Microsoft y sus sambenitos eternos: seguridad, estabilidad, estandarización

Bienvenidos a Microsoft
Estos días ha circulado profusamente el «top 10 de programas con vulnerabilidades de Kaspersky» que está dentro de su IT Threat Evolution trimestral. La noticia ha saltado por la desaparición de software Microsoft de esa lista, calculada en base al porcentaje de usuarios que tenían el software con problema de seguridad pendiente de actualización.

Que esto sea noticia refleja como la marca Microsoft todavía arrastra para una generación de usuarios connotaciones de problemas de seguridad, estabilidad y estandarización, cuando lo que ha sucedido es que precisamente debido a la lluvia de merecidas críticas la compañía de Redmond ha dado un giro bastante importante en estas tres variables.

Lo comentamos respecto a Internet Explorer 9 y tocará hacerlo respecto a la nueva versión aparecida con Windows 8: no se merece la fama atesorada por anteriores Explorer (y lo dice alguien que tuvo que programar para Explorer 5 y 6, versiones odiosas donde las haya). Igual que hay que agradecer a Mozilla resucitar la categoría de navegadores web, habría que reconocer que el nivel de los últimos Explorer es excelente.

El pantallazo azul se ha convertido en el lugar común para referirse a Windows, así como el estigma de ser cerrado e incompatible con todos, además de «anti software libre». Todo ello ha formado parte de la cultura de Microsoft y está en su historial de productos, pero también es cierto que en muchos aspectos ha quedado muy superado y respecto a estandarización, apertura y visión del software libre, están en pleno cambio, algo que no se le reconoce (por mucho que sea forzado por una realidad en la que ya no pueden competir en solitario desde posición dominante).

Lo comentamos hace tiempo en Microsoft, presente y futuro, Windows, Explorer… son sus grandes marcas, imposible renunciar a ellas y su conocimiento casi universal, aunque ello suponga cargar también con los problemas del pasado (algo que «Surface» e incluso «XBox» no tienen).

Copiar películas Blu-Ray y HD DVD

cerraduraActualización: ver ¿Crackeado el AACS de HD-DVD y BlueRay?

La nueva generación sucesora del DVD prometía algunas ventajas para el usuario (más capacidad, vídeo de alta definición) a cambio de un «candado» más potente que impidiese la aparición de «otro Decss» y por tanto la copia de películas en formatos Blu-Ray y HD-DVD.

Pues bien, en la revista alemana German CT ha descubierto que se puede capturar un frame de una película en Blu-Ray o en HD-DVD con sólo pulsar el «Impr Pant» (el botón para capturar la imagen de la pantalla) en Windows XP. Claro que capturar así una película completa es trabajo de chinos, pero se trata de un proceso automatizable construyendo un programa en absoluto complicado, aunque está por ver que esto permita reconstruir la imagen de l apelícula por completo (y del sonido todavía no hablamos). Los equipos en los que lo han conseguido son un Sony Vaio VGC-RC 204, con Blu-Ray, y un Toshiba Qosmio G30, con HD-DVD. En ambos casos mediante el software de reproducción WinDVD.

Una prueba de fuego para el AACS (Advanced Access Content System), el sistema criptográfico para impedir la copia en Blu-Ray y HD-DVD. Toshiba ya asegura que todos los portátiles que saque a partir de ahora vendrán con una actualización del driver de la tarjeta y de WinDVD que impedirán la función de «Impr Pant» durante la reproducción de una película Blu-Ray o HD-DVD. AACS en teoría podría exigir una actualización del software para ver las nuevas películas, revocando las claves que tiene WinDVD para desencriptar. Aunque WinDVD cumple el protocolo y habrá que ver si se atreven a dejar fuera a una versión de uno de los reproductores más populares y si es cierto que el esquema con una autoridad censora funciona.

¿El primer síntoma del fracaso de AACS y HDCP? ¿Serán este el hack que ya profetizaba DVD Jon para comienzos de 2007? La revista alemana se reserva bastante información para su edición escrita que saldrá mañana lunes, mientras dejan este artículo. Vía i4u. También lo comenta PixelChips.

Otras entradas relacionadas:

Fallo de seguridad grave en Firefox

firefoxHace tiempo que deje de llevar la cuenta de los fallos de seguridad en los navedores: era un ejercicio que ocupaba demasiado tiempo y ayudaba muy poco a sacar conclusiones. Si me preocupa más el tiempo de respuesta, cómo se gestiona la crisis y la duración del intervalo durante el cual el usuario del software es expuesto al riesgo. También entiendo clave la transparencia de cara al usuario, actualizarse sin que el usuario tenga que ser proactivo y leer páginas web sobre seguridad.

Hoy debería haber tocado hablar de la beta de Firefox 1.5, que por cierto trae algunas novedades interesantes pero nada del otro mundo (véase Genbeta), pero también ha sido descubierto un fallo de seguridad grave en todas las versiones de firefox, incluida ésta. Los detalles están en Secunia (sitio con una lista de distribución muy interesante para seguir este tipo de noticias), pero básicamente es un bug en el modo en que tiene este navegador libre de manejar las URL que contengan el carácter 0xAD, problema que puede derivar en un desbordamiento de búffer con ejecución de código malicioso en nuestros equipos.

En estos tiempos en que Firefox baja en el número de usuarios y Explorer 7 está a la vuelta de la esquina, muchos van a mirar con lupa la gestión de este problema por parte del equipo de este genial navegador. Históricamente han ofrecido tiempos récord en la solución de este tipo de incidencias (aunque la experiencia le ha enseñado a uno que muchas veecs es mejor tardar más y realizar el mayor número posible de pruebas de regresión), y Firefox tiene un sistema de «auto-actualización», que no cunda el pánico.

Actualización: Ya está disponible el patch y toda la información para estar seguros en mozilla.org. Se publicó ayer, cuatro días después del aviso original (día cuatro de septiembre) y uno después de que se hiciese público (día ocho de septiembre).

Arreglo de problemas de seguridad en Explorer y FireFox

ExplorerfirefoxSeguro que muchos recordaréis los graves problemas de seguridad en FireFox 1.0.3, subsanados en la la nueva versión FireFox 1.0.4. No vamos a descubrir nada nuevo al afirmar que todo software contiene errores y que un tema tan delicado como la seguridad en los navegadores web no es una excepción. Sin embargo cómo se gestionan estos errores y el tiempo que se tarda en proporcionar una solución si que nos puede servir para comparar dos navegadores. La gente de FireFox tardó cuatro días en tener disponible una actualización.

Todo esto viene a cuento por unas vulnerabilidades bastante graves encontradas por la compañía eEye en Internet Explorer. Los agujeros de seguridad descubiertos permitirían (al igual que en el caso de FireFox) que una página diseñada para explotarlos pudiese ejecutar código arbritario en nuestro equipo (vía eWeek). Lo más interesante de la noticia es que eEye avisó a Microsoft el 5 de Mayo sin que de momento los usuarios de Internet Explorer tengan un parche disponible para subsanar este problema. Es lo que tiene un sistema de seguridad basado en la oscuridad: «si nadie conoce el bug, no tenemos de qué preocuparnos», apostillado con algo así como «de momento no se conocen ataques basados en este agujero».

Cualquiera que haya resuelto incidencias en una empresa de mantenimiento software me puede espetar que dos problemas con síntomas similares pueden tener soluciones muy diferentes en cuanto a complejidad y que no son en absoluto comparables. Sin embargo, la facilidad para ser modificado es un parámetro importante en la calidad de un software y en esto la incrustación de Explorer en Windows puede estar jugándole una mala pasada a Microsoft, convirtiéndolo en un «mírame y no me toques» con unas pruebas de regresión descomunales para asegurarse de no estropear nada al arreglar cualquier bug.

En este caso, las fechas cantan y señalan un producto superior.

OneCare, suite de seguridad de Microsoft

MicrosoftCon un negro pasado de agujeros de seguridad y con un presente marcado por el spyware, el mantra más repetido desde Microsoft no es otro que «mejoras en la seguridad de sus productos». Es lo que vendían con Service Pack 2 para Windows XP y el terreno en el que venían trabajando más intensamente en los últimos tiempos, como demuestran sus Malicious Software Removal Tools, su herramienta antispyware y la la compra de Sybari. Con estos precedentes, no es de extrañar la entrada de Microsoft en el mercado de la seguridad con su próximo producto OneCare. OneCare integrará firewall, antispyware, y antivirus, encontrándose ya en fase de pruebas para usuarios internos. Lo más destacado es que será un servicio de pago por suscripción, nada de integración «de fábrica» en Windows de momento y nada de servicio gratuito y universal a todos los usuarios de su sistema operativo. Al menos esto supondrá un respiro para los fabricantes de antivirus, que veían caer las acciones de sus empresas cada vez que surgía un rumos acerca de la entrada de Microsoft en su sector. La beta pública se espera para el verano (véanse M-W o PcMag).

Razonable movimiento el de Microsoft que supone un reconocimiento implícito de algo que ya sabemos casi todos: el enemigo número uno de los usuarios Windows poco expertos hoy día se llama spyware, el firewall de Windows XP es una broma y hay un negocio muy importante alrededor de la inseguridad en la plataforma Windows. Habrá que echarle un vistazo.

Graves problemas de seguridad en FireFox 1.0.3

firefoxMalas noticias para todos los usuarios de FireFox 1.0.3 (aunque todo lo que sigue es válido también para cualquier FireFox 1.x), han aparecido dos vulnerabilidades críticas para este navegador. Una de ellas es una amenaza bastante grave: pinchar en un click una página especialmente diseñada para explotarla habilitaría a sus creadores a ejecutar código arbritario en el equipo de la víctima. Este bug está provocado por la ausencia de las suficientes medidas de seguridad la tratar las URL Javascript dentro de un IFRAME, aunque precisa que el sitio en cuestión tenga permisos para instalar extensiones. Hay más información acerca de este problema de seguridad y del otro en Secunia.

Para poder navegar seguros (anda circulando código para explotar esta vulnerabilidad) no hay más que cerciorarnos de que no permitimos la instalación desde páginas web (desmarcar Herramientas > Opciones > Características Web > Permitir que los sitios web instalen software).

Sin sacar las cosas de quicio (todo software tiene fallos y FireFox no iba a ser una excepción), no se puede restar gravedad a este bug. Ahora que FireFox está rondando el 10% del mercado de los navegadores, todos los ojos estáran fijos en cómo gestionarán este problema (está «solución manual» no deja de ser una chapuza además de no ser una solución oficial) y todos los cronómetos en marcha.

Vulnerabilidades en Winamp

Si eres usuario de Winamp es muy recomendable que no tengas a este reproductor multimedia como el predeterminado para abrir ficheros con extensiones «.cda» o «.m3u». El problema es que se ha descubierto un problema de seguridad en las versiones 5.05 y 5.06 de Winamp. Merced a ese agujero, un sitio web programado para ello podría comprometer la seguridad del sistema. La información está en Secunia y aunque ya comentamos que el equipo de Winamp estaba desmantelado, AOL prometió dar soporte para este tipo de problemas de seguridad.

Mejoras de seguridad para Explorer solo para XP

ExplorerEsa es la decisión de Microsoft. Con el Service Pack 2 para Windows XP llegan numerosas mejoras de seguridad para el navegador Internet Explorer entre las que encontramos el bloqueo de pop-ups y la no ejecución por defecto de componentes ActiveX. Microsoft no introducirá estos desarrollos en sus anteriores sistemas operativos Windows 2000, ME, 98 o Windows 95, a cuyos usuarios insta a actulizar. Según cifras de
ZdNet esto supone dejar fuera de las mejoras en materia de seguridad que supone el Service Pack 2 para Windows XP a doscientos millones de usuarios en todo el mundo, para los que Microsoft propone como alternativa la de adquirir Windows XP por 99 dólares, con lo que podrían instalar este Service Pack2. Eso sí, para todos los sistemas a los que Microsoft sigue dando soporte saldrán los pertinentes parches de seguridad para Internet Explorer. Si aún tienes Windows 98 o Windows 2000 y se descubre un bug en el navegador de Microsoft, saldrá una actualización para corregirlo. Lo que no va a hacer Microsoft es trasladar las mejoras que provee Service Pack 2 a estos otros sistemas.

Por un lado no hay nada nuevo bajo el Sol. La política de Microsoft lleva siendo la de un nuevo sistema operativo cada tres años y sus esfuerzos se centran en conseguir vender el mayor número de copias posible. Quizás las cuentas en Redmon no vayan todo lo bien que quisieran, pero los movimientos en torno el impedir las actualizaciones de los Windows piratas apuntan a la misma dirección de conseguir ampliar las unidades vendidas de Windows XP.

Quizás, eso sí, la estrategia de la compañía de Gates yerra en el momento en que quieren capitalizar las mejoras de Explorer para vender más copias de XP. El ascenso de Mozilla y las millonarias descargas de FireFox no hacen sino reforzar la idea de que Explorer ya no es el bastión inexpugnable de hace unos años. Los problemas de seguridad y la ausencia de innovación han dado cancha a los navegadores libres de Mozilla y al de Opera que poco a poco van aumentando cuota de mercado. Mejorar Explorer ya no es imprescindible para un usuario de Windows.

Cuatro problemas en dos días para el Windows Media Player 10

MicrosoftCon la salida de la beta de MSN Music apareció también Windows Media Player 10, la ultima versión del reproductor multimedia de Microsoft. Este Windows Media Player 10 juega un papel esencial en su estrategia de negocio de venta de música online pues se convierte en el principal canal de acceso a la tienda. Pues bien dos días después de su aparición el pasado 2 de Septiembre ya han aparecido cuatro problemas en Windows Media Player 10 :

  • Error message when you try to synchronize video files in Windows Media Player 10
  • WMAPro content that contains SAP with digital output plays for several seconds and then stops playing in Windows Media Player 10
  • You receive a «A security problem occurred» error message when you try to play content on a secure Web site in Windows Media Player 10
  • Caption text is missing from the caption bar when you play a media clip in Windows Media Player 10
    El recuento lo ha hecho la gente de Tlab404. Como vemos las cosas en Microsoft cambian poco con los años. La primera beta de Windows Media Player 10 apareció en Junio, por lo que han sido tres meses de pruebas de la beta con usuarios reales que no han sido suficientes para evitar estos cuatro problemas que han salido a la luz apenas dos días de la publicación de la versión estable.

    Los problemas son diversos: no poder ejecutar contenidos cuando se está en una página segura (https), problemas de sincronización con algunos dispositivos tipo Smartphone, Portable Media Center o con PocketPc cuando se envía un video codificado en MPEG2, error con WMAPro cuando requiere Output Protection Level (OPL) y el no mostrar título del contenido en alguans ocasiones. Algunos como la sincronización con algunos dispositivos sí que es grave sobre todo teniendo en cuenta que ese será uno de los papeles fundamentales de Windows Media Player 10 en la estrategia musical de la empresa de Gates. Desde soporte Microsoft se echan balones fuera señalando como causa de los problemas los codecs con que son generados los ficheros. Nuevo curso, pero hay cosas que no cambian.

  • Messenger y Word con la misma vulnerabilidad que Mozilla

    MessengerCuando hace poco comentábamos la aparición de un importante bug en Mozilla y FireFox resaltábamos, como han hecho muchos medios, la rapidez con que aparecieron los parches tanto para Mozilla y FireFox como para el programa de correo ThunderBird, en apenas un día. Dato interesante ante la tardanza de Microsoft en parchear el Explorer ante problemas como el Download.JECT. Ahora bien, no todos los problemas de seguridad son igualmente difíciles de corregir, podría ocurrir que el problema de los productos Mozilla (error conocido como shell: protocol security issue que permitiría ordenar la ejecución de aplicaciones de Windows desde una página web conociendo su ruta en el sistema) fuese más sencillo de corregir que los de Explorer y ante un caso inverso en dficultad, intercambiarse el papel de más lento. Pues bien, ahora podemos comparar pues como informa InfoWorld, el mismo problema ha sido detectado en MSN Messenger y en Word.
    Con esta vulnerabilidad un atacante podría iniciar programas en nuestro equipo usando enlaces embebidos en documentos Word o en mensajes de MSN Messenger. Una portavoz de Microsoft ha comentado que están investigando los informes de Secunia en los que se informa de estos problemas de seguridad.

    Bueno, es difícil que nos encontremos con un escenario en el que comparar la rapidez y eficiencia de Microsoft y la gente de la fundación Mozilla. Si bien no es una vulnerabilidad en exceso crítica pues los atacantes sólo pueden arrancar un programa conociendo su ubicación en el sistema sin pasarle parámetros, si es un error en Messenger y Word. Ahora bien, si se me permite una baza en favor de Messenger, en este la actualización se podrá hacer a través del propio programa, sin tener que estar informado por los medios ni tener que visitar la web de Microsoft. Aunque FireFox incluye esta posibilidad desde la versión 0.9 no fue aprovechada para subsanar este último bug de seguridad. Aparte de eso, pongan su cronómetro en marcha.