Firefox 3: 24 horas, 8Millones de descargas, 1 bug

Posted by myself - 19/06/08 at 10:06:31 am

Luego de leer la gran noticia de que Firefox 3 alcanzó y superó la suma de 8 millones de descargas en las primeras 24 horas de lanzamiento, me encuentro con que con la misma rápidez con la que fue descargado, fue encontrado un bug.

El bug reportado, que permite inyectar código malicioso, pareció a las 5 horas del lanzamiento. Otro bug, que realmente considero el primero, ocasiona un desbordamiento de buffer y también fue reportado dentro de las primeras 24 horas.

Las razones saltan a la vista: el bug que permite inyectar código malicioso también afecta a FF2. Es por eso que tiendo a creer que fue, deliveradamente esperado para reportarlo y así hacer algo de fama con él. El segundo bug, es uno común, yo no lo declararía sino como algo curioso : )

Moraleja: Llámese IE, Firefox u Ópera, la velocidad con la que trabajan los desarrolladores de código malicioso es mayor cada día, así que nosotros como usuarios no podemos esperar un producto sin riesgos.

Por si les interesan mis impresiones adicionales sobre FF y lo que espero que todo suceda a partir de ahora en más:

Supongo que lo que garantiza la relevancia de esto no es en sí, las 8MM de descargas -que se agradecen. Pero realmente yo consideraría más el número de personas que finalmente adoptan al FF3 como navegador por defecto.

Cabe destacar que algunos cambios no son bien vistos. El botón de goNext (ir a la página siguiente), el menú de Historial y su nuevo administrador, aparte de las extensiones que no funcionan, son cosas que desaniman a primera vista, por lo que 8MM de descargas pueden terminar en 2MM de usuarios, por poner un ejemplo.

De todas maneras, es bueno ver la capacidad de crear expectativa por parte de FF. Significa que es considerado una buena alternativa por muchos. Siendo algo que al menos, algo que vale la pena probar por sus referencias y eso abre muchas puertas a este tipo de proyectos.

^^

La discusión queda abierta aquí y en casa de Nico ^^

A ver qué opinan… (Sobre todo María Inés que eres la única que problablemente lea esto)*

*Se que alguien más puede y seguramente leerá los contenidos de bsod. Cada lector y visitante es apreciado y respetado. Bienvenidos sean, pero por amor a Dios: Comenten cuando pasen por aquí. :-)

Niños y las nuevas tecnologías: Internet

Posted by myself - 03/09/07 at 07:09:26 pm

Creo que ya nadie se asombra al ver a un niño de 3 años en la PC de su papá. Ni mucho menos, cuando éste es capaz de comprar un auto en eBay.

 

Un reciente estudio, parece indicar que los niños son pseudo-geeks. Sin embargo, no están ajenos a los problemas que las nuevas tecnologías -tecnologías a las que ellos están acostumbrados- suelen brindar.

Pero, los diginiños no son geeks: el 59% de los chicos entre 8 y 14 años de edad, todavía prefieren la televisión a la computadora y sólo el 20% de jóvenes entre 14 y 24 años de edad admite estar interesado en la tecnología. 

 

Sin embargo, creo que el 80% de los niños de hoy en día, se mueven frente a una computadora, como si fuera algo que usan todos los días aunque la estén usando por primera vez. Así, que aunque intenten darle otro nombre, un diginiño, es un geek pequeñito en potencia ; )

Al adaptarse más fácilmente a estas tecnologías, tienen acceso a muchas más cosas que usuarios de mayor edad (que a duras penas pueden encender el computador) y es esta diferencia de conocimiento lo que preocupa a muchos padres -que al desconocer el mecanismo de la red se ven obligados a recurrir a herramientas de terceros para paliar algunos riesgos a los que los niños se encuentran sometidos cuando usan cada nueva tecnología, como por ejemplo, la red.

Traigo el tema a colación, porque he estado notando un crecimiento en los artículos que mencionan a los niños y la tecnología y la preocupación por parte de los padres a la hora de controlar este nuevo entorno. Siempre he creído que la educación familiar es más importante que cualquier otra cosa y no debe dejarse la seguridad en manos de terceros tan a la ligera.

Sin embargo, entre las notas que he leído, encuentro un par de posts que pueden ayudar a más de uno:

[ SpamLoco: Hijos e internet, estrategias para mantenerlos a salvo ]

[ ZonaFirefox: Glubble :: Firefox para toda la familia

 

Tampoco es pornografía, pero como menea…

Posted by nico - 27/07/07 at 11:07:24 am

Tengo un portátil HP Pavilion 1GB RAM, 3GHz
y uso las siguientes extensiones:

Adblock Filterset.G Updater
Adblock Plus
Gmail Manager
Live HTTP Headers
Modify Headers
Tempomail
Web Developer

tengo más de 130 bookmarks, 6 buscadores y suelo tener abiertas 12 webs
y el resultado final: :) ” (clic para ampliar)


Más de 130 marcadores, 6 buscadores, y suelo tener abiertas 12 webs…

“…y el resultado final: :)

FAST2.EXE Removal

http://www.securitystronghold.com/gates/fast-defrag.html

-.-

http://meneame.net/story/firefox-ligero#comment-18

No es pornografía… Pero tampoco se lo que es

Posted by myself - 27/07/07 at 10:07:35 am

Dejando fuera las controversias que ha causado una vulnerabilidad en Firefox (sabiamente explicada en Vagabundia) recientemente y por supuesto, la falta de actualización de este respetable sitio, procedo a enviar un mensaje de paz y armonía.

http://www.youtube.com/watch?v=RnmBaWy4DJo

 

http://www.youtube.com/watch?v=p2BP0ceOZ58

http://www.youtube.com/watch?v=jHjFxJVeCQs

 

Sin comentarios -a menos que alguien los inyecte vía XSS- 

Greasemonkey para Firefox: Cuidado con algunos scripts

Posted by myself - 10/07/07 at 09:07:21 pm

Leo en Vagabundia, que uno o varios scripts de Greasemonkey están siendo utilizados para robar cookies. La única solución hasta el momento consiste en :

Haciendo click con el botón derecho sobre el ícono en la barra de Firefox y elegimos Administrar scripts. En la ventana que se abre, seleccionamos en la lista de la izquierda la que queremos verificar y hacemos click en el botón Editar.

 

Seleccionar las extensiones descargadas recientemente y verificar que el texto

.php?cookie=

encodeURIComponent(document.cookie)

no aparezca. De hacerlo, desactivar o desinstalar el script en conjunto con las preferencias asociadas.

 Más [ Vagabundia (blogspot): Cuidado con Greasemonkey ]

MPack 0.9 Toolkit

Posted by myself - 20/06/07 at 09:06:49 am

MPack 0.9  es un conjunto de herramientas que permite ejecutar exploits en servidores web con soporte PHP.  Últimamente se ha utilizado para convertir sitios legítimos en sitios que permiten la descarga de código malicioso.

El programa permite explotar vulnerabilidades en Internet Explorer y Firefox para Windows y utiliza la etiqueta <IFRAME> para hacer uso de las vulnerabilidades.

Se dice que puede accederse a algunos sitios comprometidos al realizar alguna de las siguientes búsquedas:

  • atlas mountains country (WebAttacker 2 or MPack)
  • rotweiller rescue
  • North Padre Island (WebAttacker 2 or Mpack)
  • arches national park (WebAttacker 2 or MPack)
  • canyonlands national park
  • mass lottery
  • air disasters in Florida (WebAttacker 2)
  • cd key windows xp profesional
  • batmobile for sale
  • victoria's secret (fake codec)
  • pokemon ruby gamesharks
  • blue book (mdac exploit)
  • IBM stock
  • pallet fire
  • Nigerian economic and financial crimes
  • who's a rat

Algunas sugerencias para evitar ser víctimas de este tipo de ataques incluyen:

  1.  Mantener las aplicaciones actualizadas: principalmente navegadores con sus respectivos plugins. Un antivirus al día, también es importante. 
  2. Navegar siempre como usuario con permisos limitados (Ver más aquí)
  3. Utilizar extensiones para Firefox como LinkScanner y Phishtank

Más [ Alerta-Antivirus : MPACK.0.9 ]

Más [ News.com : Dangerous Web sites, strings attached ]

 

Nuevas vulnerabilidades críticas en IE y Firefox

Posted by myself - 01/05/07 at 04:05:33 am

Internet Explorer 7.0.5730.11 y Mozilla Firefox 2.0.0.3   han probado ser vulnerables a un ataque que permitiría realizar Cross-site Scripting (XSS), alterar el contenido de un sitio web e inclusive, secuestrar páginas con la información del usuario (robo de identidad).

La vulnerabilidad, se ejecuta cuando ocurre una autenticación codificada, en la que las contraseñas son encriptadas antes de ser enviadas al servidor que las solicita.

El navegador Safari también es vulnerable.

 

El ataque Http Request Splitting también había sido previamente descrito para Flash.

Al momento de escribir este post, no he encontrado una respuesta que defina soluciones a esta vulnerabilidad. Encontré más bien, la historia de IE.

Más [ VSAntivirus : IE 7 y Firefox propensos a ataques en autenticación ]

Descripción Técnica [ Bugtraq: IE 7 and Firefox Browsers Digest Authentication Request Splitting ]

 

ZonaFirefox: Ganador del Concurso de Promoción de Extensiones de Mozilla

Posted by myself - 17/04/07 at 03:04:12 pm

… Bueno, me hubiese gustado mucho comenzar con ese título y todo, pero no será así. 

Mozilla ha anunciado a los ganadores del Concurso de Promoción de Extensiones de Mozilla y ZonaFirefox NO ha ganado. Es una pena, sí.

Una real pena, considerando que ZonaFirefox y FirefoXtensions fueron -y son- los mayores representantes de Firefox en el mundo hispano. Sin embargo, no me queda más que apoyarles en sus labores de educación firefoxera.

Nos han representado muy bien. Y para mí, han ganado.  

Posible Vulnerabilidad en Firefox-Opera : IFRAME - OBJECT

Posted by myself - 26/03/07 at 12:03:03 pm

Nico, de ZonaFirefox me escribe que ha encontrado un fallo de seguridad en Firefox y Opera. Una vulnerabilidad -aparentemente no descrita- o, si ha sido descrita, no resuelta para Firefox y Opera que permite el salto del filtro antiphishing mediante el uso de un script o mediante el uso de las etiquetas iframe. 

El script en cuestión es: 

function framejack(url) {var ifr = document.createElement('iframe');ifr.src= url;

document.body.scroll = 'no';document.body.appendChild(ifr);

ifr.style.position = 'absolute';ifr.style.width = ifr.style.height = '100%';ifr.style.top = ifr.style.left = ifr.style.border = 0;}

 

Analizando un poco, se trata simplemente de un script que permite insertar una página dentro de otra a 100% del ancho y largo de la ventana.

Peor aún, usando la etiqueta IFRAME se logra similar efecto: Los filtros antiphishing ni los Addons antiphishing (Phishtank Sitechecker, McAfee SiteAdvisor, Google Toolbar) detectan los sitios alterados (PRUEBA1 - PRUEBA2 - SitioMalicioso). 

Yendo más allá, me puse a investigar sobre el uso de la etiqueta OBJECT para insertar una página web usando CSS para lograr que ocupe todo el tamaño de la ventana. Opera y Firefox mostraron el sitio web malicioso sin mostrar advertencia, y las pruebas manuales de verificación resultaron igual de infructuosas.

El código que utilicé fue:

<object type="text/html" classid="http://webmail.interhk.net/B05002/index.htm" data="http://webmail.interhk.net/B05002/index.htm"></object> 

Y puede ser probado en este vínculo

Internet Explorer 7 es el único navegador aparentemente invulnerable al uso de etiquetas IFRAME y OBJECT para mostrar un sitio malicioso. En el caso de OBJECT, IE7 parece no dar soporte a la carga de una página web dentro de esta etiqueta, razón por la cual no carga la página.

Se trata de dos etiquetas básicas de HTML -yo no probé el uso de un script para demostrar que OBJECT también puede ser utilizado de esta manera- que permiten saltar los filtros antiphishing de manera más sencilla y peligrosa que lo expuesto por Zalewsky anteriormente al utilizar una imagen que hace las veces de barra de direcciones.

 

En ZonaFirefox :

Como burlar el filtro antiphishing con Javascript

Como burlar el filtro antiphishing con un simple IFRAME

 

 

Haganle caso a Nico -que él sabe de lo que habla

Posted by myself - 23/03/07 at 01:03:03 pm

Y Nico dijo: 

Hay extensiones que pueden no ser seguras. Otras que aportan más seguridad. Pero las extensiones estan construidas en base al navegador. Son hojas, ramas del tronco. Sobre la base de un buen navegador uno puede desarrollar extensiones tranquilamente.

Repito, una extensión de Firefox nos salva de que nos roben el historial. Es el único navegador que se salva de este caso.

PD: Incluso, si llega a darse el caso de que una extensión haga vulnerable al navegador, estaríamos ante el caso de que el desarrollador de dicha extensión ha encontrado una vulnerabilidad del navegador. A fin de cuentas, el navegador debe ser el que controla la seguridad, y el responsable de que las extensiones funcionen adecuadamente. Hay mucho por explorar aun y se irán descubriendo vulnerabilidades peores y con más frecuencia.

 

Y también dijo:

… el autor de la extensión NoScript para Firefox, ha anunciado recientemente una nueva versión experimental que sería capaz de brindar algún tipo de protección contra ataques XSS.

 

 Yo simplemente digo, usen sus extensiones sabiamente ;)

 

Más -discusión abierta- en:

ZonaFirefox : Cuidado, tu historial al descubierto

bolsanegra : El CSS y tus huellas en la red

ZonaFirefox : NoScript incluiría protección contra ataques XSS 

Powered by WordPress with GimpStyle Theme design by Horacio Bella.
Entries and comments feeds. Valid XHTML and CSS.

Clicky Web Analytics