Firefox 3 aprovecha una opción de seguridad de Internet Explorer

En un movimiento cuando menos curioso, Firefox 3 bajo Windows se aprovecha de una de las mejores (y a la vez más desconocidas) funcionalidades de Internet Explorer: las zonas de seguridad. De hecho, Firefox 3 se aplicará a sí mismo una opción de la configuración de las zonas de seguridad de Internet Explorer, de forma que si no se confía en un dominio para descargar ejecutables en el navegador de Microsoft, Firefox 3 tampoco permitirá la descarga.

Internet Explorer permite clasificar las páginas (los dominios) en distintas zonas. Las zonas son una clasificación lógica que hace el navegador de las distintas páginas que se visitan. A cada zona (que se puede ver como un conjunto de dominios) se le permiten ciertas licencias sobre el sistema, o ejecución de cierto tipo de código del lado del cliente según la zona donde quede adjudicado cada dominio. Esto permite clasificar de forma eficiente las zonas confiables o peligrosas y ejercer cierto control sobre el sistema según los escenarios a los que nos enfrentemos. Así, se puede limitar la ejecución de ActiveX a un cierto número de páginas confiables, permitirlo en todas menos en una lista conocida, permitir la descarga sólo desde ciertos dominios…
Las zonas de Internet Explorer son una herramienta injustificadamente ignorada en general por los usuarios… pero no por Firefox 3.

Leer más

Mitos y leyendas: Seguridad en ActiveX I (Introducción)

Via: Hispasec ActiveX es una tecnología propia de Microsoft que con el tiempo ha sido clasificada prácticamente de maldita en cuestión de seguridad. Los numerosos problemas tanto en la tecnología en sí como en los programas que la han usado, han hecho que se gane esta fama a pulso. ¿Cuáles son los riesgos y problemas de seguridad que presenta ActiveX realmente? ¿En realidad es tan peligrosa? Como siempre, no hay respuestas absolutas y todas estas cuestiones son bastante discutibles. ¿Qué es? De forma resumida, ActiveX es una tecnología de Microsoft. Es una librería (básicamente un ejecutable) con funciones, como otro cualquiera, con la peculiaridad de que implementa una interfaz llamada IDispatch que permite al «objeto» interactuar de una forma concreta (más abstracta) con el programa que lo aloja (llamado contenedor). Por tanto no son programas «independientes» y... Leer más

Ejecución de código arbitrario en Yahoo! Messenger

 

Se ha encontrado otra vulnerabilidad en Yahoo! Messenger que puede ser aprovechada por atacantes para ejecutar código en el sistema víctima.

Esta es la tercera vulnerabilidad grave que afecta a este programa de mensajería en solo dos meses. Microsoft Messenger, por su parte, también es vulnerable a un grave problema.

 

iDefense alertaba de nuevo de un fallo en el programa de mensajería instantánea de Yahoo!. El problema se debe a un error de límites en dos funciones del control ActiveX YverInfo.dll y puede ser aprovechado para provocar un desbordamiento de memoria intermedia si un usuario visita una página web especialmente manipulada. La vulnerabilidad permite la ejecución de código arbitrario, pero para que tenga éxito, la página que aproveche el error debe encontrarse bajo el dominio yahoo.com (o hacer creer a la víctima que se encuentra en él…).

 

Leer más

Malware 2.0

Aunque no deja de ser una etiqueta de moda sin una definición clara, el concepto de la Web 2.0 hace referencia a una segunda generación de aplicaciones web dinámicas e interactivas donde el usuario tiene un mayor protagonismo y participación, frente a las webs estáticas tradicionales donde el usuario era un receptor pasivo. ¿Existe también un nueva generación de malware 2.0? Tengo que confesar que creía que iba a ser original hablando del concepto Malware 2.0, pero una búsqueda en Google me ha sacado de mi error. Hace menos de un mes la empresa de seguridad PC Tools utilizó el término en una nota de prensa donde hablaba de una nueva generación de malware: PC Tools hace referencia a características que llevamos comentando tiempo atrás en Hispasec: * La proliferación de nuevas variantes de malware ha crecido de forma brutal. * Se utilizan técnicas automáticas para... Leer más

A %d blogueros les gusta esto: