Qué hacer ante la nueva vulnerabilidad en Internet Explorer 7 Diciembre 16, 2008
Posted by proteo2000 in nivel básico, textos.Tags: cómos, chrome, firefox, internet explorer, navegadores, noticias, opera, seguridad, sitios web, software, soporte técnico, windows
add a comment
Sí, otra.
Microsoft reportó desde el 10 de Diciembre pasado a través del Security Advisory 961051 que se había detectado de una falla en el navegador IE7:
The vulnerability exists as an invalid pointer reference in the data binding function of Internet Explorer. When data binding is enabled (which is the default state), it is possible under certain conditions for an object to be released without updating the array length, leaving the potential to access the deleted object’s memory space. This can cause Internet Explorer to exit unexpectedly, in a state that is exploitable.
O sea:
La vulnerabilidad existe como una referencia de apuntador inválida en la función de sincronización de datos de Internet Explorer. Cuando se activa la sincronización de datos (lo que ocurre por defecto), bajo ciertas circunstancias es posible sea liberado sin actualizar la longitud del arreglo, dando lugar al potencial de accesar al espacio de memoria de objetos borrados. Esto puede causar que Internet Explorer termine inesperadamente, en un estado que es explotable.
Y de hecho el error ya ha comenzado a ser explotado según se comenta en los sitios de Microsoft Malware Protection Center, la BBC y en The Microsoft Security Response Center (MSRC). Sólo hay que visitar un sitio infectado con código malicioso para que un atacante remoto pueda conectarse a nuestro equipo con los mismos privilegios de un usuario local..
¿Qué hacer ante esta nueva vulnerabilidad de IE7?
Según Microsoft:
- Establecer la configuración de Seguridad en Zona de Internet como Alta.
- Utilizar listas de control de acceso (ACLs) para deshabilitar el archivo Ole32db.dll.
- Esperar la llegada del parche que solucione la vulnerabilidad.
- Si usted es el administrador de un sitio web, consulte el Microsoft Security Advisory (954462) para saber cómo verificar que su sitio esté libre de código SQL injection.
Según yo:
- Utilice un navegador alternativo. Escoja uno: Opera, Mozilla Firefox, Google Chrome, Apple Safari… Todos corren en Windows.
- ¿Ninguno de los anteriores? ¿Internet Explorer 8? No, IE8 también presenta esa vulnerabilidad, según comentan en SomosLibres.org.
Actualización del 17 de Diciembre de 2008: Ya existe un parche, descrito por Microsoft en el Boletín de seguridad MS08-078. Sin embargo el único canal actual para obtener este parche es a través de Windows Update.
La tecnología de Google Chrome… ¿en un comic? Septiembre 3, 2008
Posted by proteo2000 in enlaces, nivel medio.Tags: chrome, google, navegadores, software
add a comment
Sí. Toda la idea conceptual del diseño de Google Chrome puede ser consultada en inglés desde el sitio oficial de este navegador. Tal vez para el usuario común esta información no sea relevante, pero para quienes estamos en el negocio de la informática resulta muy interesante, especialmente si sabemos leer en inglés.
Página 1 del comic que explica el diseño conceptual de Google Chrome
