El Blog de Enrique Dans

Si usas Internet Explorer, abandónalo – al menos una temporada

Escrito a las 9:37 pm
59

No, no tiene nada que ver con tenerle manía a Microsoft, ni con tener predilección por Firefox, ni por fobias o filias de ningún tipo. Es una alerta de seguridad seria, recogida ya por medios de todo el mundo, que recomienda a los usuarios de cualquier versión del Internet Explorer de Microsoft que se cambien a cualquier otro navegador (Firefox, Opera, Chrome, Safari…) al menos hasta que la vulnerabilidad pueda ser corregida. En este momento, la cuota de mercado estimada para el navegador de Microsoft esta en torno al 70%, muchos millones de usuarios con su seguridad comprometida si entran en alguna de las páginas que aprovechan el agujero para acceder a sus ordenadores. En esta ocasión, además, la vulnerabilidad no fue descubierta por la propia Microsoft ni por analistas, sino por los crackers que ahora la están utilizando. El agujero afecta a varias versiones de MSIE incluidas las más recientes, y es mucho más grave de lo que se pensaba inicialmente.

Las preguntas ahora son múltiples: cuántos usuarios no llegarán siquiera a enterarse de una vulnerabilidad reconocida como seria por la propia Microsoft, cuánto tiempo tardará la empresa en ser capaz de corregir el problema, cuántos usuarios probarán otros navegadores al hilo de esta alerta, y por supuesto, cuántos se quedarán en ellos una vez que la vulnerabilidad sea corregida. La reacción de Microsoft, por el momento, ha sido negar la mayor: afirmar que el exploit únicamente está presente en un 0.02% de las páginas de la red, que no recomiendan cambiarse tan solo por este problema, y que están trabajando en un parche que estará listo en un tiempo muy breve. Mientras tanto, la empresa recomienda poner las opciones de seguridad del navegador en alta, cambiar a un perfil de usuario que no tenga privilegios de administración, usar el modo protegido, y tener actualizado tanto Windows como todo el software de seguridad: antivirus, anti-spywares y cortafuegos. Los analistas de seguridad y muchos medios de comunicación poco sospechosos de odiar a Microsoft, como la BBC , sin embargo, ante la magnitud de la vulnerabilidad y facilidad de instalación y configuración de navegadores alternativos, recomiendan el cambio de navegador, al menos de manera temporal.

Los navegadores NO SON una religión. Son programas que usas para leer páginas en Internet, nada más. Nadie te va a excomulgar ni te va a mirar mal porque te descargues otro navegador y lo uses hasta que se arregle este problema. Tu ordenador funcionará exactamente igual, y tu experiencia de navegación será seguramente parecida: si usas favoritos, la mayoría de los navegadores toman tus favoritos de la configuración del que tengas instalado. No estás obligado a fijar el nuevo como navegador por defecto si no quieres, y tu configuración seguirá exactamente como estaba. Todos los navegadores pueden tener problemas de seguridad, esto no quiere decir que Microsoft sea malo malísimo, no estamos insultando a nadie, le puede pasar a cualquier empresa y producto.

ACTUALIZACIÓN: Confirmando la severidad del problema, Microsoft anuncia la pronta disponibilidad de un parche, rompiendo su habitual costumbre de circular actualizaciones de seguridad únicamente el segundo martes de cada mes, el ya famoso Patch Tuesday. Es muy poco habitual que Microsoft rompa su ciclo de actualizaciones. A estas horas, el parche no está aún disponible. Si usas Internet Explorer, monitoriza esa página e instálatelo en cuanto lo pongan en circulación.

ACTUALIZACIÓN: Parche ya disponible. Si tienes MSIE, instálalo.

10 trackbacks

001
meneame.net
16.12.2008 a las 21:55 Permalink

Si usas Internet Explorer, abandónalo al menos una temporada…

No, no tiene nada que ver con tenerle manía a Microsoft, ni con tener predilección por Firefox, ni por fobias o filias de ningún tipo. Es una alerta de seguridad seria, recogida ya por medios de todo el mundo, que recomienda a los usuarios de cualqu…

002
meneame.net
16.12.2008 a las 23:15 Permalink

Si usas Internet Explorer, abandónalo – al menos una temporada…

No, no tiene nada que ver con tenerle manía a Microsoft, ni con tener predilección por Firefox, ni por fobias o filias de ningún tipo. Es una alerta de seguridad seria, recogida ya por medios de todo el mundo, que recomienda a los usuarios de cualqu…

[...] de todos hacer rodar la información para evitar hechos que puedan lamentarse luego. Como sugiere Enrique Dans, un navegador es una simple herramienta, no una religión. ¡Así que pasen la [...]

[...] Internet Explorer Publicado el 17 Diciembre, 2008 Autor: Jordi | Categoria: Internet Via Enrique Dans, leo que existe un fallo de seguridad muy grave que afecta a todos los usuarios que usan cualquiera [...]

[...] Vía | El blog de Enrique Dans [...]

[...] a tomar por @%##!! al Internet Explorer Como bien dice Enrique Dans en su blog, ya va siendo hora de olvidarse del Explorer, por que tiene un agujerote grave de seguridad. Pero [...]

[...] Leyendo hoy a Enrique Dans me he encontrado un post que habla de una alerta de seguridad en Internet Explorer. Leer aquí. [...]

[...] Las noticias que me han traído de nuevo este pensamiento las podéis encontrar tanto aquí, como aquí. En esta ocasión ambas noticias están relacionadas con fallos de seguridad en navegadores de [...]

[...] y II: Ala, ya tenemos parche. Seguro que ha sido porque Enrique Dans lo ha chillado (con una semana de retraso y cuando lo ha leído en la prensa generalista…) ¡Y es que no hay [...]

49 comentarios

001
luigi
16.12.2008 a las 21:48 Permalink

Seguramente me equivoco, pero me sorprende que un observador inteligente como Vd entre en la rueda de descalificaciones a Microsoft.
Aunque esta entrada realmente no critica a fondo a esta empresa si he leido otras de las que se entrevee una cierta antipatía por ella.
Recientemente he actualizado un iPod y he tenido que reinstalar iTunes, del que me desprendí al comenzar a usar el anterior, y he de decir ¡viva Microsoft!
No me gustan muchas cosas de Microsoft, y como Vd pienso que probablemente le queda poco tiempo de vida, pero esta empresa es la responsable principal del mundo tal y como lo conocemos en la actualidad. Y en esa tarta participa muy poco Linux y ligeramente algo más Apple.

002
Cristian Orozco
16.12.2008 a las 22:30 Permalink

Lo dicho por luigi es cierto, pues en muchas entradas Enrique ha hecho patente su ligera posicion y apreciacion sobre Microsoft y derivados. No obstante, ante ello muchos de nosotros, ademas de demostrar el apoyo, compartimos esa apreciacion sobre el gigante de las comunicaciones. Todos sabes que a comienzo y mediados de los 90′ el mundo le debe la casi totatlidad de los logros domesticos en computacion a Microsoft, pues fue la empresa que llevo el computador a la casa de todos nosotros.

Pero me es lamentable decir, que al igual que una persona en el poder, si esta no es removida de su cargo, se genera en una monarquica dictadura. Ante eso, solo cabe criticar sanamente al grande para que cambie sus politicas, o simplemente deje su trono y lo ceda al mas capacitado (hasta el momento: … No es Apple… Si no Google).

Microsoft deberia aceptar las criticas con altura de miras.

003
Enrique Dans
16.12.2008 a las 22:39 Permalink

#1: ¿Poco tiempo de vida? Jamás he dicho algo así, ni lo creo, ni mucho menos lo deseo. ¿Descalificaciones? ¿Dónde ves descalificaciones? Esto no son descalificaciones, son hechos. Y si empiezo una entrada diciendo que no la escribo por ningún tipo de sesgo, sino por advertir a cuantas más personas mejor, será que no me estoy inventando nada, digo yo, aunque eres dueño de creerte lo que quieras sobre mis presuntos turbios fines y manejos. En cualquier caso, dado que no me crees, documéntate, que para eso pongo los enlaces, léete lo que dicen los periódicos de todo el mundo… que seguro que es una contubernio-campaña a escala mundial contra el pobrecito Explorer.

004
dsa
16.12.2008 a las 23:07 Permalink

Hola,

Microsoft si se ha hecho cargo de la vulnerabilidad, ya anunciada el 9 de diciembre y que mañana (esta madrugada) tendra un nuevo y obligado parche, http://www.microsoft.com/technet/security/bulletin/ms08-dec.mspx
Aunque en otras ocasiones le doy la razon, en esta, la verdad es que si que noto cierto tono, fuera de lo habitual en este foro.

005
Belén
16.12.2008 a las 23:23 Permalink

jejeje mola el tono condescendiente, Enrique. Has estado haciendo uso del sugeridor de sinónimos un rato para decirlo con delicadeza, no? Buen trabajo. Ha quedado bien. Hasta diría que incluso falta un toque de crítica muy merecida al Explorer esta vez.

Tengo comprobados, por desgracia, dos casos de amigos usando Explorer que pillaron virus al meterse en una web donde llevo yo meses entrando con Firefox sin problemas. Si la gente viera la cantidad de páginas que me pone en rojo el WOT y la otra cosa de colores que también tengo al lado de cada link por el AVG, se lo pensaría dos veces… Y 0.02% sigue siendo un buen puñado de páginas. Dependiendo de cuales sean, pueden estar bien pillados los datos bancarios y cosas así de los afectados :S

006
Gorki
16.12.2008 a las 23:27 Permalink

Como todos saben utilizo IE no he usado ni antivirus y firewere en años desde que descubrí que son unos programas molestisimos, que lo único que previenen es lo que te pasó ayer pero no lo que te pase mañana.
Mi seguridad se basa en utilizar un Pc solo para viajar por la red y periódicamente volver cargar el SO cuando los spyweres y Malaweres de todo tipo que los tengo y padezco pues los recojo amablemente y los conservo, empiezan a ser un incordio.

Que catástrofe pueden haceme estos nuevos, que no me pudieran hacer los antiguos, supongo que soy un zombie, que me revisan hasta en los dobladillos de la ropa y que apuntan todo lo que hago. Me es lo mismo mi forma de defensa activa y no pasiva, en vez de poner murallas como en el yudo utilizo el impulso del contrario, para hacerle caer. Si quieres información, pues taza y media, taza de informacion creada solo para vosotros y media de información creada por mi navegación, a ver como la separas..

Tambien me mandan paginas con publicidad, cundo estoy de coña les hago pedidos con uno de mis múltiples alias, ¿Oye todos podemos dar la tabarra no?

¿Puedes especificar que mal hacen estos, que no hagan los otros? Pues si es más de lo mismo, pues bueno.

Por cierto hace años que no padezco un ataque de virus, ¿A que se dedican ahora los fabricantes de virus? ¿No será a lanzar hoaxes?

007
Francisco Urdaneta
16.12.2008 a las 23:28 Permalink

Otra razón adicional para cambiar de explorador, y sobre todo después de los errores que se han experimentado con la simple ejecución del programa. Esta será sin duda alguna la mejor oportunidad para FireFox pueda tener la couta de mercado más importante.

Que estará haciendo FireFox para sacarle punta a esta situación que lo beneficia enormenente?

008
Enrique Dans
16.12.2008 a las 23:34 Permalink

#5: Lo curioso es comprobar como Microsoft no tuvo ningún empacho en recomendar a los usuarios que abandonasen Safari en el último descubrimiento de vulnerabilidad, y en cambio ahora recomiendan casi que navegues con armadura y dos preservativos puestos, pero que no abandones MSIE…

Y a pesar de eso, y de todas las precauciones que he tomado para que nadie se sienta agredido, verás como se me llena la entrada de comentarios descalificadores… eso sí, esta vez, los insultantes no llegaremos a verlos :-)

009
Anónimo
16.12.2008 a las 23:55 Permalink

O visto de otro modo, ya hay más de 4 millones de páginas en la red con el exploit según afirma la propia Microsoft.
Como aproximación por lo bajo, el 0.02% de 20.470.000.000 es 4094000.

010
Pablo
17.12.2008 a las 00:00 Permalink

Cuando haya un caso similar con otra empresa…todos esperamos que le des la misma cobertura.

011
myNick
17.12.2008 a las 00:07 Permalink

Es bueno dar a conocer estos huecos de seguridad. A muchas personas no le importan, pero luego se extrañan de que su computadora funcione lenta o que directamente no funcione. No se hacen problema: reinstalan todo o colocan toda la culpa en el hardware y terminan comprando una PC nueva ya que la vieja “no da para más”. Muchos no se dan cuenta que lo que falla es el SO y el IE es una de esas puertas de doble hoja que permiten entrar cuanto bicho ande dando vuelta por ahí. Bien por el aviso, Enrique.

012
deleted
17.12.2008 a las 00:08 Permalink

PD: Me autocorrijo. En google dicen que este verano indexaron 1,000,000,000,000 de URLs únicas de una vez, con lo que:
0.02% de 1.000.000.000.000 = 200.000.000 = 200 millones

013
Enrique Dans
17.12.2008 a las 00:12 Permalink

#10: pues si lo veo como esta vez recogido en toda la prensa mundial, seguramente lo haré. Mira, ni soy experto en seguridad ni pretendo serlo, pero la magnitud de esto no es la habitual, y no creo en las conspiraciones a escala planetaria…

014
kikemb
17.12.2008 a las 00:56 Permalink

Sincera y objetivamente, no veo ni atisbo ningún tipo de descalificaciones o nada que se le parezca a este post. Yo, que hace tiempo que no uso IE, sino Firefox y Chrome (en concreto 106 días) he sufrido sin embargo los problemas de estos virus, por el simple hecho de tener que utilizar IE para utilizar la BBDD online de mi empresa. La vulnerabilidad que pueda tener cualquier navegador, debería ser corregida de inmediato. Simplemente Microsoft cuando sale en todos los periódicos y blogs, entonces realiza un apaño. o también llamado parche. Como dice #5, osea Belén, yo utilizo el AVG, y no os podéis imaginar la cantidad de porquería que entra por el IE; que sin embargo no entra ni por Firefox ni por Google Chrome.

015
fahrenheit 1C3
17.12.2008 a las 01:11 Permalink

Enrique,

Yo que tú le habría dado muuucha más caña al explorer. No por nada, sino porque se lo merece por el hecho de ser un producto tan malo procedente de una empresa igualmente nefasta.

Estaba pensando en elaborar una lista de personas a las que avisar de este suceso, pero, como he pasado a la mayoría de mis amigos y familiares a Mac os y a Linux, veo que me voy a ahorrar el trabajo.

016
javier
17.12.2008 a las 02:33 Permalink

Off-topic: Soy uno de esos lectores anónimos que se limitan a ver, leer y callar. Hoy quiero hacer una excepción para desearos unas felices fiestas a tí y a tus encantadoras esposa e hija, así como al resto de comentaristas. Sé que es algo anticipado, pero me apetecía llegar el primero, qué leches!
Os deseo un nuevo año pleno en todos los aspectos, con nuevos proyectos e ilusiones y lo más libre de envidias, celos y actitudes destructivas que sea posible. Contra la crisis, creatividad, colaboración, audacia y esfuerzo.

Abrazos.

017
Javier Sampedro
17.12.2008 a las 03:24 Permalink

Habrá que ser precavidos durante este tiempo y usar un navegador alternativo como comentas, o sino, extremas las precauciones con el IE si los seguimos usando. Siempre me ha ido bastante bien el IE pero ante esto, habra que protegerse. Safari, Mozilla, Chrome? una oportunidad para que otros navegadores se repartan algo mas del mercado.

018
Carlos
17.12.2008 a las 09:27 Permalink

¿Explorer? ¿Qué es eso? Vaya nombre más tonto para un navegador de Internet. Poca imaginación tiene el que se lo haya inventado.

Fuera de bromas, he reinstalado recientemente Windows XP SP2 y SP3 en sendos ordenadores y por algún motivo, me está resultando del todo imposible instalar el Explorer 7 (el 8 beta ni catarlo, desde luego), ni siquiera hackeándolo, ni como actualización automática.

No me preocupa en exceso, prefiero Opera y Firefox, por este orden (Chrome lo probé, y no ofrece nada que no ofrezca Opera desde hace varias versiones, o eso me pareció). El problema es que hay demasiadas webs mal hechas que solo funcionan bien con Explorer.

De todas formas, los crackers son tontos. ¿Acaso no se han enterado de que lo peor que le puedes hacer a un ordenador con Windows es ponerle a funcionar dos antivirus a la vez? MacAfee+Trendmicro es una fórmula letal, por ejemplo. En realidad, Trendmicro por sí solo es peor que cualquier virus. Yo también me quedo con AVG.

019
Gorki
17.12.2008 a las 09:37 Permalink

Pues sigo sin que nadie me informe de los riegos que corro de más, de los que corria antes. ¿Es algo tan dificil de explicar en pocas palabras, o nadie sabe exactamente cual es el riesgo?

020
JA
17.12.2008 a las 09:40 Permalink

Si, vale, pero em esto de la informática todo cojea:

Google Chrome 1.0, considerado el navegador que peor protege las contraseñas
http://www.kriptopolis.org/google-chrome-considerado-el-peor-protector-de-passwords#comments
———————-
Google es humano, demasiado humano

http://www.kriptopolis.org/google-demasiado-humano#comments

———-

Y así seguiriamos eternamente, i explorer es poco seguro, y lento, pero el navegador de google es muy inseguro y falto de herramientas, firefox va bien, pero se hace pesado. a 4 extensiones le metas, eso si muy práctico y util.

En relacción seguridad – rapidez – utilidad me quedo con OPERA y K-MELEON.

Salutes.

021
Jorge
17.12.2008 a las 09:45 Permalink

Es curioso, resulta que el navegador tiene una cuota del 70% porque la mayoría de usuarios ni se molestan en cambiar de navegador (al fin y al cabo viene instalado con el sistema operativo, y el usuario únicamente reconoce Internet asociándola al icono de Internet Explorer) y desde Microsoft esperan que este usuario pasivo se moleste en cambiar al modo Internet Seguro.
Increíble, pero cierto.

022
javier
17.12.2008 a las 09:48 Permalink

#13

¿Qué argumento es ese? ¿Si no sale en muchos medios es que no tiene importancia? Si no sale en esa cantidad de medios cuando se da en otros navegadores alternativas es precisamente por ese 70% que tú mismo indicas que tiene Internet Explorer.

Pero me parece bastante pueril que sólo si los medios “gordos” se hacen eco de una noticia sobre una vulnerabilidad lo suficientemente grave como para recomendar cambiar de navegador, la reseñes tú aquí. Porque creo yo que si mañana se da ese hecho en, por ejemplo, Firefox (ya se ha dado en anteriores, ¿te suenan los torpedos de Zaleswski?) si realmente te crees tu pretendida imparcialidad deberás dar buena cuenta de ello aquí. De Chrome, el “sistema operativo de Google”, mejor no hablamos, que no sé cómo se han atrevido a quitarle la etiqueta de beta.

Y sobre este problema de MSIE, estoy seguro de que no es necesario instalarle tropecientos antivirus. El firewall ya viene con Vista, navegar con una cuenta con privilegios en Vista, con lo fácil que es hacerlo con una normal, es merecerse la infección y las recomendaciones de antivirus y demás, son permanentes, no ligadas a esta vulnerabilidad.

023
FobiasNo
17.12.2008 a las 10:04 Permalink

Enrique una vez mas muestras tu parcialidad, hablaste de la misma manera de los fallos de seguridad del chrome y de la gran cantidad que tiene firefox?, no, pero de MS si.

Tu pagina es de seguridad? no, por que si no hablarias tambien de la seguridad de los otros navegadores/sistemas.

Por ende tu pagina no es de seguridad pero si sacas los trapos sucios de MS, que como todo el que programa tiene fallos.

Firefox es peor que IE en seguridad sin ninguna duda y no lo digo yo, lo dice quien ha analizado el codigo siendo contratado por la administración publica de EEUU.

Cuando Firefox gane mas cuota se pondra mas aun en el ojo del huracan para los chicos malos y entonces ya veremos….

024
JV
17.12.2008 a las 10:15 Permalink

No entiendo a los defensores a ultranza de Microsoft (igual que no entiendo a los que adoran a Apple o a Linux porque sí). Todo tiene sus pros y sus contras y las personas escogen sus herramientas conforme a sus necesidades. El problema es cuando no se les da la libertad de elegir o cuando se utilizan técnicas torticeras para imponerles algo. Es lo que ha hecho Microsoft con el IE (y es lo que pretende hacer Apple con el iPhone y con el iPod Touch).

Lamentablemente para Microsoft, el Internet Explorer es el peor programa que han diseñado nunca. No sólo tiene múltiples agurejos y vulnerabilidades, sino que no rinde bien en ninguna comparativa. Por otro lado, ha sido punta de lanza en la política de la compañía por destruir los estándares abiertos y convertirlos en propietarios de Microsoft. ¿El resultado? El Internet Explorer no respeta los estándares w3c, no se lleva bien con el código bien escrito, corre javascript y java de forma chapucera, es lento, pesado y torpe.

Aquí no se trata de comportarse como un hooling informático o como un fan acérrimo. Se trata de una compañía, versión tras versión de su navegador, se niega a mejorarlo, se dedica a decorarlo en lugar de repensarlo y no quiere escuchar la voz de sus propios clientes. Siempre que he hecho el experimento de cambiarle a un usuario el IE por otro navegador (porque le falla o había dejado de funcionarle o le abría bien una página), no ha vuelto a utilizar el de Microsoft. No creo que sea simplemente porque todos estamos en contra de Microsoft.

025
Marcos
17.12.2008 a las 10:24 Permalink

Impresionante, Enrique.
Avisas de esta grave vulnerabilidad, y hay gente que lo toma como un ataque contra el monopolio.
En fin… ¿Qué les dará Micro$oft?
Agradecerte el aviso y felicitarte por la calidad de tus post.
Un saludo.

026
JV
17.12.2008 a las 10:24 Permalink

#19 Gorki, aquí puedes ver un breve resumen sobre el fallo de seguridad. Es lo primero que he encontrado:

http://alerta-antivirus.inteco.es/portada/index.php

Como es lógico, nadie va a describir exactamente cual es la vulnerabilidad de IE para evitar males mayores.

No concuerdo en absoluto con tu despreocupación hacia la seguridad. He sufrido en carne propia ataques muy destructivos y sólo puedo comentar que desde que dejé de utilizar productos de Microsoft hace cuatro años, sólo he tenido que recurrir a la copia de seguridad en una ocasión (y fue por mi manifiesta torpeza: cuidado con el comando rsync, en manos negligentes es peor que cualquier virus).

027
luarca
17.12.2008 a las 10:52 Permalink

#19 Gorki. yo te lo explico…

Vete por ahi fornicando alegremente, porque total, si pillas una sifilis o una gonorrea, ya tienes antibioticos y penicilina para curarte despues (del Sida ni hablamos eh?). Mientras, inocente de ti, hasta que no sientas los sintomas, seguiras fornicando y -contagiando- a mas gente. Nah… no passsa nahhh…

Solo hay una forma de vencer virus, troyanos y spam (de hecho hay dos, pero por el momento colgar de los huevos a los autores aun no se contempla), y es que todos, pongamos nuestro grano, evitando su expansion.

¿Cada cuanto dices que formateas tu pc “de navegar”? una al mes? cada seis meses?…. Si tu ordenador se convierte en un “zombi”, sabes cuantos SPAMS puedes llegar a mandar por minuto? Sabes en cuantos ataques DOS puedes colaborar? Sabes que IE es un buen candidato para todo ello?

Anda, navega con lo que te de la gana, si quieres IE, pues IE que sobre gustos no hay color. pero navegues con lo que navegues, ponte un “molesto” antivirus aunque sea libre y no jorobes al resto de internet.

028
eva
17.12.2008 a las 11:07 Permalink

“Los navegadores NO SON una religión. Son programas que usas para leer páginas en Internet, nada más. Nadie te va a excomulgar ni te va a mirar mal porque te descargues otro navegador y lo uses hasta que se arregle este problema.”

No estoy de acuerdo. Si se me ocurre descargarme Firefox e instalarlo en el ordenador del trabajo, en el escaneo del disco duro en busca de software prohibido del 1 y 15 de cada mes me lo detectarán y me abrirán un expediente. ¿En cuántas otras multinacionales la situación es exactamente igual? Enrique: instruye un poquito a los CIOs de las empresas del Fortune 500, ¡¡haznos un favor!!

029
iBlog
17.12.2008 a las 12:53 Permalink

Pues yo me quedo sin ninguna duda con Firefox. No me queda más remedio si trabajas con un Apple, pero me parece que por encima de todos, Opera anda por el buen camino. Saludos

030
Phabius
17.12.2008 a las 12:59 Permalink

#13

Ya que sólo usas IE para ver la web de tu empresa, ¿los virus te han atacado por usar la BBDD de tu empresa? Porque el artículo habla de vulnerabilidad en IE + webs emponzoñadas.

031
HectorMontenegro
17.12.2008 a las 13:17 Permalink

Se puede informar correctamente, y a la vez ser tendencioso. ¿Como?
Pues no dando TODA la información.

Se da el caso que, precisamente esta semana, Firefox acaba de anunciar su versión 3.0.5 y 2.0.0.19 que corrige 11 vulnerabilidades, 3 de ellas críticas.

Opera, por su parte, acaba de publicar también su versión 9.63, que corrige 7 problemas de seguridad

Mac OS, por su parte, acaba de publicar una de sus macro-actualizaciones, que soluciona 21 fallos de seguridad de su sistema operativo, varios de ellos en relación directa con su navegador Safari.

Pero no he visto ningún post “alarmando” frente a todas estas, y si hacia la de Explorer, que por otro lado, mañana día 17 estará resuelta.

Visto lo visto ¿Realmente tiene sentido tu recomendación de cambiar de navegador? ¿Es la seguridad de los usuarios lo que se tiene en mente cuando se hace esa recomendación, o es otra cosa?

No es bueno el promover medidas erroneas que además no se dirigen tanto a combatir el problema, sino a aprovechar cualquier circunstancia de un competidor para ganar cuota de mercado.

Y tampoco veo donde Microsoft ha “negado la mayor”, cuando precisamente se ha sacado una alerta fuera de ciclo (eso solo se hace en situaciones de alerta importantes) para resolver inmediatamente el problema.

032
Enrique Dans
17.12.2008 a las 13:28 Permalink

#31: Héctor, como siempre un gusto verte por aquí con buenos argumentos. Te cuento como lo veo: todo programa tiene vulnerabilidades, de acuerdo. Pero cuando un programa lo usa un 70% del mercado, la vulnerabilidad es explotable de manera sencilla como esta, y los medios de información de todas partes reaccionan como han reaccionado, me parece adecuado recogerlo. Yo soy en ese sentido una página más recomendando a sus usuarios que usen otro navegador mientras esto no esté arreglado, no formo parte de ninguna conspiración orquestada a escala mundial, como tampoco lo son la BBC, PCWorld, el Washington Post o el NYT. Donde digo que Microsoft niega la mayor es donde dice que no es necesario cambiar de navegador, más después de haberlo hecho en el caso contrario. Mi opinión es que con lo poco que cuesta instalar un navegador, lo que hay que hacer es tener varios, y dejar de usar los que estén bajo una alerta de seguridad importante, hasta que se solucione. En ningún momento digo que Microsoft sea mala malísima o peor que otras porque tiene vulnerabilidades, sé que todo programa las tiene. Lo que digo es que estás más seguro estos días si en lugar de navegar con MSIE lo haces con otro, y consecuentemente lo recomiendo. Eso es todo.

033
Luis Miguel Garcia
17.12.2008 a las 14:28 Permalink

Enrique,

Al hilo de tus comentarios me gustaría añadir algo desde la perspectiva de Microsoft:
• Microsoft ha dado los pasos adecuados a raíz de esta alerta. Inicialmente anunció la manera de proteger los navegadores y ayer hemos anunciado una actualización disponible hoy a última hora a través de Windows Update.
• El hecho de que sea una actualización fuera del ritmo mensual habitual no indica más que el firme compromiso para contribuir a la seguridad de todos.

Por último quería destacar nuestro dedicación para mejorar continuamente al igual que el resto de la industria en materia de seguridad y privacidad. Estos días hemos presenciado como navegadores y sistemas operativos de otras compañías ofrecían actualizaciones de seguridad críticas de todo tipo: por ejemplo Firefox (http://secunia.com/advisories/33203/ ) o el mismísimo MacOSx (http://www.apple.com/downloads/macosx/apple/security_updates/ ). Por lo tanto se trata de una práctica habitual que afecta a todos los protagonistas de la industria del software.

Luis Miguel García
Director de Seguridad y Privacidad de Microsoft Ibérica

034
Albert
17.12.2008 a las 15:28 Permalink

Enrique, si tienes tiempo me gustaría que llevaras a cabo un breve ejercicio y nos pasaras los resultados. En tanto que tienes un blog con miles de visitas diarias y por tanto los resultados pueden ser algo relevantes, ¿podríamos ver cuál es el porcentaje de navegadores usados por tus visitantes entre el 1 y el 15 de diciembre y compararlo con el porcentaje desde ayer hasta hoy? Simplemente por ver si las recomendaciones han surgido algún efecto o si la gente lee, asiente y sigue con lo suyo.

035
Albert
17.12.2008 a las 15:32 Permalink

En mi propio blog, por cierto, y aunque las cifras son mucho menos representativas por ser el número de visitas bajo, los datos son estos:

1-15 diciembre: IExplorer 54%, Firefox 39%, Opera 3%, Chrome 2%, Safari 1%.

16-17 diciembre: IExplorer 49%, Firefox 42%, Opera 4%, Chrome 2%, Safari 2%.

036
JP
17.12.2008 a las 17:21 Permalink

@Phabius
¿Los de tu empresa republican las noticias de Enrique Dans en su página?
Mira lo que se viene a enterar uno.

037
Belén
17.12.2008 a las 17:37 Permalink

Gorki, tú probablemente no tengas un gran problema en quedarte sin ordenador cada x tiempo porque tienes que ponerlo en cuarentena. Pero tener un sistema lleno de virus que puede explotar en cualquier momento, dejándotelo totalmente inútil (v.g, el virus que reiniciaba al XP a los 30 segundos de arrancarlo) no es algo que mucha gente se pueda permitir. Ya no sólo por tener que hacer backups cada poco tiempo, sino porque imagina a quien se tiene que ir a trabajar con el portátil a donde sea y de repente no funciona. Pierde los datos y también pierde su herramienta de trabajo

Cuando no tienes nada urgente que hacer, puedes decidir hacer limpieza dedicando toda la tarde en acabar con el virus, formatear, reinstalar el Windows, reinstalar todos los programas que uses, configurar todo etc. Pero cuando no puedes arriesgarte a que te ocurra, a lo mejor prefieres usar medidas preventivas en lugar de eso. Se puede convivir con virus y troyanos sin darse cuenta, claro que sí, perfectamente. Los daños pueden ser de cualquier tipo, desde pérdidas de información sensible hasta que te vaya lentísimo todo. Es una cuestión personal aguantar eso contra la simpleza de usar otro navegador. (Yo no hablo de usar otro SO, que ya es un paso bastante mayor.)

Yo no he tenido virus en muchos años e incluso he usado el XP sin antivirus buena parte de ellos, sin problemas. No es que Microsoft sólo haga productos vulnerables, ni nada de eso. Simplemente, es más probable que una persona que usa el Explorer no se dé cuenta de que tiene un virus o no sepa cómo eliminarlo, que una que usa Ópera, estadísticamente. Lo que me ha dicho una a la que le he recomendado probar Chrome porque sabe que se conecta a un Wifi muy poco segura (ya tuvieron un asuntillo con alguien que cogió todas las conversaciones del messenger de su colegio mayor) es: “¿de Google? Pero si yo ya tengo Google instalado en mi ordenador. Aparece cada vez que abro Internet” Es decir, piensa que tiene instalado el buscador, no entiende el concepto navegador y piensa que Internet es el Explorer. (Es una persona con dos licenciaturas y varios idiomas, no es ninguna tonta en el Mundo Real, conste). ¿Se entiende la diferencia entre avisar por medios masivos del problema en el IE y la no necesidad de hacerlo a tan gran escala sino en medios más especializados cuando hay un problema similar en otros navegadores?

038
DNi
17.12.2008 a las 17:51 Permalink

Y mientras tanto, yo aquí feliz, con mi sistema Ubuntu y mi navegador firefox.

039
Enrique Castro
17.12.2008 a las 18:04 Permalink

Hola Tocayo:

estando de acuerdo contigo, te hago la siguiente pregunta.

¿Y los/as que por obligación lo tengan que usar…qué?

:-D

040
Anónimo
17.12.2008 a las 18:08 Permalink

Estaria bien Enrique, que pusieras en enlace CONCRETO (No un enlace a otro blog) de la pagina de MS donde “Recomienda a los usuarios que abandonen Safari en el último descubrimiento de vulnerabilidad”.

Gracias, un saludo.

041
Fran
17.12.2008 a las 18:40 Permalink

31, 32 y 33 me parecen post sumamente reveladores y que transcienden incluso el tema del post: habláis de la estructura de la industria y del funcionamiento del mercado, de que son productos en los que los fallos críticos de seguridad son habituales, del compromiso con la seguridad (que es tan común en Microsoft como en otras empresas, pues todas acaban ofreciendo soluciones) de las empresas… y en último término, de los hábitos de los consumidores.

O sea, de que los consumidores de navegadores y sus servicios debemos concienciarnos de que estamos en un marco empresarial, un tipo de producto, una calidad del servicio… habitual en ‘errores críticos de seguridad’. Ahora, yo pregunto: ¿que deberíamos hacer los clientes ante un hecho tan alarmante?, porque, ¿a caso no es preocupante que todo un mercado reconozca errores estructurales comunes en sus productos?

Quizás lo que falta en estos casos es lo que tanta falta hace, también, en otros mercados: el respeto por el consumidor, ofrecer información y dar datos de forma transparente, reconocer errores sin ambages… Manteniendo, al fin y al cabo, una relación más estable con un cliente que lo que necesita en internet (donde no sólo se expresa, sino que crea una identidad, ofrece datos, compra mercancías o servicios…) es el respeto y la confianza de las compañías.

En vez de tanta publicidad de Vista, o “download day”, o “fuera versión ‘beta’ a los 100 días”… el anuncio que más credibilidad puede dar a una empresa dedicada a esto, tal como están yendo las cosas, y con la que está cayendo, es: “si, no somos perfectos, lo sabemos, pero intentamos ofrecerte la mejor calidad y el mejor servicio”. Porque Google ofrece “calidad comparativa” pero, al fin y al cabo, tiene sus problemas como cualquier otra compañía. ¿Porqué no intentar innovar y romper las reglas de lo sibilino o de la pobreza comparativa ofreciendo, simplemente, honestidad y claridad?

El blog de Enrique me encanta porque, ante todo, es honesto y claro: dice lo que piensa y deja claro porqué lo piensa. Podrás estar de acuerdo o no, en todo, en poco o en nada. Pero, más importante que poder tener una opinión o un debate, es saber los qués, cómos y porqués. Ojala Microsoft, o cualquier otra empresa, fuese lo suficientemente revolucionaria como para atreverse a utilizar la honestidad en lugar de la publicidad.

Estoy seguro, los consumidores seríamos lo suficientemente inteligentes para reconocer la novedad y la verdad, y para responder como tal actitud merece. ¿Alguién más se apunta?

042
HectorMontenegro
17.12.2008 a las 19:11 Permalink

Gracias Enrique. Sin que esto parezca una “ofensiva” de Microsoft sobre tu blog, ;-), que no es la intención, si añadiría algo. Tener varios navegadores pues si es una buena práctica. Yo tengo tres, aunque en el 95% de los casos utilizo uno. Pero ten en cuenta que realmente la mayor “culpa” por así decirlo de Explorer, siguiendo tu argumento, sería la de tener una enorme cuota de mercado. Obviamente, cuando eso es así, la extensión de una incidencia es mayor. Pero nada mas.
Haciendo un simil “automovilístico” diría que es como si ante el dato de que hay mas accidentes de coches que de carretillas, recomendáramos encarecidamente el uso de la carretilla como medio de transporte (y ojo que la comparación no pretende ir en relación a la calidad, – aunque me tienta ;-)- sino en relación al número).

Microsoft ha tenido que aprender mucho en materia de seguridad, y aprender desde donde mas se aprende: desde la necesidad absoluta. Los años 2001-2002 supusieron un punto de inflexión necesario. Las experiencias de Blaster, Slammer, CodeREd etc motivaron que al Sr. Gates se le inflaran las … narices y estableciera que desde ese momento, de Microsoft no salía una máldita línea de código que no hubiera pasado por un fuerte proceso de auditoría de desarrollo seguro. Y creeme que el “afable” Sr. Gates sabe imponerse. Esa historia se llamó TrustWorthy computing

Han pasado 6 años ya desde esa “tormenta” interna que cambió para siempre el dsarrollo de código desde Microsoft…y ¿Han desaparecido todos los problemas de seguridad? No. ¿Se han minimizado? Sin duda. Se ha minimizado la posibilidad de “explotación”. Totalmente. Hasta el punto que en este momento algunos consideran a Microsoft (y no son palabras mias sino de Gartner “We actually consider Microsoft to be leading the software [industry] now in … security development life cycle [SDL]” – John Pescatore, VP of Gartner… o algunos mas entusiastas que hablan de Microsoft como de “sumos sacerdotes de la seguridad”: http://news.cnet.com/8301-1009_3-10042248-83.html

La última reunión de Common Criteria (estandar ISO de seguridad de producto) en Korea, hubo una tremenda influencia sobre la consideración de las buenas prácticas de Microsoft (Software Development Lifecycle) como línea a seguir en la evolución de la proxima release de Common Criteria.

¿Que significa esto’ Pues que mientras en medios profesionales de seguridad se pone como ejemplo a Microsoft por la seriedad y eficacia en su aproximación a la seguridad, la inercia o interés de seguir posicionando a Microsoft como “el problema” en materia de seguridad, dejó de tener base hace mucho tiempo.

Existe un gran interés en mantener esa percepción, como parte de la estrategia competitiva de muchos. Supongo que durante algún tiempo habrá que seguir viviendo con ello.

En fin. Siento la longitud del comentario. Si es que me animo … ;-)

043
Emilio CS
17.12.2008 a las 20:48 Permalink

Gracias por la información y aprovecho para felicitarte y darte ánimos (si es que los necesitas), pues veo que tienes grandes admiradores que siguen con avidez tus reflexiones y están esperando la carnaza para desmenuzarla y encontrar en ella material sobre el que difamarte. Un cordial saludo!

044
mar69
17.12.2008 a las 23:54 Permalink

Otras empresas por cosas como estas estarían en los tribunales.

Sigo sin entender la falta de calidad de los productos de Microsoft. Si Windows es el sistema operativo menos seguro de los existentes en el mercado, ¿Cómo no va a serlo su navegador integrado en el mismo?

Solo espero que el mercado sepa ajustar errores tan garrafales como este, que OJO, esto ocurre mes tras mes….

045
fobiasno
18.12.2008 a las 08:57 Permalink

Es curioso como se puede ver que aunque el sistema tenga sus problemas lo que mas afecta a la seguridad de un sistema windows son las aplicaciones que instalamos sobre el.

http://www.bit9.com/files/Vulnerable_Apps_DEC_08.pdf

046
Oriol D.
18.12.2008 a las 11:09 Permalink

Leo en Bitelia que la consultora Bit9 ha declarado que Firefox es la aplicación mas vulnerable para windows.

047
Enrique Dans
18.12.2008 a las 12:04 Permalink

#45, #46: Ese es el reporte más desprestigiado de la empresa menos conocida y con más necesidad de notoriedad de los últimos tiempos. Es metodológicamente insostenible, y simplemente, miente más que habla. Es facilísimo encontrar comentarios que demuestran la falsedad del susodicho estudio, aquí tienes uno:
http://www.theregister.co.uk/2008/12/12/app_threat_list/

048
Felipe Alfaro Solana
20.12.2008 a las 04:21 Permalink

A #6: ¿de verdad crees que ese 70% de usuarios van a tener un PC dedicado para navegar exclusivamente? ¿Y que lo van a reinstalar cada cierto tiempo? Pensé que la tecnología podía ofrecer soluciones mejores y más eficientes. Bueno, realmente lo hace: se llama GNU/Linux y Firefox, por ejemplo.

049
Jorge
22.12.2008 a las 01:30 Permalink

Bien dicho #24.
Sobre los estándares de la w3c, pregúntenle a cualquier diseñador web cuantas horas extras tiene que gastar para que una página se vea bien cualquier explorador Y en IE.

Comentarios cerrados

5 Comentarios en Menéame

002
jm22381
16.12.2008 a las 21:56 Permalink
003
kraziel
16.12.2008 a las 21:56 Permalink

recogida ya por medios de todo el mundo → incluyendo meneame» autor: kraziel

004
ffuentes
16.12.2008 a las 21:57 Permalink

Me carga que todo lo que Enrique Dans diga, aparezca en Menéame.

Por lo demás, si le instalas a alguien Firefox y lo prueba le va a gustar, casi casi siempre pasa así, pero no porque lo diga un Sr. Influyente.» autor: ffuentes

005
josemaria
17.12.2008 a las 10:13 Permalink

Que algo con una semana de retraso venga a parar aquí sólo porque lo ha escrito ÉL tiene miga… Luego hablará de palmeros. ¡Ay!

Por cierto: el primer aviso de todos lo mandé yo y no se le hizo mucho caso, la verdad

meneame.net/story/0-day-para-internet-explorer-7» autor: josemaria

Logotipo de Blogestudio Logotipo de Acens