Mostrando entradas con la etiqueta Internet Explorer. Mostrar todas las entradas
Mostrando entradas con la etiqueta Internet Explorer. Mostrar todas las entradas

miércoles, 10 de marzo de 2010

Nuevo 0-day [vulnerabilidad explotada sin parche disponible] en Microsoft Internet Explorer

'Microsoft informa de una vulnerabilidad en el navegador Internet Explorer que podría permitir a un atacante remoto ejecutar código arbitrario, con los permisos del usuario, a través de un sitio web especialmente manipulado.

La vulnerabilidad, a la que se le ha asignado el CVE-2010-0806, se encuentra en "iepeers.dll" y está causada por un puntero inválido al que se podría acceder, bajo ciertas condiciones, tras liberar el objeto apuntado.

Microsoft ha detectado y confirma que la vulnerabilidad está siendo explotada activamente. Se consideran vulnerables las versiones 6 y 7.

Se recomienda seguir las indicaciones de Microsoft a fin de minimizar el impacto. Microsoft está trabajando para publicar un parche que solucione esta vulnerabilidad.

Opina sobre esta noticia


Más Información:


Microsoft Security Advisory (981374) [N.E. MS ofrece las siguientes opciones disponibles y válidas por sí solas para evitar el ataque por ahora disponible, pero todas ellas con algún efecto "colateral", especialmente importante en el caso de las dos últimas:
  • Modificar la lista de control de acceso de iepeers.dll
  • Establecer el nivel de seguridad de la zona de Internet en IE a "Alto" y responder que no a las preguntas sobre ejecución de ActiveX durante la navegación en sitios "no de confianza" (i.e. aquellos sitios web que confiemos nadie, personas ajenas o malware automático, pueda modificar sus páginas)
  • Desactivar "Active Scripting" (y por tanto JavaScript) al menos para los sitios "no de confianza")]

Security Advisory 981374 Released (blog MSRC) '

Fuente: Hispasec 9/03/2010


Entradas relacionadas:

sábado, 23 de enero de 2010

Microsoft conocía el fallo de Internet Explorer desde hace cinco meses, publica hoy la actualización con carácter de urgencia

'Tras la grave vulnerabilidad detectada en Internet Explorer, y que tanto ha dado que hablar en los últimos días, Microsoft ha publicado una actualización para su navegador fuera de ciclo destinada a corregir este problema. Para añadir más polémica a todo lo tratado, Microsoft ha reconocido que conocía la existencia de este fallo desde hace cinco meses.

Sin ser el segundo martes de mes, Microsoft acaba de publicar un boletín de seguridad (con identificador MS10-002). Debido a su gravedad, los fallos podrían ser aprovechados por un atacante remoto para ejecutar código arbitrario y comprometer por completo un sistema vulnerable.'

'La razón de la publicación del boletín fuera de ciclo es debido a la vulnerabilidad del navegador, de la que ya hablamos en un boletín anterior y que estaba siendo explotada de forma activa. Este fallo ya conocido como "Aurora" (asignado al CVE-2010-0249), junto con otras cinco vulnerabilidades, son de naturaleza similar y en muchos casos pueden permitir la ejecución remota de código.

Pero lo más polémico puede surgir tras el reconocimiento por la propia firma de Redmond de que conocía de la existencia del fallo empleado en los ataques contra Google y Adobe (entre otras) desde el pasado mes de agosto. Meron Sellen, un investigador de la firma israelí BugSec había reportado el fallo el pasado mes de agosto y la propia Microsoft confirmó su gravedad en septiembre. Otros fallos similares corregidos en esta actualización también habían sido reportados a Microsoft hace seis meses por Zero Day Initiative. Microsoft tenía planeada la distribución de este boletín para su ciclo habitual de actualizaciones de febrero, sin embargo los ataques han obligado a adelantar su publicación.'


Fuente y noticia completa
: Hispasec - Una al día de 22/04/2010


Entradas relacionadas:

viernes, 22 de enero de 2010

Microsoft publica un parche en día no habitual [para corregir la vulnerabilidad de ejecución remota en Internet Explorer]

"Microsoft publicó antes del día mensual habitual un boletín y la actualización ("parche") de seguridad que anunció ayer. MS10-002 es un parche acumulativo para Internet Explorer. Corrige un total de 8 vulnerabilidades. Se está "explotando" [aprovechandoda para ataques de seguridad informática] la "famosa" vulnerabilidad que ha provocada esta publicación, CVE-2010-0249, . Según el boletín, no se está "explotando" ninguna de las restantes vulnerabilidades restantes, que habían sido comunicadas a Microsoft directamente sin divulgarse al público.

Dado el número creciente de "exploits" contra CVE-2010-0249 y que es conocido públicamente el uso de dichos "exploits", recomandamos que usted aplique el "parche" tan pronto como sea posible.

Fuente: Internet Storm Center 21/01/2010

NOTA DEL EDITOR: El boletín y parche de seguridad de Microsoft MS10-002 puede descargarse de aquí, teniendo presente las notas apuntadas en el documento de MS KB978207.


Entradas relacionadas:

martes, 19 de enero de 2010

Alemania y Francia recomiendan no utilizar Internet Explorer. "Exploits" mejorados

Alemania y Francia recomiendan no utilizar Internet Explorer

'Es una decisión sin precedentes que va un paso más allá de las recomendaciones de seguridad que puedan hacer fabricantes de software o analistas de empresas privadas. El Gobierno alemán, mediante la Oficina Federal para la Seguridad en Tecnologías de la Información (BSI), ha recomendado utilizar un navegador alternativo a los usuarios que usen Internet Explorer 6, 7 y 8 hasta que Microsoft lance una actualización que solucione sus problemas de seguridad.

En el mismo sentido se ha pronunciado la Agencia Nacional de Seguridad francesa (Certa), mientras la compañía intenta solventar un fallo que permite ejecutar un código a distancia cuando se navega con Explorer.

Microsoft ha reconocido que los recientes ataques a los servidores de 35 compañías, entre ellas Google, utilizaron un agujero de seguridad de su navegador, pero rechaza la drástica advertencia realizada por estas dos agencias gubernamentales y afirma que el riesgo para los usuarios es bajo. La compañía considera que los ataques fueron realizados por programadores expertos, "con un fin muy específico" y sin afectar a "usuarios comunes".

Aunque la siguiente actualización de seguridad del navegador de Microsoft no estaba prevista hasta febrero, la compañía ya está trabajando en un parche. Por el momento, recomienda desactivar varios comandos de su navegador, pero la Administración alemana alerta de que esas medidas no son suficientes.'

Fuente y noticia completa: Publico 19/01/2010

NOTA DEL EDITOR [20/01 corregida errata en las versiones con DEP por defecto]: Microsoft informaba que el "exploit" concreto que circula por Internet no funciona más que en IE 6 sobre Windows XP y 2000, que dicho "exploit" deja de funcionar si se activa la caracteristica "DEP" para IE (para su version 6 posible sólo en XP SP2 o SP3) y que los equipos Windows con "DEP" activado para IE estarían bastante protegidos de exploits similares (por defecto, DEP está activado en IE 8 sobre XP SP3, Vista SP1 o superior, Windows 7 y Windows Server 2008);
Microsoft recomendaba habilitar DEP en las combinaciones de Windows+IE donde es posible y no lo esté ya, sugiriendo en su aviso de seguridad como medidas adicionales, mitigadoras pero con pérdidas importantes de funcionalidad, de elevar a "High" la configuración de seguridad de IE o de desactivar Active Scripting (JavaScript) del navegador por sitios o siempre.


Operación Aurora: Francia recomienda dejar de utilizar Internet Explorer .., [en una organización] ¿es una buena idea cambiar de navegador para evitar la vulnerabilidad de Microsoft?

'Recuerde: si su departamento informático no da soporte ya de un navegador alternativo y sus usuarios no son familiares con él, puede causar más problemas con el nuevo navegador como para que no merezca la pena el cambio.

Además puede que tenga aplicaciones basada en web que no funcionen bien o incluso no funcionen bien si no es con Internet Explorer.'

' Mi consejo es abandonar Internet Explorer sólo si usted sabe realmente lo que está haciendo ..."

'Mi predicción es que Microsoft está trabajando duro para distribuir un parche para la vulnerabilidad antes de la distribución periódica usual. Resolverá el serio problema de seguridad antes de que este problema cause más daño al prestigio de Internet Explorer.'

Fuente y opinión completa: Blog de G. Cluley de Sophos 18/01/2010 Traducción nuestra


Información adicional sobre DEP y la vulnerabiliad '0day' (sin parche disponible) de Internet Explorer

'La nueva vulnerabilidad de seguridad de Internet Explorer descrita en el Aviso de Seguridad 979352 de Microsoft ha despertado mucho interés en los días pasados. El equipo de Internet Explorer está trabajando duro para preparar una actualización de segurida exhaustiva que resuelva la vulenrabilidad y el MSRC anunció que tan pronto esté disponible la actualización será distribuida.

Hemos recibido varias preguntas de clientes que desean proteger sus entornos mientras tanto, la mayor parte sobre Data Execution Prevention (DEP), una medida mitigadora ya discutida en nuestra entrada previa de blog.'

Fuente e información completa: Microsoft 18/01/2010 Traducción nuestra


El exploit 'Aurora' mejorado para superar la seguridad DEP de Internet Explorer. Microsoft prevé un parche de emergencia.

'Los peores presagios de los expertos en seguridad acerca del "exploit" de Internet Explorer utilizado para adentrarse en Google y otras compañías acaba de cumplirse: se puede modificar para que supere la mejor defensa de Internet Explorer, la característica "Data Execution Protection" (DEP).'

'VUPEN Security dice haber confirmado que DEP no protege del [su nuevo] exploit y que la única forma de evitarlo es desabilitar JavaScript'

Fuente y noticia completa: Security Dark Reading 19/01/2010
Traducción nuestra

Entradas relacionadas:

Una vulnerabilidad de Internet Explorer sin parche disponible, detrás de ataques a grandes compañías

Un bug en Internet Explorer, detrás de ataques a grandes compañías
' Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail, señalando que tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos.... tras un análisis del malware, llevado a cabo por la empresa McAfee, ... descubrieron los investigadores [de McAfee que] fue una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario...' Fuente y noticia completa: Barrapunto 15/01/2010

'Hackers se aprovecharon de una vulneabilidad sin parche del navegador Microsoft Internet Explorer (IE) para penetrar en algunas compañías que fueron blanco de un ataque generalizo que acabó comprometiendo las redes corporativas de Google y Adobe, ha dicho Mc Afee hoy". Fuente y noticia completa: Computerworld 14/01/2010 Traducción nuestra.

'Con nuestra investigación descubrimos que en una de las muestras de software malicioso implicadas en estos ataques generalizados se saca provecho de una nueva y desconocida vulnerabilidad de Microsoft Internet Explorer. Informamos a Microsoft que publicó un aviso de seguridad y una entrada de blog sobre el asunto en la tarde del Martes. Como en la mayoría de los ataques dirigidos, los intrusos consiguieron el acceso a la organización correspondiente dirigiendo un ataque a medida a un individuo o unos pocos individuos elegidos como blanco. Sospechamos que fueron elegidos por su acceso a información de valiosa propiedad intelectual. Esos ataques habrían procedido de una fuente aparentemente fiable, conduciendo al blanco a caer en la trampa siguiendo un enlace o abriendo un fichero. Aquí es cuando el aprovechamiento de la vulnerabilidad de Microsoft Internet Explorer tiene lugar [para descargarse e instalarse de forma inadvertida un troyano]. Fuente y noticia completa: McAfee Security Blog 14/01/2010 Traducción nuestra.

Código de aprovechamiento ("exploit code") de CVE-2010-0249 disponible públicamente
'Se han publicado los detalles de un exploit contra la vulnerabilidad CVE-2010-0249, la del Aviso de Seguridad de Microsoft Security 979352, también conocida como Aurora. Se trata de una vulnerabilidad en mshtml.dll que funciona como ya se había dicho en IE6 pero si se habilita DEP ["Data Execution Prevention"] en IE7 o en IE8 el "exploit" no consigue ejecutar código alguno. Se espera que Microsoft tenga el parche disponible en su día habitual de parches en Febrero. No parece probable un parche antes a menos que lo publiquen terceros". Fuente y noticia completa: Internet Storm Center 15/01/2010

Entradas relacionadas:

miércoles, 23 de diciembre de 2009

Mozilla [Firefox] se gana a los internautas frente a Microsoft [Internet Explorer]

'Por primera vez desde que se lanzó hace cinco años, una versión de Firefox de Mozilla se ha situado como el navegador más utilizado del mundo por delante de Internet Explorer de Microsoft, según las estadísticas de la empresa de medición StatCounter, que monitoriza tres millones de sitios web con 5.000 millones de páginas vistas para elaborar sus estadísticas.

El vuelco se produjo la segunda semana de diciembre, cuando la versión Firefox 3.5 sobrepasó a Internet Explorer 7.0. No hay una gran diferencia entre estos navegadores, puesto que el proyecto de software libre de la fundación Mozilla tiene en estos momentos una cuota de mercado mundial del 21,74%, frente al 20,26% del software de Microsoft.

Los datos de StatCounter muestran una caída continua en el uso de Internet Explorer 7.0 (hace un año acaparaba el 43% del mercado) motivada por la llegada de la nueva versión 8.0 del navegador de Microsoft, que tiene un 19,25% de cuota. El hecho de que los usuarios de Microsoft se repartan entre estas dos versiones ha permitido a Mozilla colocar a Firefox 3.5, lanzado a finales de junio, en el primer lugar del podio.

La foto cambia si se suman las distintas versiones de cada navegador. En este caso, Microsoft sigue siendo el número uno indiscutible con un 55% (todavía un 16% de los internautas se mueve por la red con el antiguo Internet Explorer 6.0), frente al 32% de Mozilla, quien asegura que más de 300 millones de internautas utilizan Firefox.'

Fuente y noticia completa: Expansión 21/12/2009

martes, 23 de junio de 2009

Según Microsoft, Internet Explorer 8 es superior a Mozilla Firefox 3 y Google Chrome 2

'Here are even more ways Internet Explorer 8 is taking the competition head-on:


Internet Explorer 8

Firefox 3.0

Google Chrome 2.0

Comments

Security

Check

Internet Explorer 8 takes the cake with better phishing and malware protection, as well as protection from emerging threats.

Privacy

Check

InPrivate Browsing and InPrivate Filtering help Internet Explorer 8 claim privacy victory.

Ease of Use

Check

Features like Accelerators, Web Slices and Visual Search Suggestions make Internet Explorer 8 easiest to use.

Web Standards

CheckCheckCheck

Firefox and Chrome have more support for emerging standards like HTML5 and CSS3, but Internet Explorer 8 invested heavily in having world-class, consistent support for the entire CSS2.1 specification.

Developer Tools

CheckCheck

Internet Explorer 8 has the most comprehensive developer tools built in, including HTML, CSS and JavaScript editing, but also JavaScript profiling; other browsers have developer tools available, but either require you to download them separately, or aren't as complete.

Reliability

Check

Only Internet Explorer 8 has both tab isolation and crash recovery features; Firefox and Chrome have one or the other.

Customizability

CheckCheckCheck

Sure, Firefox may win in sheer number of add-ons, but many of the customizations you'd want to download for Firefox are already a part of Internet Explorer 8 – right out of the box.

Compatibility

Check

Internet Explorer 8 is more compatible with more sites on the Internet than any other browser.

Manageability

Check

Neither Firefox nor Chrome provide guidance or enterprise tools.

Performance

CheckCheckCheck

Knowing the top speed of a car doesn't tell you how fast you can drive in rush hour. To actually see the difference in page loads between all three browsers, you need slow-motion video. This one’s also a tie.



'

Fuente: Microsoft 21/06/2009
Entradas relacionadas:

sábado, 21 de marzo de 2009

Microsoft lanza Explorer 8, un navegador más intuitivo

'Microsoft estrena la octava versión de su navegador. A partir de las seis de la tarde de hoy se podrá descargar de manera gratuita este programa que permite explorar la Red. Entre las mejoras más destacadas está la intención de reducir el número de golpes de ratón que hace el usuario en cada sesión. El programa aprende del usuario de qué manera se desenvuelve por la red, qué sitios visita y qué hace en ellos; así, a medida que lo use, le irá ofreciendo hacer directamente sus tareas habituales con un ahorro sustancial de tiempo.

La hegemonia de Microsoft en Internet no peligra, pero sí cuenta con contrincantes a tener en cuenta. Firefox, el navegador de la Fundación Mozilla, es el preferido por los entusiastas de la Red. Los usuarios de Apple Macintosh apuestan por Safari. A estos dos nuevos competidores se une el programa lanzado por Google que recientemente ha dejado de ser una versión de pruebas Chrome. Según los datos de Net Applications, Firefox cuenta con un 21,7% de cuota de mercado.

Desde la versión 6 de Explorer se han notado cambios notables en la manera de entender la red por parte de la empresa que creó Bill Gates. Además de añadir pestañas que mejoran la experiencia de usuario, comenzaron a integrar RSS (contenido dinámico que permite suscribirse a las actualizaciones).

Apuesta por la privacidad

El programa incorpora una funcionalidad para borrar los historiales, de modo que se borra el rastro de los sitios visitados en las últimas sesiones. Con la activación del modo InPrivate se puede navegar sin dejar huella. De modo que el navegador no registra los sitios, ni las contraseñas o nombres de usuario que se hagan en cada sesión. Algo que resulta muy práctico para quiénes cambian con frecuencia de ordenador o utilizan ordenadores de uso público.

Las dos grandes novedades de este producto son los slices y los aceleradores. Los primeros son pequeños trozos de contenidos dinámico, que permitirá ver y recibir las actualizaciones de noticias o de una subasta o ver las últimas novedades de una red social sin tener que cambiar de pantalla, estarán directamente en la barra de navegación.

Explorer 8 tiene los denominados aceleradores, son pequeñas programas o funcionalidades de distintos sitios web, que hacen más fácil compartir contenidos. Al utilizar el botón derecho del ratón se mostrará en cualquier página web todas estas posibilidades. Esta funcionalidad evitará un buen número de clics y apertura de nuevas pestañas. Así por ejemplo si se busca un restaurante y se quiere localizar en un mapa, bastará con darle al acelerador incorporado en el botón derecho con Google Maps para obtener el resultado en una pequeña ventana flotante y ver donde está situado sin haber tenido que salir de la página web. En España se contará con 150 de estos complementos en el primer mes.

ELPAÍS.com tendrá disponibles desde el primer día los aceleradores para acceder directamente a los últimos vídeos, fotografías, las noticias más valoradas por los usuarios, las viñetas, y las noticias de última hora.

Durante el evento de lanzamiento han sido presentados decenas de aceleradores y Web Slices desarrollados por los sitios web más visitados en nuestro país, además de los principales grupos de comunicación españoles y referentes como 11870.com, Anuntis, Ciao.es, eBay, El Corte Inglés, Facebook, Idealista, MSN, Prisa, Telefónica Móviles o Tuenti.

Explorer 8, que vendrá integrado en Windows 7, el sistema operativo que verá la luz a finales de año, funcionará con ordenadores que utilicen Windows XP Service Pack 2 y Windows Vista. El programa se puede descargar en castellano, aunque aseguran desde la compañía que en un plazo de entre dos y cuatro meses estará también en catalán y euskera.'

Fuente: El País 19/03/09

martes, 10 de marzo de 2009

Microsoft lanzará Internet Explorer 8 con el modo de interpretación de las páginas web más estándar por defecto

Tal y como explica Microsoft en su nota de prensa de 3 de Marzo de 2008, la nueva versión de su navegador web, Internet Explorer 8 [IE 8] "ha sido diseñada para incluir tres modos de renderizado" de las páginas web:
  1. Modo "IE8 Standards": el "que utiliza la implementación de Microsoft de los estándares web actuales"
  2. Modo "IE7 Standards": el "que utiliza la implementación [incompleta y "especial"] que hizo Microsott de los estándares web cuando salió Internet Explorer 7"
  3. Modo "Quirks": el que "se basa en los métodos de la época de comienzos del Web"
La "pobre" implementación de los estándares que tenía Internet Explorer hasta ahora era una de las causas que hubiera que realizar las páginas web con un montón de trucos y técnicas "sucias" que hacían difícil y completa la compatibilidad con el resto de navegadores que implementaban mejor los navegadores. Un montón de páginas de internet y la mayoría de las de las intranets siguen estando desarrolladas teniendo en mente las particularidades del navegador de Microsoft.

Con IE 8, Microsoft ha mejorado notablemente el soporte de los estándares. Por ejemplo, IE 8 por fin soporta de forma suficientemente completa el estándar de hojas de estilo CSS 2.1 ("recomendado" por el W3C desde 2004) lo que hará mucho más fácil desarrollar páginas web con separación sencilla entre el contenido y el estilo de una forma universal y válida para todos los navegadores web importantes de la actualidad.

Curiosamente y en aras de una mayor compatiblidad con todas esas páginas web diseñadas para ser vistas en sus anteriores navegadores, Microsoft había decidido en un primer momento que IE 8 presentara las páginas por defecto en los modos antiguos según las mismas reglas que usa IE7 y que presentara las páginas según el estándar actual sólo si en la propia página web se introducía una etiqueta especial para este navegador (meta equiv="X-UA-Compatible" content="IE=8")

Ahora Microsoft anuncia que ha cambiado de opinión e Internet Explorer 8 interpretará por defecto las páginas web en el modo más estándar, y habrá que marcar las páginas web internamente con una etiqueta similar a la de arriba (con IE=7) si se desea que IE8 interprete las páginas como lo hacía IE7.

Esto supondrá un importante avance en la compatibilidad entre navegadoes y hará mucho más fácil desarrollas las nuevas páginas web de una forma válida para todos los navegadores importantes, pero podrá suponer problemas en aquellas organizaciones que tengan sus páginas web llenas de "los viejos trucos para IE" el día que migren de IE 6/7 a IE 8.