El proceso comenzará en Australia y Brasil

Las versiones antiguas del navegador de Microsoft, Internet Explorer, serán sustituidas automáticamente por la versión más reciente disponible para el sistema operativo instalado en el PC.

Microsoft publicó el 15 de diciembre un post en su blog de Internet Explorer, donde informa que, a partir de enero, Internet Explorer será actualizado automáticamente para los usuarios de Windows en Australia y Brasil que hayan activado la función de actualización automática de Windows Update.

En la práctica, el anuncio implica que Internet Explorer 8 sustituirá automáticamente a IE7 e IE6 en Windows XP que tengan instalado el Service Pack 3, mientras que los usuarios de Windows Vista SP2 y Windows 7 recibirán Internet Explorer 9. Windows XP no tiene soporte para IE9.

Después de Australia y Brasil, el sistema será aplicado de manera gradual a usuarios de Internet Explorer en todo el mundo.

Aparte de señalar que las versiones más recientes de IE proporcionan una mejor experiencia al usuario, Microsoft explica que el nuevo sistema es altamente relevante por razones de seguridad. En efecto, las versiones más recientes de IE incorporan funcionalidad de seguridad de la que carecen las versiones precedentes.

La razón de que Microsoft no limite el sistema a las versiones realmente antiguas de IE, sino que también en algún momento afectará a IE9, para el lanzamiento de IE10 es que, a su juicio, los usuarios sienten molestia frente a todas las notificaciones de actualizaciones. Por lo tanto, Microsoft prefiere que a partir de enero las actualizaciones sean automáticas.

Al respecto, Ryan Gavin, de Microsoft, cita un comentario del presidente de Mozilla Foundation, Mitchelle Baker, quién se refiere a la “fatiga de las actualizaciones”.

La medida adoptada por Microsoft corresponde a un deseo manifestado durante varios años por desarrolladores web. En tal sentido, cabe destacar Internet Explorer 6, que 10 años después de su lanzamiento causa tal molestia y trabajo extraordinario para los desarrolladores, que muchos sencillamente han optado por desentenderse de incluir soporte para tal versión.

En mayo de 2010, Microsoft comparó a IE6 con una caja de leche descompuesta, mientras que el director de la plataforma IE declaró que su misión era destruir a Internet Explorer 6.

Posteriormente, en marzo de 2011, lanzó una campaña denominada Internet Explorer Countdown, cuyo objetivo era eliminar definitivamente el navegador.

Las empresas que utilicen soluciones centralizadas de administración de software, como WSUS (Windows Server Update Services), y que prefieran conservar IE6, no deberán impedir activamente la actualización. Microsoft ofrece además herramientas que bloquean la actualización automática. Más información en el blog de Microsoft.

Según investigación universitaria

La mayoría de los navegadores incorpora actualmente una función que, en teoría, permite eliminar del historial la información de los sitios visitados. Según investigación, la funcionalidad de navegación privada es defectuosa en los navegadores más usados y, especialmente, en Firefox.

Según un proyecto de investigación criptográfica realizado por la Universidad de Stanford, de California, EEUU, los navegadores suelen dejar huellas de los sitios navegados, a pesar de anunciar lo contrario. Los fabricantes de Internet Explorer, Firefox, Chrome y Safari describen una función que permite navegar con privacidad en PC compartidos; como por ejemplo aquellos usados por varios integrantes de una misma familia.

Uno de los errores detectados se encuentra en IE, Firefox y Safari. Cuando los usuarios almacenan certificados SSL (Secure Socket Layer), el navegador guarda una lista de tales acciones en un archivo que permite a cualquier persona con acceso físico al PC ver qué sitios ha visitado un usuario anterior. Lo mismo ocurre con IE y Safari, que almacenan certificados personales en una caja que conserva la información incluso después que el usuario ha cerrado la sesión de navegación.

Firefox almacena además los datos con el historial de navegación que ha incluido certificados de seguridad en un archivo denominado cert8.db, escriben los autores del informe. La función de navegación privada en Firefox queda aún más reducida cuando el usuario selecciona preferencias específicas o utiliza extensiones autorizadas por Mozilla. La próxima plataforma HTML5 también causaría problemas a Firefox cuando el programa intenta ocultar información de los sitios visitados.

La función InPrivate-surf de Internet Explorer también presenta problemas cuando un sitio recurre al protocolo SMB o Server Message Block, debido a que el navegador comparte código con Windows Explorer, controlado a su vez desde el sistema operativo.

Los investigadores de la Universidad de Stanford constataron además que los administradores pueden determinar si el usuario ha visitado sitios mediante la función de navegación privada.

En su presentación de informe, los investigadores escriben “Hemos estudiado la seguridad y privacidad de los modos de navegación privada incorporada en los principales navegadores. Inicialmente proponemos una clara definición de los objetivos de la navegación privada y estudiamos su implantación en los diferentes navegadores. Debido a que no hay datos disponibles sobre el uso de la navegación privada, hemos realizado un experimento para determinar la frecuencia con que esta función es usada y para qué categoría de sitios. Nuestros resultados sugieren que la navegación privada es usada de manera distinta a la forma en que es presentada por los fabricantes. Luego describimos una técnica automatizada para probar la seguridad de los modos de navegación privada, junto con presentar carencias encontradas en el navegador Firefox. Finalmente, demostramos que muchas extensiones populares de navegadores socavan la seguridad de la navegación privada. Proponemos, y experimentamos, con una política viable que permite a los usuarios ejecutar extensiones con seguridad en el modo de navegación privada”.

El informe completo está disponible en ésta página (enlace a documento PDF).

Los administradores de sistemas y usuarios experimentados de PC saben que no es aconsejable tener activados todos los derechos de administrador en las cuentas para usuarios. Aún así, muchos descuidan este importante factor de seguridad informática.

Los usuarios que consideran una molestia tener que cambiar de cuenta de acceso a Windows al realizar cambios en la configuración del sistema operativo o al instalar programas y actualizaciones, deberían tener presentes los riesgos a los que está expuesto el PC al tener siempre activa la cuenta de administrador.

En efecto, el 90% de todas las vulnerabilidades conocidas de Windows 7 pueden ser evitadas fácilmente. Todo lo que se requiere es conectarse a Windows con una cuenta de usuario corriente.

La información ha sido presentada por la empresa BeyondTrust en un informe de 38 páginas.

Según BeyondTrust, todos los agujeros de seguridad de Office e Internet Explorer 8 detectados en 2009 eran inofensivos para los usuarios con acceso corriente. Al considerarse las versiones anteriores de IE, el grado de protección alcanzaba el 94%.

Al no contarse con derechos de administrador era posible evitar el 64% de las vulnerabilidades en todos los productos de Microsoft, detectadas durante 2009.

En la elaboración de su informe, BeyondTrust analizó más de 75 informes de seguridad publicados por Microsoft, donde se cubrían más de 200 vulnerabilidades.

Fuente: BeyondTrust

Vulnerabilidad en VBScript hace que sea potencialmente peligroso usar el archivo de ayuda en todas las versiones de Internet Explorer.

El agujero de seguridad puede ser explotado al usar Internet Explorer 6, 7 u 8 en Windows XP, 2000 o 2003, y tendría su origen en un error del archivo de ayuda que es invocado al presionar la tecla F1.

En un boletín de seguridad, Microsoft recomienda no hacer clic en F1 si un sitio web así lo requiere ya que al tratarse de un sitio maligno se estaría activando la vulnerabilidad del caso.

La vulnerabilidad tiene un nivel de gravedad intermedio, debido a que su activación hace imprescindible una acción concreta de parte del usuario; es decir, presionar F1.

Por ahora Microsoft no ofrece una actualización que solucione el problema, por lo que podría ser incluida en la actualización mensual del 9 de marzo.

El martes 9 de febrero, Microsoft publicará una actualización que soluciona un total de 26 vulnerabilidades en Windows y Office.

Una vez más, llega el día del parche mensual de Microsoft, que en ésta oportunidad corrige 26 agujeros de seguridad. La información es publicada por la empresa en su blog oficial. La actualización se distribuye en 13 boletines, de los cuales 11 se refieren a Windows, y los dos siguientes al paquete Office. Cinco de ellos tienen rango crítico, siete importantes, y un moderado. Tres de las vulnerabilidades críticas también están presentes en el nuevo sistema operativo Windows 7.

Las nuevas vulnerabilidades de Office sólo están presentes en versiones anteriores del paquete ofimático y presupone que el usuario realice un acto concreto; por ejemplo, abrir un documento que haya sido manipulado.

Con todo, Microsoft no ha publicado un parche para un agujeros de seguridad del protocolo Server Message Block, descubierto en diciembre pasado, además de una vulnerabilidad recientemente detectada en Internet Explorer.

El 20 de enero, Microsoft publicó una actualización extraordinaria de Internet Explorer, que solucionaba una peligrosa vulnerabilidad posiblemente usada durante el ciber-ataque chino contra Google. Microsoft optó por publicar el parche de manera extraordinaria, es decir antes de la actualización mensual realizada el segundo martes de cada mes.

La oficina federal alemana para seguridad informática, BSI, recomienda a los usuarios de Internet Explorer 6, 7 y 8, usar otro navegador hasta que Microsoft haya solucionado un problema de seguridad que afecta a tales versiones del programa. La vulnerabilidad en cuestión habría sido aprovechada por hackers chinos para obtener, entre otras cosas, acceso a cuentas de Gmail. El ataque en cuestión ha sido denominado “Operación Aurora”.

En un comunicado, BSI indica que aunque al usar el navegador en “modo protegido”, desactivando a la vez el soporte para la ejecución de scripts en Internet Explorer, se estará dificultando las posibilidades de aprovechar la vulnerabilidad, pero no eliminándola de todo.

“Hasta ahora no se ha producido ataques contra consumidores ni usuarios particulares”, declaró Thomas Baumgartner, portavoz de Microsoft Alemania, a la publicación Telegraph.co.uk.

Baumgartner agregó que los ataques contra Google y una treintena de otras empresas fue realizado por individuos altamente motivados, con una agenda totalmente definida. “Por lo tanto, al no tratarse de una amenaza contra usuarios particulares, estamos en desacuerdo con la recomendación de BSI”, agregó.

George Kurtz, de la compañía de seguridad informática McAfee, escribe en su blog que el código usado por el ataque chino ha sido publicado al menos en un sitio, aparte de varias listas de correo. A juicio de Kurtz, esta situación hace posible para terceros utilizar el código maligno para sus propios fines.