Miles de usuarios de Skype se han volcado hoy a las redes sociales para reportar inconvenientes para conectarse y establecer comunicaciones en muchas partes del mundo, tanto para chat de texto como para el de video y tanto para computadores con Windows y con Mac OS X (no así para dispositivos móviles con las aplicaciones para iPhone y Android). No obstante, por acá (en Chile o en Betazeta, al menos) todo parece funcionar con normalidad.

Skype salió al paso del problema y hace un rato comunicó que están investigando lo ocurrido. Y poco después publicó los pasos a seguir para que los usuarios de Windows 7, XP y Mac OS X puedan revertir manualmente el problema. También se encuentran trabajando en una solución más sencilla.

¿Alguno de ustedes sufrió o sigue con problemas para utilizarlo?

Link: Skype goes down globally, investigation underway (Engadget)

Mozilla anunció el lanzamiento de “Aurora”, un nuevo canal de lanzamiento de versiones experimentales de Firefox, que apunta a probar nuevas características en una audiencia más amplia que las que se realizan en las versiones más precarias o “nightly builds”.

Las versiones Aurora serán un poco más estables que las “nocturnas”, pero no serán tan estables como los pre-lanzamientos oficiales. El estreno de este nuevo canal viene con una versión de Firefox 5, que Mozilla pretende lanzar oficialmente en apenas un par de meses.

Mozilla está cambiando su sistema de actualización del navegador, y el plan incluye llegar a Firefox 7 dentro de este año. Significa un cambio radical para la organización, que se ha caracterizado por sus larguísimos periodos de beta, donde beta-testers voluntarios prueban y reportan problemas que son resueltos para la versión final, que resulta muy robusta.

Cambiarse a un ciclo rápido requiere mucha disciplina y algunos cambios en la forma en que se hacen las pruebas antes del lanzamiento final. El canal Aurora pretende aumentar las pruebas durante el desarrollo, lo que es parte del plan de Mozilla para mantener los estándares de calidad que tradicionalmente ha tenido Firefox, y no perder esa fama con el cambio de modelo.

Mozilla ya tiene un canal de construcciones nocturnas, bautizado “Minefield” (Campo minado), donde algunos contribuyentes y otros interesados prueban e informan sobre problemas a la compañía. Sin embargo, estas versiones son normalmente demasiado inestables como para usarlas constantemente. Aurora entregará una alternativa un poco más robusta que apunta a los entusiastas del software que quieran colaborar encontrando bugs.

Aurora se actualizará cada seis semanas. Los interesados en probar la versión preliminar de Firefox 5, pueden descargarlo aquí.

Links:
- New Channels for Firefox rapid releases (Mozilla Blog)
- Firefox Future Releases (Firefox)

La barra de herramientas en cuestión fue desarrollada por Skype y viene incluida en el software de VoIP. La función principal de la extensión es reconocer cosas que parezcan números de teléfono en un sitio web y convertirlos en links a Skype para que se pueda llamar directamente.

En noviembre, un ingeniero de Mozilla se percató de una media docena de reportes que indicaban problemas causados por esta barra de herramientas, por lo que se decidió mirar más de cerca la situación.

Algunos de los problemas descubiertos por la organización son bastante serios, incluyendo el hecho de que la herramienta hacía que la renderización de sitios web en el navegador fuera drásticamente más lenta.

Aunque se le advirtió a Skype sobre la situación, Mozilla tuvo grandes problemas para contactarse directamente con la parte de Skype encargada de la barra de herramientas. Después de dos semanas de intentar comprometer a alguien del servicio de VoIP de solucionar el problema, la organización optó por bloquearlo.

“Dado el volumen de caídas, el impacto en el desempeño del navegador, el hecho de que los usuarios no eligen instalar este add-on y la falta de respuesta del equipo durante las semanas que les dimos para resolver el problema, continuaremos tal como lo planeamos bloqueando todas las versiones de Skype en todas las versiones de Firefox inmediatamente”, afirmó Mozilla.

La organización indicó que se reintegrará la barra si es que se presenta una nueva versión que solucione estos problemas.

Link: Blocking the Skype toolbar in Firefox (Mozilla vía Ars Technica)

El Top 12 de Aplicaciones Vulnerables en 2010 sirve como una advertencia de riesgos en esas empresas donde descargan software no autorizado y reafirma la importancia de mantenerse al día con las actualizaciones.

El informe presenta a las compañías de tecnología y sus aplicaciones más populares entre las empresas y los consumidores, y contradice la percepción de que el software de Apple es el más seguro.

La lista se ordena según el número de denuncias de alto riesgo por vulnerabilidades que afectaron a los usuarios finales durante el año 2010, quedando de la siguiente manera:

1. Google Chrome (76 vulnerabilidades reportadas)
2. Apple Safari (60)
3. Microsoft Office (57)
4. Adobe Reader y Acrobat (54)
5. Mozilla Firefox (51)
6. Sun Java Development Kit (36)
7. Adobe Shockwave Player (35)
8. Microsoft Internet Explorer (32)
9. RealPlayer de RealNetworks (14)
10. WebKit de Apple (9)
11. Adobe Flash Player (8)
12. QuickTime de Apple (6) y Opera (6)

Google Chrome es un navegador relativamente nuevo y esto puede ser motivo para que los investigadores de seguridad pongan mucha atención en el descubrimiento de nuevas vulnerabilidades. El año pasado, cuando el informe había sido elaborada con criterios ligeramente diferentes (que excluían a Apple), Mozilla Firefox encabezo la lista de vulnerabilidades.

Actualización:

Bit9, creadora del estudio, salió a aclarar en un post de su blog que la cantidad de vulnerabilidades que tiene un software no necesariamente es indicador de la calidad del mismo. “Compañías como Google y Mozilla tienen programas de incentivo donde la gente reporta nuevas vulnerabilidades y pueden recibir un pago. Estos programas pueden llevar a que se reporten más vulnerabilidades, lo que también tiene como consecuencia productos más seguros”, dice la compañía.

“Las formas de reportar errores también varían – algunas empresas informan todas las vulnerabilidades que encontraron internamente, mientras otras no. De este modo, los productos que están al principio de la lista podrían ser de hecho más seguros o presentar menos riesgos – si es que mantienes tus aplicaciones actualizadas“.

Link: Google Chrome tops ‘Dirty Dozen’ vulnerable apps list (ComputerWorld)

Hace tres meses Mozilla anunció que daría 3 mil dólares a quién encontrara fallas en Firefox. Pues Alex Miller, un chico de 12 años residente en San José (Estados Unidos) decidió dedicar un poco de su tiempo a encontrar alguna falla en el navegador y logró hacerse con el cheque.

¿Cómo lo hizo? Pues para completar su misión, Alex dedicó 90 minutos diarios a analizar las vulnerabilidades del navegador de Mozilla. Al cabo de un par de días ya había dado con un error, pero no era lo suficientemente importante como para ganar la recompensa.

Lejos de desilusionarse, Alex continuó en su empeño y a los diez días encontró una falla importante en Firefox (error del desbordamiento del búfer en “document.write”), la reportó y el equipo de la Fundación Mozilla la calificó como “crítica”, por lo que le envió un cheque de 3 mil dólares como recompensa.

Bien merecido tiene su premio, pues alertó de una falla que muchos no habían sido capaces de detectar. Y es que Alex es un niño prodigio: autodidacta, con gran facilidad para comprender libros técnicos, muy hábil en la construcción de robots y está aprendiendo Mandarín, según contó su madre a la prensa.

Sobre el destino del dinero se supo que una parte será destinada a comprar un nuevo computador para Alex, otro tanto será donado a una institución benéfica de protección animal y el resto lo ahorrarán en una cuenta para proyectos futuros del chico, como bien podría ser algún pago de sus estudios… Por lo visto, Alex y su madre también son muy buenos en administración, porque tampoco es que 3 mil dólares rindan para mucho.

Particularmente le doy las gracias a Alex por haber dedicado parte de su tiempo a detectar esta falla, que al ser corregida hará de Firefox un navegador más seguro para sus usuarios. Y además de felicitarlo por su esfuerzo, espero que haber alcanzado esta meta le sirva de incentivo para continuar sus progresos y desarrollar una carrera brillante, propia del niño genio que es. (Se lo escribo acá porque al ser un niño tan inteligente seguro también lee español y es fan de FayerWayer).

Link: Mozilla pays 12-year-old $3,000 for finding critical Firefox bug (Geek)

Pero al parecer, algunas personas no lo hacen todo por dinero. Johnathan Nightingale, director de desarrollo de Firefox, dijo en una entrevista reciente que entre el 10% y 15% de los bugs reportados son entregados sin cobrar la recompensa:

Mucha gente nos dice “no se preocupen. Den el dinero a la EFF (Electronic Frontier Foundation) o mándenme una polera”.

Según Nightingale, el programa ha sido todo un éxito para ellos. Por eso decidieron subir la recompensa, lo que ha hecho que otras compañías (como Google) creen programas similares.

Link: More than one in 10 Mozilla bug finders turn down cash (MacWorld)

“Valoramos el ecosistema de los investigadores y lo demostramos de diversas maneras, pero no creemos que el pago de vulnerabilidades sea lo mejor. Especialmente cuando dentro de la comunidad de investigadores las motivaciones no siempre son financieras. Es de conocimiento general que reconocemos las contribuciones de los investigadores – cuando se puntualizan los detalles de la vulnerabilidad – en nuestros boletines, con el lanzamiento de una actualización de seguridad (…)

No ofrecemos una recompensa monetaria por los errores, lo que hacemos es reconocer y honrar el talento. Muchas personas influyentes dentro de la comunidad de investigadores se unieron a nuestros equipos de seguridad como empleados de Microsoft. También entramos en  contacto directo con muchos vendedores  y en algunas ocasiones individualmente con los investigadores para probar nuestros productos contra vulnerabilidades antes de que sean liberados. Muchos de estos vendedores e individuos llaman nuestra atención debido a la forma única y de alta calidad con la que abordan y demuestran las vulnerabilidades que reportan al Microsoft Security Response Center (MSRC)”,  dijo  Jerry Bryant, Administrador del Programa para Seguridad de Microsoft.

Interesante punto de vista (casi suelto las lagrimas), pero lo cierto es que si pagaran por el número de vulnerabilidades en IE o Windows Vista, esto se volvería un negocio rentable para los cazadores de bugs debido a la gran cantidad registrada. El mismo caso se aplica para Adobe Reader quien acaba de anunciar que incorporará un “Modo protegido” para reducir los ataques que le dieron la corona del Software más inseguro en el 2009 (según Forbes), corona que este año porta con orgullo Apple con iTunes, Safari y QuickTime.

Link: Microsoft Says No to Paying Bug Bounties (Threatpost)

Su investigación y entorno de seguridad ha cambiado enormemente desde entonces, por eso se atreven a actualizar su programa de recompensas a 3 mil dólares y una camiseta. Pero la recompensa solo se aplica a fallas críticas explotadas de forma remota que no se hayan notificado antes para las últimas versiones de Firefox, Thunderbird y Firefox Mobile.

Esta recompensa económica está financiada por Mark Shuttleworth y Linspire, dos grandes nombres en la comunidad opensource.

Por otro lado Google ofrece un programa similar donde premia con USD$1337 a quién descubra vulnerabilidades graves en Chrome. Mientras Zero Day (TippingPoint) y iDefense (Verisign) desde hace unos años también pagan hasta 10 mil dólares a los investigadores en seguridad que ayudan a encontrar vulnerabilidades que permitan intrusiones online.

Me gustaría un programa similar para IE, creo que sería más fácil conseguir billetes.

Link: Mozilla ups the ante, gives away $3,000 for Firefox bugs (TGDaily)

Link: Juanelo

Varios de los errores están relacionados con el aspecto visual, sobre todo con las nuevas características en el manejo de pestañas que incorporará la versión 3.1. Otro de los puntos que quedan por pulir es el nuevo modo de navegación segura (SafeBrowsing) y detalles en la gestión de marcadores.

Este pequeño retraso no afectaría la idea de Mozilla de lanzar la versión final de Firefox 3.1 durante el primer trimestre de 2009.

Link: Mozilla Delays Firefox 3.1 Beta 3 (PCWorld)

A mediados de la semana pasada Microsoft anunciaba que había sido descubierta una nueva vulnerabilidad en todas las versiones de Internet Explorer, inclusive el IE8 Beta 2, mediante la cual un atacante puede acceder al equipo con los mismos permisos del usuario local que está actualmente logueado en el sistema. Dicha vulnerabilidad puede ser ejecutada exitosamente sin necesidad que el usuario intervenga, simplemente basta con visitar un sitio infectado.

En un principio los reportes de ataques no fueron significativos, sin embargo durante el fin de semana este número se incrementó en un 50% y la tendencia sigue el alza, principalmente debido a que sitios que eran confiables fueron modificados maliciosamente por hackers para incluir en ellos el código que permite explotar esta falla. Uno de los principales sitios afectados, aunque ya corregido, fue un popular buscador de Taiwan (look.tw), sin embargo aún hay más de 6000 sitios que contienen dicho código malicioso, en su mayoría aquellos que brindan contenido pornográfico.

Un informe de Microsoft indica que aproximadamente el 0.2% de los usuarios de Internet Explorer ha navegado por alguno de estos sitios maliciosos, cifra más que importante si tenemos en cuenta que cerca del 70% del mercado de navegadores es dominado por el browser de Microsoft.

Aún no se ha confirmado cuando estará disponible el parche para corregir este bug, por ahora la única protección que tienen los usuarios de IE es seguir los consejos de seguridad brindados por Microsoft para limitar el riesgo de infección.

Link: Microsoft sees ‘huge increase’ in IE attacks (Computer World)

El domingo pasado AVG lanzó una actualización de la base de definiciones de su antivirus, sin embargo la misma venía con una sorpresa, ya que contenía un error en la firma de un virus.

Como consecuencia de ello, los usuarios de Windows XP que aplicaron dicha actualización comenzaron a recibir una alerta indicando que el archivo user32.dll estaba infectado con los trojanos PSW.Banker4.APSA o Generic9TBN, algo que tranquilamente puede suceder en Windows.

Por supuesto que los usuarios comunes, desconociendo la importancia de este archivo para el funcionamiento de Windows, cerraron los ojos e hicieron caso a la acción recomendada por AVG que era eliminar el mismo. Pero la sorpresa vino cuando reiniciaron sus equipos y Windows no les arrancó, ya que el archivo que habían eliminado es una librería muy importante que contiene las API para el manejo de la interfaz gráfica.

Luego que el error fuera reportado en el foro del antivirus, la empresa publicó una actualización corregida y también puso a disposición una herramienta que permite restaurar el archivo eliminado utilizando un CD o pendrive.

Según AVG los únicos afectados fueron los usuarios de Windows XP SP2 y SP3 de las versiones en idioma Alemán, Francés, Italiano, Portugués y Español.

Link: AVG 8 Update Marked User32.dll As Virus Infected (gHacks)

Parece que el flamante nuevo navegador de Google (Chrome) va a seguir dando que hablar. Si en un principio muchos celebraron su llegada y se mostraran felices por la velocidad con que cargaba las páginas, a poco andar nos fuimos desilusionando en la medida en que fueron apareciendo reportes de problemas y fallas (sabemos que es un Beta pero podrían haberlo hecho algo mejor, ¿o no?).

Como para mantenerlos al tanto de los problemas de Chrome, acá un pequeño resumen:

• Chrome no supera el Acid3: Si lo quieres probar, debes poner http://acid3.acidtests.org/ en Chrome.
• Vulnerabilidades: Son varias pero destacamos tres (link 1, link 2, link 3).
• Bugs: Acá la lista crece a diario, si quieres la puedes revisar en este link.
• Chrome consume lo mismo que IE8b2: Si recuerdas, hace algunos días publicamos un estudio que decía que IE8b2 ocupaba más recursos que WinXP. La gente que realizó el estudio se tomó la molestia de realizar otro para incluir a Chrome. La conclusión a la que llegaron los autores del mismo habla por sí sola: 

Chrome, como Explorer 8, es un navegador pensado para el hardware del mañana. Su utilización de un modelo de pestañas multiproceso (…) significa que siempre utilizará más recursos que Firefox, Explorer 7 y similares.

Y como para cerrar el tema y lo que motiva este post, desde hace algunos días que se encuentra disponible una actualización para descarga. Pero al realizar la operación de actualización sale un mensaje que dice “No es posible actualizar el servidor (error: 7)“.

Personalmente, he probado bajar esta “supuesta” actualización desde dos computadores, sin lograr el objetivo. ¿Alguien puede decir lo contrario? 

Link: Google Chrome