07 junio 2014

Tus plugins al día con Qualys Browsercheck




Todos los días leemos que un nuevo 0Day nos hace estar desnudos ante el acceso a recursos que utilizan determinadas tecnologías. No me refiero a OpenSSL esta vez y las 6 vulnerabilidades que se publican en los CVE-2014-0224 y CVE-2014-0221. En este caso, me refiero a una serie de complementos que todos utilizamos y que, sin ellos, nuestra rutina diaria de navegación sería mucho más complicada. Cuando no es Java, cuando no Silverlight o algún otro plugin de Adobe, Flash, Shockwave, etc,… Que sí, que Java es un veneno, pero es que por ejemplo, para los españoles que tengamos la necesidad de hacer gestiones electrónicas mediante la e-administración, es necesario.

En muchos casos, el sistema operativo te recuerda que hay nuevas actualizaciones para sus propios parches, que solucionan temidas vulnerabilidades. Microsoft Office funciona por su cuenta (al menos en Mac OS X) y tiene otro demonio que se encarga de comprobar si hay algo nuevo. Java tiene su propio panel y check para verificar que todo está correcto. Y estoy seguro que esto es así por cada tecnología.

Para evitar tener que estar pendiente en cada panel, que estos componentes están al día, utilizo una extensión para Chrome (sobre Mac) hecha por Qualys, llamada Browsercheck. Inicialmente estaba pensada para mirar que cada navegador y sus plugins estaban actualizados, y luego añadieron otras comprobaciones de seguridad, como la versión de sistema operativo, el firewall de la máquina, así como el estado de algunas aplicaciones (como Office, iTunes o VLC Player). 
Puedes comprobarlo manualmente conectándote a https://browsercheck.qualys.com desde cualquier navegador o instalar el plugin que permite configurar la periodicidad, y que avise cuando haya actualizaciones.



Una de las ventajas de esta extensión/web, que es gratuita, es que cuando hay algún componente desactualizado, te presenta el enlace para la descarga, desde el sitio oficial de cada fabricante, haciendo mucho más cómodo y rápida la actualización. 

Como principal desventaja, le encuentro que no sea capaz de analizar más aplicaciones existentes en el sistema e indicarte si hay nuevas versiones disponibles. Igualmente esto podría ser un caos si tenemos muchas aplicaciones, con avisos casi a diario. Esto, sin embargo, podría ser configurable por el usuario, dando prioridad absoluta a los plugins y actualizaciones de seguridad, antes que a actualizaciones por mejoras de funcionalidad en aplicaciones.