Titulares

Noticias

xx Ejecución de comandos arbitrarios en Microsoft Windows XP y Windows Server 2003

Tavis Ormandy ha publicado, en la lista de Full Disclosure, los detalles y prueba de concepto de una vulnerabilidad sin parche que permite ejecutar comandos arbitrarios a través de una URL. El fallo descubierto se haya en Microsoft Windows Help Centre, la aplicación para acceder a la documentación de ayuda.

Dicha aplicación registra un manejador de protocolo con el esquema "hcp://" para acceder a la documentación a través de URLs. Cuando se accede a través de una URL a la documentación, el manejador del nombrado esquema "hcp", añade el parámetro de línea de comandos "/fromhcp" para indicarle a la aplicación del centro de ayuda que el recurso ha sido solicitado desde una URL; restringiendo el uso de parámetros y permitiendo sólo un conjunto de documentos que se encuentran en una lista blanca.

Ormandy ha encontrado un método para evadir esta lista blanca, basado en un error en la implementación de la función que comprueba las URL.

El fallo reside en la función "MPC::HTML::UrlUnescapeW", usada para la normalización y filtrado de la URL antes de ser validada. Dicha función usa a su vez la función "MPC::HexToNum" para convertir los caracteres escapados (p.ej %20 al valor de espacio en blanco) a su correspondiente valor numérico.

Sin entrar en detalles técnicos, básicamente, la función "MPC::HTML::UrlUnescapeW" omite el chequeo del valor de retorno de "MPC::HexToNum", permitiendo envenenar la cadena final y evadir la restricción de lista blanca.

Para proseguir con la explotación Ormandy necesitaba una página de la documentación que cumpliese con varias condiciones, poder ser invocado directamente desde una URL ...

Leer más
Noticia publicada 11 Junio 2010, 18:18 pm por wolfbcn
xx Adobe Flash Player 10.1 final listo para descarga

por : Jesús Maturana: 11 Jun 2010, 8:12

 Tras los problemas graves que fueron descubiertos la semana pasada Adobe ha acelerado el desarrollo de Flash 10.1 y finalmente lo ha puesto a disposición del gran público dejando de lado la palabra Beta / Release Candidate.

 Si eres de los que lleva tiempo probando las versiones Beta y Release Candidate no notarás un gran cambio, pero en caso de estar utilizando Flash 10 sí. Recordamos que con Flash 10.1 ha llegado la aceleración hardware a los contenidos Flash y además se ha solucionado el bug crítico que permite el acceso y control del sistema descubierto la semana pasada.

El la nueva versión Flash Player es una actualización imprescindible o muy recomendada no sólo por la mejora en rendimiento del equipo durante la navegación por webs con Flash -ya que parte de la carga va a parar a la GPU- sino sobre todo, porque no está afectado por ese bug, que según Adobe estaba siendo explotado a través de Internet de manera reportada

 vINQulos
Descarga Flash 10.1 Adobe

FUENTE :http://www.theinquirer.es/2010/06/11/flash-101-final-lista-para-descarga.html

Leer más
Noticia publicada 11 Junio 2010, 15:50 pm por wolfbcn
xx Un ataque informático bloquea una web del Gobierno de Corea del Sur

 Una de las principales páginas web del Gobierno de Corea del Sur sufrió un ataque cibernético desde China que obligó a suspender algunos servicios durante horas, según informó el Ministerio surcoreano del Interior.

 El sitio web, que ofrece servicios e información sobre políticas públicas, sufrió fallos y retrasos durante unas cuatro horas por un ataque de denegación de servicio (DDoS, por sus siglas en inglés).

 Este tipo de sabotaje informático contra un servidor se realiza a través de órdenes automáticas ejecutadas de forma masiva desde varios equipos simultáneamente, con el objetivo de que la web quede bloqueada.

 Según la agencia surcoreana Yonhap, el rastreo realizado tras el ataque ha llevado a concluir que provino de 120 servidores ubicados en China.

 Aunque no se registraron daños debido a que el centro de computación del Gobierno surcoreano bloqueó el acceso a los servidores implicados, la Agencia Nacional de Inteligencia sigue investigando detalles sobre el origen y las consecuencias del ataque.

 El asalto cibernético ha llevado a los organismos públicos surcoreanos a tomar medidas extraordinarias para prevenir ataques "ciberterroristas", según Yonhap. En julio del año pasado, Corea del Sur sufrió un ataque similar contra varias páginas web del Gobierno, incluidas las de la Oficina de la Presidencia y del Ministerio de Defensa, así como contra portales de Internet privados.<...

Leer más
Noticia publicada 11 Junio 2010, 02:19 am por wolfbcn
xx Google tenía intención de almacenar los datos no cifrados de las redes WiFi

 Google ha publicado un informe (PDF) sobre 'gslite', el código utilizado para recoger datos de redes WiFi con sus coches de Street View.

 Este análisis establece que Google tenía el propósito de "interceptar y almacenar datos sitemáticamente", según =x-347-566346]Privacy International.

 Esto hace que la compañía se arriesgue a la interposición de una acción judicial en casi las 30 jurisdicciones en las que el sistema fue utilizado, aclara la organización, creada hace más de 20 años con el objetivo de proteger la privacidad en todo el mundo.

 Este informe, realizado por la auditoría independiente Stroz Friedberg, muestra que el sistema utilizado para recolectar los datos "separaba intencionadamente el contenido no cifrado" y lo almacenaba en los discos duros. "Esta acción va más allá del 'error' que promueve Google".

 Privacy International equipara esto con interceptar una una conversación telefónica sin consentimiento ni autorización".

 Sin embargo, como explica cnet, el informe sólo explica que la función del código era la de almacenar información no cifrada, algo que la propia compañía [url=http://www.elmundo.es/elmundo/2010/05/15/nave...

Leer más
Noticia publicada 11 Junio 2010, 02:16 am por wolfbcn
xx Hacienda advierte de un intento de fraude masivo a través de correo electrónico

La Agencia Tributaria ha detectado un envío de comunicaciones por correo electrónico en el que, suplantando al organismo tributario, se dice que: "Teniendo en cuenta la información que obra en poder de la Agencia Tributaria no ha sido posible devolverle el importe que le corresponde tras revisar su borrador de Renta en la actual campaña de Renta 09".

A continuación se solicita al receptor del correo que comunique datos supuestamente no disponibles accediendo a un enlace que lleva una dirección en la que se suplanta nuevamente la identidad e imagen de la Agencia Tributaria, para dejar allí información económica personal del contribuyente, como números de cuenta o tarjetas de crédito.

 El envío de estos correos fraudulentos, conocido como ‘phising’, fue detectado a media mañana del jueves gracias a la colaboración de los internautas que se pusieron en contacto con los servicios de información de la Agencia Tributaria. Ya se han tomado las medidas necesarias para perseguir este intento de fraude.

 La Agencia Tributaria recuerda que la mejor medida es la prevención de los usuarios ante comunicaciones sospechosas que incluyan la petición de datos bancarios y agradece la colaboración de todos para informar de este tipo de fraudes.

 Por último, la Agencia Tributaria vuelve a recordar que nunca solicita información confidencial, económica o personal, ni números de cuenta, ni números de tarjeta de los contribuyentes, por correo electrónico....

Leer más
Noticia publicada 10 Junio 2010, 22:49 pm por wolfbcn
xx Las ondas del teléfono móvil pueden perturbar el comportamiento sexual

Un grupo de investigadores del Colegio de Médicos Tokushima, en Japón ha determinado que las ondas electromagnéticas de los teléfonos móviles influye negativamente en el comportamiento sexual de los conejos, según los datos que han publicado en el International Journal of Impotence Research.

 El equipo investigador quería determinar cómo influyen las ondas electromagnéticas del móvil en el comportamiento sexual de las personas, para lo cual han utilizado conejos en las investigaciones. Así, 18 conejos masculinos fueron divididos aleatoriamente en dos grupos, uno expuesto a las radiaciones de los móviles y otro no.

 Tras un tiempo, se fueron introduciendo seis hembras progresivamente en las jaulas de los machos con el fin de analizar sus comportamientos sexuales. A continuación, se analizaron los niveles de testosterona y la dopamina.

 Los resultados del estudio han mostrado que cuando un conejo macho expuesto al móvil practicaba sexo con una hembra tanto la duración como la frecuencia de la actividad disminuía, al cansarse más rápidamente.

 Además, otros seis conejos, que estuvieron expuestos a la radiofrecuencia de un móvil en 'modo espera', vieron igualmente afectado su comportamiento sexual, en comparación con los que estuvieron alejados de estos dispositivos.

 Sin embargo, en el ensayo realizado con las hormonas no se han encontrado diferencias significativas entre los grupos seleccionados.

FUENTE :http://www.20minutos.es/noticia/733043/0/ondas/movil/sexo/

       

Leer más
Noticia publicada 10 Junio 2010, 21:23 pm por wolfbcn
xx Safari 5 no es el navegador más rápido

por : Javier Pastor: 10 Jun 2010, 18:26

 Apple no quiso hacer mención de su nuevo navegador en la keynote de la WWDC, pero al día siguiente ya estaba lanzando esta nueva versión con un mensaje muy claro, pero también engañoso: Safari 5 no es el navegador más rápido.

 Así lo demuestran las pruebas a las que han sometido al navegador, que teóricamente era superior en rendimiento a todos sus competidores, incluyendo a Google Chrome, que tradicionalmente ha dominado las pruebas de ejecución javascript.

Distintos analistas han probado dicho rendimiento pero lo han hecho con las nuevas versiones de Chrome, y no con las que utilizó Apple para dar sus afirmaciones. Incluso Opera le supera en muchos apartados, mientras que Firefox, eso sí, parece seguir quedándose atrás.

 vINQulos

 ComputerWorld

FUENTE :http://www.theinquirer.es/2010/06/10/safari-5-no-es-el-navegador-mas-rapido.html

Leer más
Noticia publicada 10 Junio 2010, 21:17 pm por wolfbcn
xx Nueva edición de Linux+

 Ya está disponible para descarga el último número de la revista electrónica Linux+. En él se abordan los siguientes temas: Hacking Arduino: ¿cómo llegar al interior y modificarlo?; Cifrado de archivos: protección con las herramientas open source; Soluciones sostenibles: tecnologías para el desarrollo humano; Aplicaciones matemáticas en sistemas GNU/Linux; Asturix: libre, abierto y para todos; KontrolPack: controla los equipos de tu red; Sé tu propio jefe.Link de descarga: aquí.

 Homesite: lpmagazine.org.

FUENTE :http://www.linuxzone.es/2010/06/10/nueva-edicion-de-linux/

Leer más
Noticia publicada 10 Junio 2010, 21:13 pm por wolfbcn
xx Microsoft: "Imposible eliminar vulnerabilidad de Office XP"

Microsoft publicó el 9 de junio un paquete de 10 actualizaciones de seguridad que en total eliminan 30 vulnerabilidades en distintas versiones de Windows, Office, SharePoint Server e Internet Explorer. Sin embargo, una de las vulnerabilidades que afectan el paquete Office no será eliminada de Office XP, con lo que Microsoft en la práctica está descontinuando el producto, un año antes de la fecha prevista.

Diario Ti: Según Microsoft, se trata de una vulnerabilidad en la validación COM, que en teoría permite la ejecución remota de código maligno.

En ésta página, Microsoft explica que el período extendido de soporte para Office XP concluye el 12 de julio de 2011, es decir, en un año más. A pesar de ello, la empresa ha decidido no publicar el parche que corregiría la vulnerabilidad en el ya antiguo paquete ofimático.

En la sección de preguntas frecuentes de ésta página, Microsoft escribe que la arquitectura que se requiere para soportar los parches que corrigen la validación mencionada no existen en Office XP. Esto haría imposible para Microsoft eliminar la vulnerabilidad resultante. Asimismo, la empresa considera que una restructuración de la arquitectura podría resultar en problemas de compatibilidad con otras aplicaciones.

Refiriéndose al tema, la empresa de seguridad informática Secunia escribe "a nuestro entender, esto implica que los productos Office XP/2002 han llegado al final de su vida útil, ya que el agujero de seguridad continuará abierto".

Secunia r...

Leer más
Noticia publicada 10 Junio 2010, 19:14 pm por wolfbcn
xx Cómo borrar tus huellas en internet

El 'derecho al olvido', a desaparecer del 'ciberespacio' o a borrar voluntariamente el rastro que uno ha dejado durante el tiempo que utiliza internet o las redes sociales comienza a abrirse camino y a ser reclamado por quienes han usado esas redes, pero puede resultar una misión prácticamente imposible.

Los expertos consultados coinciden: internet se ha convertido en una herramienta de comunicación casi imprescindible para millones de personas, muy atractiva e interesante además porque los servicios que ofrecen son gratuitos, pero esa fácil accesibilidad se torna en compleja a la hora de elegir "desaparecer" de la red. Han insistido además en la importancia de ser extremadamente cuidadosos con las informaciones, los datos y las imágenes que se suministran, con el fin de proteger al máximo la privacidad de esos datos y de evitar su utilización para fines para los que no han sido autorizados.

 Vídeos que con los años pueden ser comprometedores
Los ejemplos a los que se refieren son claros: el vídeo que un joven "cuelga" con veinte años bañándose desnudo en una playa de madrugada puede resultar divertido en su momento y para su entorno, pero ser comprometedor años después en un entorno laboral o familiar diferente.

 Durante los últimos años, se han sucedido los casos de personas que, tras alcanzar alguna cota de éxito y popularidad, se han visto "traicionadas" por aquéllas imágen...

Leer más
Noticia publicada 10 Junio 2010, 19:06 pm por wolfbcn

 

 

Conectado desde: 216.73.217.3