Daily Archives: January 11, 2022

Firefox 96 llega con reducción de ruido, restricción de cookies y mas

Posted on by

Se dio a conocer el lanzamiento de la nueva versión del popular navegador web «Firefox 96» en la cual podremos encontrar que se agregó la capacidad de forzar la inclusión de temas oscuros o claros para los sitios. El esquema de colores cambia por las fuerzas del navegador y no requiere soporte del sitio, lo que permite usar un tema oscuro en sitios disponibles solo en colores claros y un tema claro en sitios oscuros.

Para cambiar la representación de colores en las preferencias (about:preferences) en la sección «General/Idioma y apariencia», se ha propuesto una nueva sección «Colores», en la que puede habilitar la redefinición de colores en relación con el esquema de color del sistema operativo o asignar colores manualmente.

Otro de los cambios que se presenta de esta nueva versión de Firefox 96 es la reducción de ruido significativamente mejorada y control automático de ganancia de audio, así como cancelación de eco ligeramente mejorada.

Tambien se ha aplicado una restricción más estricta en la transferencia de cookies entre sitios, que prohíbe el procesamiento de cookies de terceros establecidas al acceder a sitios distintos al dominio de la página actual. Estas cookies se utilizan para rastrear los movimientos de los usuarios entre sitios en el código de redes publicitarias, widgets de redes sociales y sistemas de análisis web.

La política de cookies está controlada por el atributo mismo sitio en el encabezado Política de cookies, que ahora está configurado «Same-Site=Lax» de forma predeterminada, lo que restringe el envío de cookies para subsolicitudes entre sitios, como solicitar una imagen o descargar contenido a través de un iframe de otro sitio, que también brinda protección contra ataques CSRF (Cross-Site Request Forgery).

Otros de los cambios que se incluyen son:

  • Se corrigieron problemas con la disminución de la calidad del video en algunos sitios y el restablecimiento del encabezado SSRC (identificador de fuente de sincronización) al mirar un video.
  • También solucionamos un problema con la reducción de la resolución al compartir una pantalla a través de WebRTC.
  • En macOS, seguir enlaces en Gmail ahora los abre en una nueva pestaña, al igual que en otras plataformas. Debido a problemas no resueltos, macOS no permite desanclar videos en modo de pantalla completa.
  • Para simplificar la personalización de los estilos del tema oscuro, se ha agregado un nuevo esquema de color de propiedad CSS, que permite determinar en qué esquemas de color se puede mostrar correctamente un elemento.
  • Se agregó la función hwb() CSS que se puede especificar en lugar de los valores de color para definir los colores según el modelo de color HWB (tono, blancura, negrura).
  • Carga en el hilo principal de ejecución se ha reducido significativamente.

 

¿Como instalar o actualizar la nueva versión de Firefox en Linux?

Los usuarios de Firefox que no hayan desactivado las actualizaciones automáticas recibirán la actualización automáticamente. Aquellos que no quieran esperar a que eso suceda pueden seleccionar Menú> Ayuda> Acerca de Firefox después del lanzamiento oficial para iniciar una actualización manual del navegador web.

La pantalla que se abre muestra la versión actualmente instalada del navegador web y ejecuta una búsqueda de actualizaciones, siempre que la funcionalidad esté habilitada.

Otra opción para actualizar, es si eres usuario de Ubuntu, Linux Mint o algún otro derivado de Ubuntu, puedes instalar o actualizar a esta nueva versión con ayuda del PPA del navegador.

Este lo pueden añadir al sistema abriendo una terminal y ejecutando en ella el siguiente comando:

sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y 
sudo apt-get update
sudo apt install firefox

Para el caso de los usuarios de Arch Linux y derivados, basta con ejecutar en una terminal:

sudo pacman -Syu

O para instalar con:

sudo pacman -S firefox

Finalmente para aquellos que prefieren del uso de los paquetes Snap, podrán instalar la nueva versión en cuanto sea liberada en los repositorios de Snap.

Pero pueden obtener el paquete directamente desde el FTP de Mozilla. Con ayuda de una terminal tecleando el siguiente comando:

wget https://ftp.mozilla.org/pub/firefox/releases/96.0/snap/firefox-96.0.snap

Y para instalar el paquete solo tecleamos:

sudo snap install firefox-96.0.snap

Finalmente, pueden obtener el navegador con el último método de instalación que fue añadido «Flatpak». Para ello deben contar con el soporte para este tipo de paquetes.

La instalación se hace tecleando:

flatpak install flathub org.mozilla.firefox

Para el resto de las distribuciones de Linux, pueden descargar los paquetes binarios desde el siguiente enlace.

 

from Linux Adictos https://ift.tt/33psAW7
via IFTTT

Un desarrollador open source saboteo sus propias bibliotecas afectando a miles de aplicaciones

Posted on by

Hace poco se dio a conocer la noticia de que un desarrollador saboteó dos de sus propias bibliotecas open source, causando interrupciones en miles de aplicaciones que las usaban.

Marak Squires, el autor de dos bibliotecas de JavaScript con más de 21 000 aplicaciones dependientes y más de 22 millones de descargas semanales, actualizó sus planes a fines de la semana pasada después de haber permanecido sin cambios durante más de un año. Las actualizaciones contenían código para producir un bucle infinito que hacía que aparecieran galimatías de las aplicaciones dependientes, precedido por las palabras «Libertad Libertad Libertad».

Squires no proporcionó ninguna razón para hacerlo, pero un archivo «faker.js» se cambió a «¿Qué pasó realmente con Aaron Swartz?».

Swartz fue un desarrollador líder que ayudó a establecer Creative Commons, RSS y Reddit. En 2011, Swartz fue acusado de robar documentos de la base de datos académica JSTOR en un intento de hacerlos de libre acceso.

El activista involucrado en grandes causas como la Neutralidad de la Red, se opuso a las leyes SOPA y PIPA (equivalentes a Hadopi en Estados Unidos). Aaron Swartz se suicidó en enero de 2013. Sujeto a episodios depresivos, se encontraba bajo fuertes procesos judiciales. Enfrentó nada menos que 4 millones de dólares en multas y 30 años de prisión por haber descifrado y robado 4 millones de documentos académicos del MIT y del sitio Jstor. Un acto realizado en nombre del libre acceso al conocimiento. Un acto que también le valió la acusación de «crimen» («felony») por parte de la justicia estadounidense.

Aaron Swartz se negó obstinadamente a aceptar el término, según su colega Lawrence Lessig. Una negativa que, tras 18 meses de negociaciones, daría lugar a un juicio con penas potencialmente muy severas.

En reacción a su muerte, varios profesores del MIT han decidido honrar su lucha, que apoyan, subiendo archivos PDF de su trabajo para luchar contra los derechos de autor de artículos académicos. Además de estos profesores, el MIT también oficialmente y como institución decidió realizar una investigación interna para determinar cómo había actuado, en detalle, la escuela de Boston desde el inicio del asunto de los “robos” de documentos. ¿Y si sus decisiones no hubieran sido desproporcionadas?

Al mismo tiempo, ya que incluía la referencia Swartz en el archivo «Readme», Squires también tuiteó esas mismas palabras e incluyó un enlace a un hilo que afirma que Swartz fue asesinado después de descubrir pornografía infantil en los servidores del MIT. Esta publicación ahora eliminada (pero disponible en Web Archive), incluida en el hilo, decía:

“No, no es Aaron Swartz quien debe ser juzgado, sino esta alta institución de aprendizaje asalariado, el MIT, que es responsable de los crímenes atroces que lo llevaron a la muerte. Los riesgos asumidos por Swartz, que así amenazó al MIT, solo pueden entenderse a través del tema de la pornografía infantil orquestada y producida por sus aclamados profesores y distribuida a sus ricos y poderosos patrocinadores. Los ciberpókeres del MIT atienden a una clientela que incluye el escalón más alto del Departamento de Estado, grandes corporaciones, agencias de inteligencia, el ejército y la Casa Blanca.

Cada elemento del Caso Swartz indica que murió en un heroico intento de exponer la perversión que ha corrompido los corazones y las mentes de la élite mundial, un vicio atroz y a menudo mortal que traumatiza a niños inocentes y amenaza a todas las familias de este planeta.

Esta exhibición de hechos es un camino sinuoso que conduce desde los Sagrados Salones de Ivy en Boston hasta las afueras de Phnom Penh, donde un profesor de renombre mundial ha organizado servicios de sexo juvenil para dignatarios visitantes y ha enviado pornografía infantil cifrada vía satélite a bases de datos ilícitas. en el campus del MIT.

Nicholas Negroponte, ya no tienes dónde esconderte en el sudeste asiático o África. Estás bajo vigilancia y serás perseguido sin descanso, no solo por pornografía infantil y proxenetismo, sino ahora como cómplice de asesinato. Tu única salida es devolver los archivos de video con la lista completa de nombres, y será mejor que lo hagas lo antes posible, porque los poderosos pedófilos de esta lista te silenciarán para cubrir sus propios rastros”.

El sabotaje de las bibliotecas plantea preocupaciones sobre la seguridad de la cadena de suministro de software, que es crucial para muchas organizaciones, incluidas las empresas Fortune 500. Las dos bibliotecas saboteadas, Faker.js y Colors.js, han creado problemas para las personas que utilizan el SDK en la nube de Amazon.

Los críticos han dicho durante mucho tiempo que las grandes corporaciones se aprovechan de los ecosistemas de código abierto sin pagar adecuadamente a los desarrolladores por su tiempo. A su vez, los desarrolladores responsables del software son puestos a prueba injustamente.

De hecho, Squires dijo en 2020 que ya no apoyará a las grandes empresas con el trabajo que realiza de forma gratuita.

“Aproveche esta oportunidad para enviarme un contrato anual de seis cifras o bifurcar el proyecto y hacer que alguien más trabaje en él”, escribió.

La capacidad de un solo desarrollador para frenar una base de aplicaciones tan grande destaca una debilidad fundamental en la estructura actual del software libre y de código abierto. Agregue a eso los estragos causados ​​por las vulnerabilidades de seguridad pasadas por alto en aplicaciones de código abierto ampliamente utilizadas y tendrá una receta para un desastre potencial.

Fuente: https://web.archive.org

https://github.com

from Linux Adictos https://ift.tt/3fcFhpI
via IFTTT

‘Wormable’ Flaw Leads January 2022 Patch Tuesday

Posted on by

Microsoft today released updates to plug nearly 120 security holes in Windows and supported software. Six of the vulnerabilities were publicly detailed already, potentially giving attackers a head start in figuring out how to exploit them in unpatched systems. More concerning, Microsoft warns that one of the flaws fixed this month is “wormable,” meaning no human interaction would be required for an attack to spread from one vulnerable Windows box to another.

Nine of the vulnerabilities fixed in this month’s Patch Tuesday received Microsoft’s “critical” rating, meaning malware or miscreants can exploit them to gain remote access to vulnerable Windows systems through no help from the user.

By all accounts, the most severe flaw addressed today is CVE-2022-21907, a critical, remote code execution flaw in the “HTTP Protocol Stack.” Microsoft says the flaw affects Windows 10 and Windows 11, as well as Server 2019 and Server 2022.

“While this is definitely more server-centric, remember that Windows clients can also run http.sys, so all affected versions are affected by this bug,” said Dustin Childs from Trend Micro’s Zero Day Initiative. “Test and deploy this patch quickly.”

Quickly indeed. In May 2021, Microsoft patched a similarly critical and wormable vulnerability in the HTTP Protocol Stack; less than a week later, computer code made to exploit the flaw was posted online.

Microsoft also fixed three more remote code execution flaws in Exchange Server, a technology that hundreds of thousands of organizations worldwide use to manage their email. Exchange flaws are a major target of malicious hackers. Almost a year ago, hundreds of thousands of Exchange servers worldwide were compromised by malware after attackers started mass-exploiting four zero-day flaws in Exchange.

Microsoft says the limiting factor with these three newly found Exchange flaws is that an attacker would need to be tied to the target’s network somehow to exploit them. But Satnam Narang at Tenable notes Microsoft has labeled all three Exchange flaws as “exploitation more likely.”

“One of the flaws, CVE-2022-21846, was disclosed to Microsoft by the National Security Agency,” Narang said. “Despite the rating, Microsoft notes the attack vector is adjacent, meaning exploitation will require more legwork for an attacker, unlike the ProxyLogon and ProxyShell vulnerabilities which were remotely exploitable.”

Security firm Rapid7 points out that roughly a quarter of the security updates this month address vulnerabilities in Microsoft’s Edge browser via Chromium.

“None of these have yet been seen exploited in the wild, though six were publicly disclosed prior to today,” Rapid7’s Greg Wiseman said. “This includes two Remote Code Execution vulnerabilities affecting open source libraries that are bundled with more recent versions of Windows: CVE-2021-22947, which affects the curl library, and CVE-2021-36976 which affects libarchive.”

Wiseman said slightly less scary than the HTTP Protocol Stack vulnerability is CVE-2022-21840, which affects all supported versions of Office, as well as Sharepoint Server.

“Exploitation would require social engineering to entice a victim to open an attachment or visit a malicious website,” he said. “Thankfully the Windows preview pane is not a vector for this attack.”

Other patches include fixes for .NET Framework, Microsoft Dynamics, Windows Hyper-V, Windows Defender, and the Windows Remote Desktop Protocol (RDP). As usual, the SANS Internet Storm Center has a per-patch breakdown by severity and impact.

Standard disclaimer: Before you update Windows, please make sure you have backed up your system and/or important files. It’s not uncommon for a Windows update package to hose one’s system or prevent it from booting properly, and some updates have been known to erase or corrupt files.

So do yourself a favor and backup before installing any patches. Windows 10 even has some built-in tools to help you do that, either on a per-file/folder basis or by making a complete and bootable copy of your hard drive all at once.

And if you wish to ensure Windows has been set to pause updating so you can back up your files and/or system before the operating system decides to reboot and install patches on its own schedule, see this guide.

If you experience glitches or problems installing any of these patches this month, please consider leaving a comment about it below; there’s a decent chance other readers have experienced the same and may chime in here with useful tips.

from Krebs on Security https://ift.tt/33sHOt6
via IFTTT