Nueva versión de Firefox, Thunderbird y SeaMonkey corrige graves vulnerabilidades


Mozilla ha publicado una nueva actualización para la rama 1.x de su navegador, que solventa hasta cinco fallos de seguridad agrupados en tres "boletines", todos calificados como críticos. Varias de estas vulnerabilidades son aprovechables para ejecutar código arbitrario.

La nueva versión de la rama 1.x de los productos Mozilla (Firefox, SeaMonkey y Thunderbir) corrige cinco fallos de seguridad que permiten eludir restricciones e incluso ejecutar código. Los tres "boletines" publicados (del número 65 al 67 de 2006) especifican las vulnerabilidades:

El primer fallo se debe a un problema de corrupción de memoria en el motor de diseño que puede ser aprovechado por atacantes para hacer que la aplicación deje de responder (causar una denegación de servicio) y potencialmente ejecutar código arbitrario.

El segundo fallo se debe a un problema de corrupción de memoria en XML.prototype.hasOwnProperty. Este error se suponía en principio un fallo que permitía hacer que la aplicación dejase de funcionar, pero se ha demostrado que puede ser aprovechado por atacantes remotos para ejecutar código.

El tercer fallo se debe también a un problema de corrupción de memoria en el motor JavaScript a la hora de procesar datos mal formados. Esto puede permitir a atacantes hacer que el sistema deje de responder o, potencialmente, ejecutar código arbitrario.

El cuarto fallo se debe un error a la hora de validar firmas digitales RSA con exponente 3. Este problema, encontrado por primera vez en OpenSSL en septiembre y heredado a innumerables productos, no fue completamente corregido en la librería NSS que incorpora la rama 1.x de los productos Mozilla y ha sido de nuevo parcheado para proteger de una variante del ataque original.

El quinto fallo se debe a un error por el que ciertos objetos Script podrían ser modificados durante la ejecución. Esto podría ser aprovechado por atacantes para ejecutar bytecode JavaScript arbitrario.

Los productos afectados son:

Mozilla Firefox 1.5.0.7 y anteriores.
Mozilla Thunderbird 1.5.0.7 y anteriores.
Mozilla SeaMonkey 1.0.5 y anteriores.

 

Para INTEL, los virus pronto serán cosas del pasado

La tecnología de Intel denominada "Ejecución Confiable" encripta todo.

Los virus, códigos maliciosos, spywares y otras amenazas de seguridad están a punto de enfrentar un triste final según Intel. De acuerdo a la compañía, la misma está trabajando firmemente en la llamada Tecnología de Ejecución Confiable (Trusted Execution Technology, TXT abreviado del inglés) que inicialmente había sido denominada "LaGrande", que usará llaves de hardware y subsistemas para controlar qué parte de los recursos de la computadora pueden ser accesados o no en determinadas circunstancias.


Yendo más allá del NX bit, o el Non-execution bit que aparece actualmente activado en procesadores tanto de Intel como de AMD, el TXT traerá una nueva dimensión en lo que a la seguridad de las PC se refiere. De hecho, el TXT será capaz de trabajar en un ambiente virtual en sistemas con tecnología VT de Intel. Se dice además que los sistemas operativos serán capaces de tomar las ventajas disponibles en una plataforma con el TXT activado.

Comenzando desde el uso de chips TPM (Trusted Platform Module, Módulo de Plataforma Confiable) y agregando nuevas extensiones de hardware tanto como a los procesadores como a los chips, el TXT puede lograr lo siguiente:

- Ejecución Protegida: permite que una aplicación se ejecute en un ambiente aislado, que está protegido de otros programas que estén ejecutándose en la misma plataforma. Ningún otro programa podrá entrar o influir en este ambiente exclusivo. Además cada aplicación que corra en su respectivo ambiente aislado usará para si, solo su parte correspondiente tanto de procesador como de chips.

- Almacenamiento Sellado: los nuevos chips TPM serán capaces de guardar y encriptar llaves en el hardware. Sólo el mismo sistema que creó el TPM será capaz de decodificarlo.

- Entrada Protegida: Intel está desarrollando mecanismos que prevendrán el monitoreo no autorizado de las tareas, así como de las entradas desde el teclado y mouse. No solamente serán encriptadas las entradas tradicionales mencionadas, sino también todo lo relativo a los puertos USB.

- Gráficos Protegidos: las aplicaciones tendrán las rutas de los gráficos encriptadas también. La información enviada a la tarjeta gráfica desde cualquier aplicación no podrá ser observada desde ningún otro punto, al estar ésta también debidamente protegida. Por ejemplo, una ventana emergente puede estar encriptada mientras las demás ventanas continúan sin protección.

- Arranque Protegido: esta parte del TXT protegerá partes críticas en el arranque del sistema operativo. Los componentes del OS kernel, por ejemplo, estarán protegidos tanto en el inicio como en su uso posterior.

De acuerdo a lo que dice Intel, este sistema aumentará la seguridad sobre todo en los aspectos de información sensible, protegiéndola de ataques de software malicioso, sin comprometer la funcionalidad del sistema en general.

Trabajará además en conjunto con un mecanismo llamado Attestation para TXT que controlará que el trabajo de dicho TXT se realice correctamente.

Los procesadores trabajarán en particiones de similar manera a como lo hacen los discos duros actualmente. Estas particiones podrán estar o no protegidas. Las particiones no protegidas serán llamadas desde ahora "particiones legacy".

Un procesador con el TXT activado será capaz de reconocer y trabajar con particiones legacy y particiones protegidas al mismo tiempo. Los chips deberán estar diseñados para permitir esto.

Estos equipos deberán estar construidos totalmente de forma que permitan alcanzar este nivel de seguridad y de practicidad mencionado. Con esto Intel se cubre un poco advirtiendo que su sistema sólo será seguro si integra todo un hardware nuevo desarrollado de acuerdo a las exigencias del TXT, no solamente el procesador.

Los elementos que deberán estar protegidos y creados para tal fin son:

- Memoria del procesador

- Manejo de eventos de la memoria

- Memoria del sistema

- Rutas de la memoria y del chip

- Subsistemas de almacenamiento

- Hardware de entrada de datos

- Salidas de gráficos

Se espera que esta tecnología esté disponible a partir de 2007, primero en plataformas de negocios para luego hacerse populares entre el usuario común.

Bill Gates presenta Windows Vista y promete ayudar a Rusia

El magnate Bill Gates, propietario de la empresa Microsoft, presentó hoy en Rusia el nuevo sistema operativo Windows Vista y prometió ayudar al Gobierno ruso en la implantación de nuevas tecnologías y la conexión de las escuelas a internet.

'El acceso al internet es el acceso al saber', dijo Gates, citado por la agencia Interfax, durante su intervención en la conferencia 'Innovaciones y tecnologías de información: desafíos globales, posibilidades y éxitos en el desarrollo' celebrada hoy en Moscú.

Agregó que 'Rusia es un país muy culto, pero cualquier educación es incompleta sin el conocimiento de la informática', y aseguró que Microsoft cooperará con el Gobierno y las regiones rusas en la implantación de medios de comunicación modernos en la educación.

Gates se reunió además con el viceprimer ministro primero de Rusia, Dmitri Medvedev, ante quien alabó el proyecto gubernamental para conectar a internet la totalidad de las 52.000 escuelas del país, y prometió asimismo la colaboración de su empresa.

Uno de los hombres más ricos del planeta, con una fortuna estimada por la revista estadounidense Forbes en 50.000 millones de dólares, alabó los progresos alcanzados por el Gobierno ruso en los últimos dos años en la protección de la propiedad intelectual.

Sin embargo, la prensa rusa comentó con ironía que 'el amiguete Bill llega tarde: las versiones pirateadas de sus nuevos programas se pueden descargar desde hace medio año en internet', según 'Komsomolskaya Pravda', el diario de mayor tirada en el país.

En esta tercera visita a Rusia, que aprovecha para presentar el sistema operativo de Microsoft Windows Vista para empresas y los programas MS Office-2007, Bill Gates tiene previsto reunirse asimismo con epresarios y estudiantes rusos.

Los "enemigos de internet"

Una lista de 13 "enemigos de internet" fue publicada por el grupo de derechos humanos Reporteros Sin Fronteras


Por primera vez, Egipto aparece señalado, mientras que Nepal, Libia y Maldivas fueron retirados.

La lista consiste de países que RSF cree que suprimen la libertad de expresión en internet.

EL grupo de libertades civiles ha organizado una protesta de 24 horas en la que invita a los usuarios de la red a votar por los países más transgresores.

A los visitantes al sitio de RSF también se les invita a dejar un mensaje de voz para el cofundador de Yahoo, Jerry Yang, que exprese sus opiniones sobre la relación de la firma con China.

RSF ha condenado abiertamente a Yahoo. El motor de búsqueda ha sido criticado junto a otras compañías por ayudar a las autoridades chinas a bloquear el acceso a algunos contenidos en línea.

Mejoras

La lista negra es publicada anualmente pero esta es la primera vez que RSF organiza una protesta en línea para acompañar su listado.

"Queremos movilizar a los usuarios de la red para que cuando hagamos cabildeo en algunos países podamos decir que las preocupaciones no son sólo nuestras, sino de miles de usuarios de internet alrededor del mundo", dijo un vocero de RSF.

Muchos de los que aparecen en la lista negra de internet son países que, como China y Myanmar (Birmania), son criticados normalmente por grupos de derechos humanos.

Egipto es un nuevo integrante y ha sido ingresado por su actitud hacia los bloggers más que por una censura específica de la red, dijo RSF.

"Tres bloggers han sido arrestados y detenidos este año por hablar en favor de una reforma democrática. este es un llamado al gobierno egipcio para que cambie su posición", dijo el portavoz de RSF.

"El hecho de que este año hayamos retirado a tres países de la lista es alentador. Muestra que la situación puede cambiar positivamente", dijo.

En una visita a Libia, Reporteros Sin Fronteras encontró que internet en ese país ya no era censurada, aunque aún consideraba al presidente Muammar Gaddafi como un "depredador de la libertad de prensa".