Firefox 3 aprovecha una opción de seguridad de Internet Explorer

En un movimiento cuando menos curioso, Firefox 3 bajo Windows se aprovecha de una de las mejores (y a la vez más desconocidas) funcionalidades de Internet Explorer: las zonas de seguridad. De hecho, Firefox 3 se aplicará a sí mismo una opción de la configuración de las zonas de seguridad de Internet Explorer, de forma que si no se confía en un dominio para descargar ejecutables en el navegador de Microsoft, Firefox 3 tampoco permitirá la descarga.

Internet Explorer permite clasificar las páginas (los dominios) en distintas zonas. Las zonas son una clasificación lógica que hace el navegador de las distintas páginas que se visitan. A cada zona (que se puede ver como un conjunto de dominios) se le permiten ciertas licencias sobre el sistema, o ejecución de cierto tipo de código del lado del cliente según la zona donde quede adjudicado cada dominio. Esto permite clasificar de forma eficiente las zonas confiables o peligrosas y ejercer cierto control sobre el sistema según los escenarios a los que nos enfrentemos. Así, se puede limitar la ejecución de ActiveX a un cierto número de páginas confiables, permitirlo en todas menos en una lista conocida, permitir la descarga sólo desde ciertos dominios…
Las zonas de Internet Explorer son una herramienta injustificadamente ignorada en general por los usuarios… pero no por Firefox 3.

Continuar leyendo “Firefox 3 aprovecha una opción de seguridad de Internet Explorer”

CDlibre.org – Boletín nº 155 – 22/06/2008

Estos son los programas actualizados o incluidos en cdlibre.org entre el 16 y el 22 de junio de 2008.

Recuerda que las recopilaciones de junio están disponibles desde el viernes 20 de junio.

Astronomía

EQAlign 2.0.4 – Windows – Castellano – Licencia – F T – 4.4 MB – 21/06/08 – HomepageDescargar

EQAlign es un programa que asiste en la puesta en estación de una montura ecuatorial por el método de J. Scheiner, haciendo los cálculos basándose en las mediciones realizadas por una webcam compatible con el estándar WDM.

Continuar leyendo “CDlibre.org – Boletín nº 155 – 22/06/2008”

Primera vulnerabilidad crítica en Firefox 3

Pocas horas después de su lanzamiento se ha dado a conocer que el navegador que pretendía batir todos récords de descarga, Mozilla Firefox 3, contiene una vulnerabilidad crítica que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

Después de que el navegador de código abierto haya tenido más de 8,3 millones de descargas durante las primeras 24 horas desde su lanzamiento, en parte gracias a una interesante campaña de márketing, ahora se descubre que contiene al menos un fallo, que podría permitir la ejecución de código con sólo visitar un enlace que nos lleve a una página web especialmente manipulada.

Zero Day Initiative (ZDI) publicó el descubrimiento de dicho agujero de seguridad tan solo 5 horas después de que Firefox 3 fuera lanzado de forma oficial, a las 19 horas del pasado día 17 en España (aunque es bastante más que probable que tuvieran conocimiento del fallo desde la aparición de las primeras betas, pero hayan esperado al lanzamiento oficial para hacerlo público). Los investigadores de ZDI han confirmado que la vulnerabilidad podría permitir la ejecución de código arbitrario de forma remota con los permisos del usuario ejecutando la aplicación, aunque no parece que el fallo esté siendo explotado en la actualidad.

En todo software relativamente nuevo las posibilidades de que se descubran vulnerabilidades graves se multiplican al lanzar una nueva versión con importantes modificaciones. Este problema no es patrimonio exclusivo ni de compañías específicas ni depende de la filosofía del software (sea código abierto, cerrado, o cualquier otra manera de entender la forma de distribución).

Zero Day Initiative está organizado por TippingPoint (filial de 3com) y premia el descubrimiento de nuevas vulnerabilidades si se le ceden en exclusiva los detalles de cómo aprovecharla. Afirma haber informado a los desarrolladores de Mozilla y siguiendo su política de “Responsible Disclosure”, ha rehusado publicar detalles técnicos al respecto hasta que no se haga público un parche que corrija el fallo. Todo hace indicar que la versión 3.0.1 podría estar disponible muy pronto.

Adicionalmente, otros dos investigadores dicen haber descubierto más problemas de seguridad en la nueva versión del navegador. El primero se trataría de error de límites no especificado y que podría causar una denegación de servicio o permitir la ejecución de código. El segundo, un fallo que podría provocar que Firefox 3 ejecutase ciertas aplicaciones sin permiso del usuario. Éstas supuestas vulnerabilidades no han sido confirmadas por el momento y provienen de listas de correo especializadas en seguridad.

Una vez más se recomienda no visitar enlaces poco fiables y vigilar especialmente aquellos que provengan de correos o a través de mensajería instantánea.

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/3527/comentar

Más información

Mozilla Firefox 3.0 Vulnerability

http://dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firefox-30

Mozilla Firefox 3 Unspecified Buffer Overflow Vulnerability http://www.securityfocus.com/bid/29794/info

Flaw in Firefox 3.0: protocol-handler.warn-external are ignored http://seclists.org/fulldisclosure/2008/Jun/0228.html

Mozilla Firefox 3.0

http://www.mozilla-europe.org/es/firefox/

Pablo Molina

Libreria Web: Procesing.js

Poco a poco JavaScript va evolucionando como un lenguaje completo y no solo un complemento en la creación web, una de las caracteristicas mas flojas era el tema grafico, pero esto esta cambiando y puede que dentro de poco vayamos diciendo adios a la tecnologia propietaria de Adobe Flash.

Todo ello gracias al excelente trabajo realizado por John Resig y su libreria Procesin.js ,

Descargas Procesin.JS

Ejemplos



Basic Demos (91 Total)




Mozilla FireFox 3 Beta1 Es

Ha sido lanzala la Beta 1 del nuevo FireFox 3, aqui la podeis probar.