Archive

Archive for March 10, 2020

Firefox 74 llega con RLBox, mejoras, TLS 1.0 y 1.1 deshabilitados y más

March 10, 2020 Leave a comment

Se ha lanzado la nueva versión del navegador web Firefox 74, así como la versión móvil de Firefox 68.6 para la plataforma Android, además de que se ha generado una actualización de la actual versión de largo soporte “68.6.0”.

Esta nueva versión del navegador llega con algunas novedades bastante interesantes, de las cuales podemos mencionar la inclusión del nuevo mecanismo de aislamiento RLBox (solo para Linux), así como también la inclusión de Multi-Account Containers, TLS 1.0 y 1.1 deshabilitados entre otras muchas cosas más.

¿Qué hay de nuevo en Firefox 74?

Uno de los principales cambios que se destacan de esta nueva versión del navegador que benéfica a los usuarios de Linux es la inclusión del mecanismo de aislamiento RLBox, destinado a bloquear la explotación de vulnerabilidades en bibliotecas de funciones de terceros.

En esta etapa, el aislamiento está habilitado solo para la biblioteca Graphite, que se encarga de representar las fuentes.

Otro cambio es el soporte deshabilitado para los protocolos TLS 1.0 y TLS 1.1, los cuales anteriormente se utilizaban para acceder a los sitios a través de un canal de “comunicación segura”, pero debido a que estos protocolos ya se consideraron como obsoletos desde ya hace varios meses, ahora se utiliza el soporte para TLS 1.2.

Además, en la nota de lanzamiento, se mencionan algunos cambios en el complemento Facebook Container ya que ahora se propone el complemento Multi-Account Containers con la implementación del concepto de contenedores de contexto.

Los contenedores proporcionan la capacidad de aislar varios tipos de contenido sin crear perfiles separados, lo que le permite separar la información de grupos individuales de páginas.

Por otro lado, DNS sobre HTTPS está habilitado de forma predeterminada para los usuarios de EE. UU. El proveedor de DNS predeterminado es CloudFlare (mozilla.cloudflare-dns.com aparece en las listas de bloqueo de Roskomnadzor) y NextDNS está disponible como una opción.

En Lockwise, (el complemento de sistema basado en navegador que ofrece la interfaz “about: logins” para administrar contraseñas almacenadas ) ahora admite la clasificación en orden inverso (de Z a A).

WebRTC ha aumentado la protección contra la pérdida de información de la dirección IP interna durante las llamadas de voz y video utilizando el mecanismo “mDNS ICE”, que oculta la dirección local detrás de un identificador aleatorio generado dinámicamente identificado a través de DNS de multidifusión.

En cuanto a los cambios dirigidos Windows y macOS, se implementa la capacidad de importar perfiles desde el navegador Microsoft Edge basado en el motor Chromium.

Además de las innovaciones y las correcciones de errores, Firefox 74 reparó 20 vulnerabilidades, de las cuales 10 (compiladas bajo CVE-2020-6814 y CVE-2020-6815) se marcaron como potencialmente capaces de conducir a la ejecución de código malicioso al abrir páginas especialmente diseñadas.

¿Como instalar o actualizar la nueva versión de Firefox 74 en Linux?

Es importante mencionar que la mayoría de las distribuciones de Linux cuentan con el paquete de Firefox dentro de sus repositorios, por lo que la disponibilidad de esta nueva versión puede tardar algunos días.

Sin embargo es posible poder obtener esta nueva versión de una forma más rápida. Tal es el caso para los usuarios de Ubuntu, Linux Mint o algún otro derivado de Ubuntu, pueden instalar o actualizar a esta nueva versión con ayuda del PPA del navegador.

Este lo pueden añadir al sistema abriendo una terminal y ejecutando en ella el siguiente comando:

sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y 
sudo apt-get update

Hecho esto ahora solo tienen que instalar con:

sudo apt install firefox

Para el caso de los usuarios de Arch Linux y derivados, basta con ejecutar en una terminal:

sudo pacman -Syu

O para instalar con:

sudo pacman -S firefox

Finalmente para aquellos que prefieren del uso de los paquetes Snap, podrán instalar la nueva version en cuanto sea liberada en los repositorios de Snap.

Pero pueden obtener el paquete directamente desde el FTP de Mozilla. Con ayuda de una terminal tecleando el siguiente comando:

wget https://ftp.mozilla.org/pub/firefox/releases/74.0/snap/firefox-74.0.snap

Y para instalar el paquete solo tecleamos:

sudo snap install firefox-74.0.snap

Para el resto de las distribuciones de Linux, pueden descargar los paquetes binarios desde el siguiente enlace.

En un futuro próximo, la sucursal de Firefox 75 se lanzará a la etapa de prueba beta, cuyo lanzamiento está programado para el 7 de abril, ademas de que para la rama beta de Firefox 75, la formación de compilaciones para Linux en el formato Flatpak ha comenzado.

from Linux Adictos https://ift.tt/2vVBvy0
via IFTTT

Categories: Internet, Linux Tags: , ,

Microsoft Patch Tuesday, March 2020 Edition

March 10, 2020 Leave a comment

Microsoft Corp. today released updates to plug more than 100 security holes in its various Windows operating systems and associated software. If you (ab)use Windows, please take a moment to read this post, backup your system(s), and patch your PCs.

All told, this patch batch addresses at least 115 security flaws. Twenty-six of those earned Microsoft’s most-dire “critical” rating, meaning malware or miscreants could exploit them to gain complete, remote control over vulnerable computers without any help from users.

Given the sheer number of fixes, mercifully there are no zero-day bugs to address, nor were any of them detailed publicly prior to today. Also, there were no security patches released by Adobe today. But there are a few eyebrow-raising Windows vulnerabilities worthy of attention.

Recorded Future warns exploit code is now available for one of the critical bugs Redmond patched last month in Microsoft Exchange (CVE-2020-0688), and that nation state actors have been observed abusing the exploit for targeted attacks.

One flaw fixed this month in Microsoft Word (CVE-2020-0852) could be exploited to execute malicious code on a Windows system just by getting the user to load an email containing a booby-trapped document in the Microsoft Outlook preview pane. CVE-2020-0852 is one just four remote execution flaws Microsoft patched this month in versions of Word.

One somewhat ironic weakness fixed today (CVE-2020-0872) resides in a new component Microsoft debuted this year called Application Inspector, a source code analyzer designed to help Windows developers identify “interesting” or risky features in open source software (such as the use of cryptography, connections made to a remote entity, etc).

Microsoft said this flaw can be exploited if a user runs Application Inspector on a hacked or booby-trapped program. Whoops. Animesh Jain from security vendor Qualys says this patch should be prioritized, despite being labeled as less severe (“important” versus “critical”) by Microsoft.

For enterprises, Qualys recommends prioritizing the patching of desktop endpoints over servers this month, noting that most of the other critical bugs patched today are prevalent on workstation-type devices. Those include a number of flaws that can be exploited simply by convincing a Windows user to browse to a malicious or hacked Web site.

While many of the vulnerabilities fixed in today’s patch batch affect Windows 7 operating systems, this OS is no longer being supported with security updates (unless you’re an enterprise taking advantage of Microsoft’s paid extended security updates program, which is available to Windows 7 Professional and Windows 7 enterprise users).

If you rely on Windows 7 for day-to-day use, it’s probably time to think about upgrading to something newer. That might be a computer with Windows 10. Or maybe you have always wanted that shiny MacOS computer.

If cost is a primary motivator and the user you have in mind doesn’t do much with the system other than browsing the Web, perhaps a Chromebook or an older machine with a recent version of Linux is the answer (Ubuntu may be easiest for non-Linux natives). Whichever system you choose, it’s important to pick one that fits the owner’s needs and provides security updates on an ongoing basis.

Keep in mind that while staying up-to-date on Windows patches is a must, it’s important to make sure you’re updating only after you’ve backed up your important data and files. A reliable backup means you’re not losing your mind when the odd buggy patch causes problems booting the system.

So do yourself a favor and backup your files before installing any patches. Windows 10 even has some built-in tools to help you do that, either on a per-file/folder basis or by making a complete and bootable copy of your hard drive all at once.

As always, if you experience glitches or problems installing any of these patches this month, please consider leaving a comment about it below; there’s a better-than-even chance other readers have experienced the same and may chime in here with some helpful tips. Also, keep an eye on the AskWoody blog from Woody Leonhard, who keeps a close eye on buggy Microsoft updates each month.

Update, 7:50 p.m.: Microsoft has released an advisory about a remote code execution vulnerability in the way that the Microsoft Server Message Block 3.1.1 (SMBv3) protocol handles certain requests. Critical SMB (Windows file-sharing) flaws are dangerous because they are typically “wormable,” in that they can spread rapidly to vulnerable systems across an internal network with little to no human interaction.

“To exploit the vulnerability against an SMB Server, an unauthenticated attacker could send a specially crafted packet to a targeted SMBv3 Server,” Microsoft warned. “To exploit the vulnerability against an SMB Client, an unauthenticated attacker would need to configure a malicious SMBv3 Server and convince a user to connect to it.”

Microsoft’s advisory says the flaw is neither publicly disclosed nor exploited at the moment. It includes a workaround to mitigate the flaw in file-sharing servers, but says the workaround does not prevent the exploitation of clients.

from Krebs on Security https://ift.tt/3365ejO
via IFTTT

Los OnePlus 8 se encomendarán al 5G a costa de una más que previsible subida de precios

March 10, 2020 Leave a comment
Categories: Internet Tags: , ,

Researchers Develop New Side-Channel Attacks on Intel CPUs

March 10, 2020 Leave a comment

Load Value Injection (LVI) takes advantage of speculative execution processes just like Meltdown and Spectre, say security researchers from Bitdefender and several universities.

from Dark Reading: https://ift.tt/2Iy8ew7
via IFTTT

Xiaomi ha cerrado su primera y única tienda en Reino Unido, ¿qué ha pasado?

March 10, 2020 Leave a comment
Categories: Internet Tags: , ,

Microsoft Patches Over 100 Vulnerabilities

March 10, 2020 Leave a comment

Patch Tuesday features several remote code execution flaws in Microsoft Word.

from Dark Reading: https://ift.tt/2TVwddH
via IFTTT

Bitsight and Microsoft Disrupt Necurs Botnet

March 10, 2020 Leave a comment

But roughly 2 million infected systems remain in the wild, and infected systems could be reactivated at any time.

from Dark Reading: https://ift.tt/38H5O8O
via IFTTT