mar 12 2010

Un ejemplo de cómo Apple quiere maquillar vulnerabilidades en su software (Safari 4.0.5)

Hola amigos, acabo de terminar de grabar con Oscar y Gorka la sección “Manzanas Traigo”, dedicada al mundo Apple en el Podcast (el Sábado grabo con Forat “Kernel Panic”, sobre GNU/Linux) y justo después, me ha llegado un aviso de nueva versión de Safari desde la lista de correo “Apple Security”.

Hasta ahí todo normal, me digo; “nada, lo publico en Daboweb ahora”, pero…mi sorpresa ha llegado cuando leyendo mis fuentes RSS, en algún lugar dedicado a noticias sobre el mundo de la manzana, leo que Apple sobre este update dice;

Se recomienda instalar esta actualización a todos los usuarios de Safari, ya que incluye mejoras del funcionamiento, la estabilidad y la seguridad de la aplicación como las siguientes:

Se ha mejorado el funcionamiento de Top Sites.
Se ha mejorado la estabilidad de los módulos de otros fabricantes.
Se ha mejorado la estabilidad de los sitios web con formularios en línea y gráficos SVG (Scalable Vector Graphics).
Se ha corregido un problema que impedía a Safari modificar la configuración de algunos routers Linksys.
Se ha solucionado un problema que impedía a algunos usuarios de iWork.com añadir comentarios a documentos.
Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y claro, luego para colmo, en un blog muy visitado sobre Apple (contra el que no tengo nada vaya por delante), leo que corrige varios bugs pero “muy repetitivos” y es en ese momento cuando me voy al enlace de arriba, donde Apple dice;

Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y no hay nada !!! sobre lo que se ha corregido en esta versión hablando de seguridad. Claro, al final quizás lo acaban metiendo en esa “pseudo-sección” dedicada a las actualizaciones de seguridad de Apple, pero en lugar de desinformar, lo que deberían hacer es indicar claramente cuales son las vulnerabilidades corregidas.

No pido que tengan la transparencia que se lleva a cabo y que compruebo cada día en el mundo de GNU/Linux y el software libre en general, o que puedo leer a diario por ejemplo en las listas de correo de seguridad de Debian, no la pido porque es incompatible con su forma de actuar y de llevar el negocio como tengan a bien.

Pero una compañía que se jacta de ser todo lo contrario a Microsoft, desde luego que al final hablando de seguridad lo es, ya que por lo menos, un usuario de Windows puede saber exactamente sin estar suscrito a ninguna lista de correo de seguridad, que parches y “por qué” se actualiza el software que tiene instalado, sin ser Microsoft históricamente una compañía ejemplar informando sobre la seguridad de sus productos.

Esta forma de actuar frente a la seguridad (por oscuridad u omisión que igual ahí me excedo), me parece totalmente irresponsable ya que el usuario de Windows o Mac OS X que use Safari, debe saber que si no se realiza esa actualización, quedará expuesto a vulnerabilidades que van desde errores de corrupción de memoria, un cierre inesperado de la aplicación o, lo que es más importante, desbordamientos del búfer o la ejecución de código arbitrario en el sistema afectado, desde viendo imágenes manipuladas especialmente con un determinado perfil de color incrustado (también Tiffs o BMP manipulados, hablando de Windows), pasando por el salto de restricciones en la opción de aceptar cookies o no leyendo fuentes RSS, o múltiples bugs en su potente motor “Webkit” visitando sitios webs manipulados para lograr la ejecución de código arbitrario mientras se procesan ciertos ficheros HMTL o XML, etc, etc.

La lista completa de bugs corregidos para que podáis ver a  lo que me refiero (que ahí si que se dice con claridad) está en la entrada que he publicado en Daboweb sobre el lanzamiento de Safari 4.0.5.

¿Es inseguro o un mal producto Safari? si no se actualiza si, un mal producto desde luego que no si nos referimos a esta actualización. Yo navego con Iceweasel, (Firefox según la política de licencias y filosofía de Debian) y estos bugs son habituales en cualquier navegador o software, se parchean y fn del problema, (que a veces también en Firefox se han heredado bugs y “torpedos” de meses atrás, ojo) lo que no es tan habitual, es que prevalezcan a la hora de informar al usuario las mejoras en “Top Sites” o que no puedas hacer comentarios a documentos en iWork.com…

Este tipo de actuaciones y detalles tan “sutiles” para vender una imagen que no se ajusta a la realidad, hacen que para mi, Apple hablando de software, (sobre su hard, uso Debian en un MacBook y después de 3 años el resultado es de 10) tenga muy poca credibilidad y más bien parezca que quieren seguir vendiéndole al usuario tipo de Mac OS X (que de tonto no tiene un pelo), esa moto de “Hala, sé feliz produciendo que nosotros nos preocupamos de todo”.

Y luego vienen los disgustos porque claro, cuando no dices claramente “Actualiza que puede ser que dejes de producir tan felizmente”, el usuario medio puede pensar “No tengo un router linksys que configurar, tampoco uso iWork.com así que ¿para qué actualizar?”.

Es sólo mi opinión, no soy quien para dar ejemplos de ética o actuaciones impecables, Mac OS X es un buen sistema operativo, pero es difícil abstraerse del tufillo a realidad maquillada que Steve Jobs imprime a muchas aspectos del funcionamiento de la compañía.

Tags: , , , , , , , ,


jul 15 2009

YouTube insta a usuarios de Internet Explorer 6 a cambiar de navegador -;)

firefox-ieAlgo está cambiando, si, está claro, no es el día de los inocentes en EEUU, no, es real. Si el otro día me quedé un poco mosca como os conté aquí con lo del Google Chrome OS, hoy me destapo ante Google-YouTube.

Está bien meterle un poco de presión a Microsoft y darle en su línea de flotación con nuestro “querido Explorer” como protagonista. Además, en un escenario tan visitado como YouTube. Un mensajito insta al usuario a usar “otro navegador más avanzado” como Firefox, Safari, Opera o Chrome, juar !.

Os confieso que yo, que no soy nadie en esto de Internet, al igual que muchos de los que os pasáis por aquí, ya lo hacemos hace años pero que empiecen sitios web como YouTube o Digg que también se apuntó a dejar de recomendar IE es todo un paso.

Internet se acaba amigos, en el fondo echo de menos esa “E” del Explorer, tan azul, tan bonita

Visto en Slashdot | Fuente TechCrunch | Traducción con Google (más o menos se entiende-;).

Tags: , , , , , , , ,


jun 09 2009

Un repaso a todo lo nuevo de Apple (Safari 4.0, iPhone 3GS, MacBook Pro y Snow Leopard)

Apple_Keynote_JunioAcabo de escribir una entrada en Daboweb sobre todas las novedades que se han presentado en la Keynote de hoy y la verdad es que si en calidad son equiparables a la cantidad que se anuncian, podéis estar contentos los más fieles a la manzana.

En el post doy un repaso a Safari 4, ya como versión final para Mac OS X y Windows, también a las novedades que trae consigo el nuevo iPhone 3GS, algunas compartidas por la versión 3.0 del software que saldrá dentro de unos días para los anteriores iPhone, hablo de los nuevos MacBook (pro) por fin ! con Firewire (bajada de pantalones lógica por otro lado) y para acabar, de la revisión de su sistema operativo que verá la luz en Septiembre, “Snow Leopard”.

No suelo duplicar contenido en ambos lados, pero ayer fue el día de Apple y los ecos de lo anunciado dan que hablar -;).

Acceso a;Repaso, novedades Keynote de Apple Junio 2009en Daboweb.

Tags: , , , , , ,


abr 22 2009

Firefox arrasa en DaboBlog (54 %) IE (17 %). Windows 51 %, GNU/Linux 31%, Mac OS X 2,4 %

firefox3Añado; Desactivado StatCounter, no validaba el código.

Hacía mucho tiempo que no os ofrecía estadísticas de navegadors y sistemas operativos como solía hacer y dando un vistazo a StatCounter me he dicho “a recuperar la costumbre”.

Además de eso, es interesante ver el grado de actualización de los usuarios de las versiones de sus navegadores, estos datos son de hace dos días, por lo que no aparece el recién salido del horno Firefox 3.0.9 (conviene actualizar lo antes posible por cierto).

Antes de nada aclaro que con la historia del “log” de StatCounter limitado a 500 apuntes, esto no es más que un “experimento sin mucho fundamento” de los míos y lo digo por el apartado Sistemas Operativos, Mac OS X debería tener una cuota más amplia porque sé que mucha gente que entra usa Mac, pero sobre todo porque en Navegadores casi un 8% usa Safari contra un 2,40 de Mac OS X ¿?, hombre se puede pensar que el 5% que falta lo usa en Windows pero…no lo creo sinceramente.

De todos modos se ve que muchos usuarios de Windows navegan sin Internet Explorer (cosa que ya sabíamos) y se ve a Chrome ya con un 3% así como el “inexplicable” bajón en picado de Opera, un gran navegador.

Por eso lo de “sin mucho (que algo tiene) fundamento”.

Leer el resto de;”Firefox arrasa en DaboBlog (54 %) IE (17 %). Windows 51 %, GNU/Linux 31%, Mac OS X 2,4 %”

Tags: , , , , , , , , , ,


mar 27 2009

Internet “No Explorer” 8. Microsoft y su visión de los estándares web

Category: Imperdonable,Mi Opinión,Windowsdabo @ 3:21 am

no_explorer.gifEstos tíos son muy malos, mira que lo tienen a huevo con esa hegemonía en el mercado de los navegadores web al venir Internet Explorer instalado desde los tiempos en el 90 % de los hogares y empresas y como siempre la cagan.

En lugar de tomar una postura más cabal o políticamente correcta o de acorde con los tiempos que corren en La Red, sacan una nueva versión de su navegador anunciada a bombo y platillo que merecería seguir como “Beta” (versión en pruebas, no final).

Acabo de publicar en Daboweb lo que a mi modo de ver es lo más reseñable en cuanto a los aportes para la seguridad del usuario y sistema en IE8 y me ha sido imposible abstraerme del tema de como se pasan los “estándares web por el forro de las webs”

Como muestra, el resultado del Acid3 Test que engloba 100 test para probar el comportamiento de un navegador web frente a las recomendaciones y directivas que dicta el W3C. Un test que, sin ser algo oficial del W3C, se da por bueno e insta a los desarrolladores a afinar más las nuevas versiones del navegador que representan o con el que colaboran.

Acid3 Test;

100/100 Chrome 2.0.169.1 Beta
100/100 Epiphany 2.24 (Webkit)
100/100 Midori (Webkit)
100/100 Opera 10 Alpha
100/100 Safari 4 Beta (Webkit)
93/100   Firefox 3.1 Beta 2 (Gracias JM-;)
85/100  Konqueror 4.2
85/100  Opera 9.64
79/100  Google Chrome 1.0.154.48
75/100  Safari 3.1
71/100  Epiphany 2.24 (Gecko)
71/100  Firefox 3.0.7
71/100  Songbird 1.1.1
71/100  Flock 2.0.3
53/100  K-Meleon 1.5.2
20/100  Internet Explorer 8.0.6001.18372
12/100  Internet Explorer 7

interrogacionAhí podéis ver a Internet Explorer 8 en el lugar que realmente merece, luego se quejan de que cualquiera que programe para la web eche pestes contra Microsoft por lo complejo que resulta que muchas páginas que cumplen al dedillo con las recomendaciones de W3C (por mi parte en Daboblog procuro que mi código valide el test de W3C) se visualicen correctamente en muchas de las versiones de este navegador.

Pero claro, luego uno lee noticias como esta de ZDNet en la que se advierte que Internet Explorer 8 tiene problemas de renderización y compatibilidad con 2.400 sitios webs entre los que se encuentran el propio de Microsoft ¿?, pasando por Wikipedia, YouTube, Facebook, eBay, etc, etc y llega a la conclusión de que si ellos pasan de nosotros, tendríamos que hacer lo mismo y si una de nuestras webs no se ve bien con IE, poner una advertencia del tipo; “Si estás con Internet Explorer y no ves bien esta web, es por fallos de ese navegador”.

Me cuesta creer que Internet Explorer tenga una cuota tan alta de mercado y que por ejemplo Opera que inventó la navegación por pestañas, tiene un cliente Bit Torrent, de correo, IRC, RSS y FTP integrado, un buen gestor de descargas, vista en miniaturas de las páginas, guarda las sesiones del navegador, bloqueo de popups, respeta los estándares, etc, etc, tenga sólo un 0,7 % del pastel

Fijaros que esta vez no aludo a Firefox (Iceweasel en Debian GNU/Linux) por no resultar repetitivo y porque es cierto que Opera es el gran olvidado a veces por todos, (me incluyo) pero lo de Microsoft es de juzgado de guardia, un año en Beta y si, como he dicho en mi post de Daboweb, es más seguro que otras versiones anteriores y el esfuerzo hecho está ahí pero para mi, dista mucho de ser un navegador recomendable.

En mis webs la verdad es que a a pesar de los cabreosl y pensando en el usuario final, siempre acabo pegándome con el “no se ve bien en Explorer”, pero desde un tiempo a esta parte cada vez me preocupa menos, otro tema podría ser que me encarguen algo en busca de la máxima compatibilidad posible pero teníamos que hacer lo que digo arriba, pasar de ellos como ellos pasan de nosotros. Tenían una oportunidad muy buena para enmendar viejos males y han hecho como siempre, pensar que están por encima del bien y del mal y sacar un navegador a la luz que no cumple correctamente su función principal, navegar…

Creo que tendré en breve que sacar la versión 2 de esta “oda” a Internet “No Explorer”.

Tags: , , , , , , ,


feb 16 2009

Publicado en Daboweb. (Semana 06/2009)

Category: Sin archivardabo @ 12:13 am

Recopilatorio de entradas publicadas en Daboweb esta pasada semana. Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas.

Vulnerabilidades en navegador web Apple Safari. Nueva versión 3.2.2 para Windows Vista y XP
Apple security Update 2009-001 (Mac OS X 10.5.6 y Mac OS X 10.4.11) y Java Update
Vulnerabilidad crítica en BlackBerry Aplication Web Loader.
Actualizaciones de Microsoft Febrero 2009
WordPress 2.7.1, actualización disponible

Tags: , , , , , , ,


sep 28 2008

Clickjacking o como perder el control de los vínculos visitados en vuestro navegador

Category: Firefox | Iceweasel,Seguridad Informaticadabo @ 1:11 pm

Alguna vez os he hablado en el blog de Links o Lynx, navegadores en modo texto nada amigables en lo gráfico pero a la postre los más seguros viendo lo que se ve en la escena de los ataques a las sesiones del navegador.

Hoy se está hablando del Clickjacking o la pérdida de los vínculos que se visitan a traves del navegador que pueden ser “secuestrados” a través de un website malicioso manipulado para ese fin y por lo que he leido no es ninguna broma.

El asunto como os comento no puede ser tomado a la ligera ya que este grave bug no se explota por vulnerabilidades en Javascript que pueden ser bloqueadas por el uso de NoScript y que en este caso también las solventa este fallo afecta a navegadores como Firefox, Explorer, Adobe Flash, Safari, Opera, etc y los únicos que se libran son los que funcionan en modo texto.

Robert Hansen y Jeremiah Grossman han dado la voz de alarma y están avisando discrétamente a los fabricantes afectados para que implementen los parches adecuados en el software y Giorgio, el creador de NoScript, una vez habiendo visto como se explota esta vulnerabilidad, (viene a calificarla como devastadora) deja una opinión en su blog nada tranquilizadora…

Falta información del bug porque como digo se está filtrando a quienes deben tenerla, pero quiero pensar que los responsables de arreglar el entuerto están manos a la obra para parchear sus navegadores a la mayor brevedad posible, cosa que no será fácil porque el problema reside en niveles o capas más bajas del software y creo que tendrán que reescribir mucho código hasta solventarlo.

Está claro que ganan puntos los sitios de confianza, pero hasta quienes tienen/tenemos cuidado de no navegar por ciertos lugares, podemos en un momento dado ser vícitimas de un ataque de este tipo y sin querer entrar en la paranoia, os comento que cada vez (y no es por esto) navego más en modo texto con Links.

Visto en SeguInfo

(Gracias por el aviso Dest)

Tags: , , , , , , , , , , , ,


abr 17 2008

Mozilla Firefox 2.0.14 y Safari 3.1.1, descarga disponible

Hoy va la cosa de navegadores, se han publicado sendas actualizaciones de estos navegadores a los que Microsoft les tiene tanto cariño -;).

Firefox 2.0.14 para GNU/Linux, Windows y Mac OS X viene a solventar una vulnerabilidad considerada como crítica provocada por Javascript y es más que aconsejable su inmediata actualización.

Sigo recomendando el uso de la extensión para Firefox “noscript” en previsión de futuros bugs…

He estado revisando la lista de paquetes para Debian de Iceweasel que como sabéis está basado en Firefox y todavía seguimos con la 2.0.13 aunque uso noscript y voy arreglándome, de todos modos en breve estará.

Safari 3.1.1 está disponible para Windows y Mac OS X e informan que mejora la compatibilidad del navegador con el sistema además de recibir los últimos parches para bugs conocidos (otros no tanto-;) hasta la fecha.

Technorati Tags: , , , , , , , , ,

Tags: , , , ,


feb 27 2007

Safari puede reducir la velocidad del sistema un 76% frente a Firefox

firefox.gifMuchas veces nos hemos quejado de la gran cantidad de recursos que consume Firefox en nuestro sistema, pues bien, parece que Safari no le va a la zaga.

Por cierto, aclaro que en mi caso y partir de la versión 2, cuando navego en OS X, Firefox se comporta mucho mejor y cada vez es menos “glotón”.

Acabo de leerlo en Planeta Mac;

En Macenstein han descubierto por casualidad, que (pull) Safari consume más recursos (/pull) que Firefox, lo que puede afectar a la velocidad de distintas aplicaciones.

En la web hicieron pruebas con After Effects y Photoshop, encontrando que el hecho de que estuviese abierto uno u otro navegador afectaba de forma considerable al rendimiento del programa.

Fuente y más información.

Tags: , ,