ve a simple vista. Es necesario abrir el archivo PDF con un editor para observarlo. Un atacante con acceso al documento PDF podría obtener así información sensible a partir de esas rutas locales, como por ejemplo los nombres de usuario y versión del sistema operativo analizando el archivo con un editor.

La persona que ha alertado sobre este último problema, advierte que con el buscador Google, es muy sencillo encontrar ficheros PDF que han sido impresos en este formato a través del navegador y que contienen la ruta del disco duro donde estaban alojados. En la mayoría de las ocasiones si esta ruta es la de “Mis documentos” en Windows, podrían incluir el nombre de usuario que las generó.

Este fallo afecta a todas las versiones incluida la 8. Microsoft no lo considera un problema de seguridad, así que aunque ha reconocido el problema, no parece que vaya a aplicar un parche. Lo más probable es que posteriores versiones del navegador, o bien un posible futuro Service Pack, anulen este comportamiento. Mientras tanto, se recomienda que si se imprimen con impresoras virtuales páginas HTLM interpretadas con Internet Explorer, se abra posteriormente el archivo PDF con cualquier editor, se busque la información sensible y se elimine.

Enfoque Seguro

VÍA: Hispasec

La empresa de seguridad Symantec advierte de que el fallo se aprovecha de una vulnerabilidad relacionada con las hojas de estilo en cascada.

En un blog oficial Symantec ha confirmado que la brecha afecta a las versiones 6 y 7 de Internet Explorer y que, aunque actualmente el ‘exploit’ no es muy fiable, “esperamos que en el futuro exista uno muy funcional”.

Cuando esto ocurra los atacantes podrán insertar ese ‘exploit’ en páginas web, infectando a los visitantes. Desde la compañía advierten también que el ataque requiere JavaScript, por lo que los usuarios de Internet Explorer 6 y 7 deberían deshabilitarlo y visitar únicamente sites en los que confíen.

El último ataque Zero Day para Internet Explorer fue confirmado por Vupen Security, que ofreció información detalladas de la vulnerabilidad.

Enfoque Seguro

VIA: ITespresso.es

Ahora la cosa es más enfática, un investigador de seguridad del Micrososft Vulnerability Reasearch, descubrió un alto grado de vulnerabilidad que podría permitir a los delincuentes hacer un bypass de las protecciones cruzadas origina

Enfoque Seguro

Vía: Slashdot