martes, 19 de enero de 2010

Alemania y Francia recomiendan no utilizar Internet Explorer. "Exploits" mejorados

Alemania y Francia recomiendan no utilizar Internet Explorer

'Es una decisión sin precedentes que va un paso más allá de las recomendaciones de seguridad que puedan hacer fabricantes de software o analistas de empresas privadas. El Gobierno alemán, mediante la Oficina Federal para la Seguridad en Tecnologías de la Información (BSI), ha recomendado utilizar un navegador alternativo a los usuarios que usen Internet Explorer 6, 7 y 8 hasta que Microsoft lance una actualización que solucione sus problemas de seguridad.

En el mismo sentido se ha pronunciado la Agencia Nacional de Seguridad francesa (Certa), mientras la compañía intenta solventar un fallo que permite ejecutar un código a distancia cuando se navega con Explorer.

Microsoft ha reconocido que los recientes ataques a los servidores de 35 compañías, entre ellas Google, utilizaron un agujero de seguridad de su navegador, pero rechaza la drástica advertencia realizada por estas dos agencias gubernamentales y afirma que el riesgo para los usuarios es bajo. La compañía considera que los ataques fueron realizados por programadores expertos, "con un fin muy específico" y sin afectar a "usuarios comunes".

Aunque la siguiente actualización de seguridad del navegador de Microsoft no estaba prevista hasta febrero, la compañía ya está trabajando en un parche. Por el momento, recomienda desactivar varios comandos de su navegador, pero la Administración alemana alerta de que esas medidas no son suficientes.'

Fuente y noticia completa: Publico 19/01/2010

NOTA DEL EDITOR [20/01 corregida errata en las versiones con DEP por defecto]: Microsoft informaba que el "exploit" concreto que circula por Internet no funciona más que en IE 6 sobre Windows XP y 2000, que dicho "exploit" deja de funcionar si se activa la caracteristica "DEP" para IE (para su version 6 posible sólo en XP SP2 o SP3) y que los equipos Windows con "DEP" activado para IE estarían bastante protegidos de exploits similares (por defecto, DEP está activado en IE 8 sobre XP SP3, Vista SP1 o superior, Windows 7 y Windows Server 2008);
Microsoft recomendaba habilitar DEP en las combinaciones de Windows+IE donde es posible y no lo esté ya, sugiriendo en su aviso de seguridad como medidas adicionales, mitigadoras pero con pérdidas importantes de funcionalidad, de elevar a "High" la configuración de seguridad de IE o de desactivar Active Scripting (JavaScript) del navegador por sitios o siempre.


Operación Aurora: Francia recomienda dejar de utilizar Internet Explorer .., [en una organización] ¿es una buena idea cambiar de navegador para evitar la vulnerabilidad de Microsoft?

'Recuerde: si su departamento informático no da soporte ya de un navegador alternativo y sus usuarios no son familiares con él, puede causar más problemas con el nuevo navegador como para que no merezca la pena el cambio.

Además puede que tenga aplicaciones basada en web que no funcionen bien o incluso no funcionen bien si no es con Internet Explorer.'

' Mi consejo es abandonar Internet Explorer sólo si usted sabe realmente lo que está haciendo ..."

'Mi predicción es que Microsoft está trabajando duro para distribuir un parche para la vulnerabilidad antes de la distribución periódica usual. Resolverá el serio problema de seguridad antes de que este problema cause más daño al prestigio de Internet Explorer.'

Fuente y opinión completa: Blog de G. Cluley de Sophos 18/01/2010 Traducción nuestra


Información adicional sobre DEP y la vulnerabiliad '0day' (sin parche disponible) de Internet Explorer

'La nueva vulnerabilidad de seguridad de Internet Explorer descrita en el Aviso de Seguridad 979352 de Microsoft ha despertado mucho interés en los días pasados. El equipo de Internet Explorer está trabajando duro para preparar una actualización de segurida exhaustiva que resuelva la vulenrabilidad y el MSRC anunció que tan pronto esté disponible la actualización será distribuida.

Hemos recibido varias preguntas de clientes que desean proteger sus entornos mientras tanto, la mayor parte sobre Data Execution Prevention (DEP), una medida mitigadora ya discutida en nuestra entrada previa de blog.'

Fuente e información completa: Microsoft 18/01/2010 Traducción nuestra


El exploit 'Aurora' mejorado para superar la seguridad DEP de Internet Explorer. Microsoft prevé un parche de emergencia.

'Los peores presagios de los expertos en seguridad acerca del "exploit" de Internet Explorer utilizado para adentrarse en Google y otras compañías acaba de cumplirse: se puede modificar para que supere la mejor defensa de Internet Explorer, la característica "Data Execution Protection" (DEP).'

'VUPEN Security dice haber confirmado que DEP no protege del [su nuevo] exploit y que la única forma de evitarlo es desabilitar JavaScript'

Fuente y noticia completa: Security Dark Reading 19/01/2010
Traducción nuestra

Entradas relacionadas:

1 comentario:

Anónimo dijo...

interesante coctel de noticias informando de la situacion

hechad un vistazo a la noticia técnica de keizer de computerworld:

http://www.techworld.com.au/article/333048/researchers_up_ante_create_exploits_ie7_ie8