Archivo para julio 2009

Messenger cumple 10 años

julio 22, 2009

MSN

El servicio de mensajería instantánea Windows Live Messenger cumple 10 años hoy, fue puesto a disposición de los usuarios por Microsoft, y lo celebra con 323 millones de usuarios en todo el mundo.

Este servicio que permite a los usuarios mantener conversaciones instantáneas a través de Internet, nació el 22 de julio de 1999 como un servicio que permitía hablar con una persona a través de un mensaje de texto por Internet, y dos meses después de su lanzamiento contaba con 2,5 millones de usuarios.

Al año, cuando permitía ya conversaciones gratuitas de larga distancia entre EE.UU. y Canadá y el servicio era en 22 idiomas, contaba con 18 millones de usuarios.

En 2001 permitió formar grupos de contacto, lo que se tradujo en conversaciones simultáneas y agrego el soporte de voz.

La empresa recuerda que desde sus inicios ha ido cambiando para mejorar, por ejemplo con los muñequitos de messenger o “emoticonos” que se pueden poner en los mensajes para mostrar el estado de ánimo o con la posibilidad de compartir fotos.

Microsoft afirma que Windows Live Messenger es el programa de mensajería instantánea más utilizado del mundo, con 140 millones de personas que se conectan a Messenger cada día y 8.600 millones de mensajes al día a través de 1.600 millones de sesiones activadas.

Messenger cuenta con sistemas de protección a la infancia de forma que los padres pueden gestionar y supervisar el uso de este servicio.

Microsoft celebra los 10 años de Messenger con un movimiento social, invita a los usuarios a enviar sus historias a través de este servicio y las mejores se colgarán en la página “www.vivelive.com/felicidades”, donde se podrán encontrar “emoticonos” gratuitos.

Fuente: cincodias

Anuncios

Mozilla publica parche oficial para la vulnerabilidad en Firefox 3.5

julio 20, 2009

Mozilla ha publicado ya oficialmente la versión 3.5.1 que corrige el fallo en JIT que permitía la ejecución de código. El exploit fue publicado por sorpresa, cuando el equipo de desarrollo todavía no disponía de una versión corregida que ofrecer a los usuarios. Pensaban publicar la actualización a finales de julio, pero han acelerado convenientemente el proceso para emitir la nueva versión lo antes posible.
¿Pero no existía parche ya?

A raíz de la cantidad de comentarios recibidos en nuestros buzones, sobre la información publicada en la una-al-día “Ejecución de código en Mozilla Firefox. No existe parche oficial disponible”, creemos necesario aclarar ciertos puntos y actualizar la información existente.

El comentario más repetido es que “sí” existía parche en el momento de la publicación de la noticia. Queremos aclarar y ratificarnos en que no existía, hasta este momento, parche oficial disponible, aclarando correctamente lo que es un parche oficial. Entendemos como “parche oficial”, un método de actualización que no exija “recompilación” del software, ofrecido por el fabricante, y que haya pasado unos mínimos controles para comprobar que no introduce nuevos errores. El mismo blog de seguridad oficial de Mozilla (http://blog.mozilla.com/security/), escribía:

Status: “Mozilla developers are working on a fix for this issue and a Firefox security update will be sent out as soon as the fix is completed and tested.”

Estaban trabajando en una solución. En cuanto han creído que el parche es correcto, no abre nuevos fallos y está concienzudamente comprobado, han subido a la página oficial la versión 3.5.1 para que todo el mundo pueda descargarla. La política de Firefox en este sentido es crear nuevas versiones con la solución integrada. Desde el día 13 (cuando ya se conocía el fallo) y hasta ahora, solo estaba disponible para descarga oficial la versión 3.5, vulnerable. No había parche oficial comprobado, si no, obviamente Mozilla lo habría subido como descarga pública oficial.

¿Qué tenían entonces antes de la versión 3.5.1?

Tenían la localización del problema, y un planteamiento de modificación del código para solucionar el fallo (que probablemente fuese el definitivo), en forma de archivo .diff o precompilaciones diarias inestables o versiones de desarrollo. Pero eso no es un parche oficial. Cuando existe un fallo de seguridad, y más cuando se tiene delante un exploit, la parte más “sencilla” es localizar la línea que origina el problema y programar una solución. Esto es prácticamente inmediato sea software libre o no. Lo complicado es integrar esto en una versión oficial que sea compilada y distribuida públicamente, asegurándose de que no introduce regresiones, problemas de estabilidad y que de verdad soluciona todos los vectores por los que la vulnerabilidad puede ser aprovechada. Solo este último punto puede llevar semanas. Si no se respeta este paso, se corre el riesgo de emitir constantes versiones con regresiones (un problema más común de lo que parece) e introducir inestabilidades.

En un entorno no profesional, casero, es viable aplicar un parche en forma de archivo .diff, compilar extraoficialmente y asumir los problemas potenciales que esto puede acarrear. Pero en entornos profesionales, con decenas o cientos de máquinas que administrar, no es tan sencillo. Todo debe seguir funcionando, y nadie que se tome en serio su negocio usaría versiones no estables, en desarrollo o compilaciones diarias en entornos de producción más o menos críticos. En entornos más exigentes, incluso no aplican nunca los parches oficiales nada más son publicados, sino que son todavía más cautelosos y esperan a comprobar que no introducen nuevos problemas.

También cabe recodar, que deshabilitar el origen del problema no es “solucionar” la vulnerabilidad.

Con respecto a la vulnerabilidad, aclaramos que el fallo se encuentra en en el compilador Just-in-time (JIT). La rama 3.0.x no se ve afectada.

Fuente: Hispasec

Ojo…tambien Firefox esta vulnerable

julio 15, 2009

Ofrecemos este boletín con carácter de urgencia. Se ha publicado un exploit para Mozilla Firefox 3.5 que permite la ejecución de código si un usuario visita una página web especialmente manipulada. No existe parche oficial disponible.
Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y “aprovechar” así la creciente cuota de mercado de usuarios de Firefox.

El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de código JavaScript del navegador a la hora de manejar ciertas etiquetas (“font”, entre ellas) HTML.

No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de “0 day”, aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.

Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).

Fuente: http://www.hispasec.com