De manera casi simultanea a los boletines de Microsoft del mes de marzo, se ha hecho público un exploit capaz de aprovechar un error en los permisos de . NET Runtime Optimization Service y que podría permitir a un atacante elevar privilegios.

.NET Runtime Optimization es un servicio de precompilador que trabaja una vez se ha instalado .NET y cuando el equipo se encuentre inactivo asignado tareas de baja prioridad. Se instala con .NET Framework.

El fallo y los detalles para explotarlo han sido publicado directamente sin previo aviso a Microsoft. El problema se ha confirmado para Windows XP SP3, Windows Server 2003 R2 y Windows 7, pero no se descarta que afecte a todas las versiones de Microsoft Windows.

El error reside en los permisos de escritura de .NET Runtime Optimization Service y podría ser aprovechado por un atacante local (usuario de dominio o usuario avanzado) para elevar privilegios sustituyendo el fichero mscorsvw.exe por otro que se ejecutaría con privilegios de SYSTEM al iniciarse el servicio.

Se recomienda desactivar el servicio o modificar los permisos del fichero c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

Fernando Ramírez
framirez@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4520

Publicado el 10 de marzo de 2011 por Helga Yagüe

 El sensor de movimiento de la Xbox 360 ha sido incluido en el libro Guinness de los Records, y no por ser el gadget con más usos alternativos, ni por haber sido hackeado en menos tiempo, sino por ser el dispositivo que más rápido se ha vendido de la historia.

 De esta forma, Kinect entra a formar parte del Guinness World Record por ser “el gadget de electrónica de consumo que más rápido se ha vendido en todo el mundo”.

 Es decir, que el sensor de la Xbox se ha vendido mucho más rápido que el exitoso iPhone de Apple, que el iPad y que cualquier otro dispositivo que podáis imaginar.

 Las cifras hablan por sí solas: Kinect ha vendido una media de 133.333 unidades cada día desde que se lanzó a principios de noviembre hasta los primeros días de enero.

 El resultado son 8 millones de unidades vendidas en dos meses.

 Los responsables del Guiness World Record se han rendido al periférico de Microsoft, ya que “ningún otro dispositivo electrónico se ha vendido tan rápido en un periodo de 60 días”.

 Kinect se ha llevado el premio al gadget vendido con más velocidad, pero sin duda podría llevarse también el galardón al dispositivo para el que los usuarios han encontrado un mayor número de usos alternativos.

 

 vINQulos

 Guinness World Record

FUENTE :http://www.theinquirer.es/2011/03/10/kinect-entra-en-el-guinness-de-los-records.html

 Como en años anteriores, se celebra la quinta edición del concurso Pwn2Own que nuevamente tiene lugar en Vancouver (Canadá) del 9 al 11 de marzo, donde participan los mejores hackers del mundo para encontrar vulnerabilidades en navegadores. En esta edición, los navegadores objetivo son Internet Explorer, Mozilla Firefox, Safari y Google Chrome, que deberán estar instalados bien en un sistema Windows 7 de 64 bits o bien en un Mac OS X de 64 bits. En el primer día del concurso, han caído los navegadores de Apple y de Microsoft. Conoce todos los detalles a continuación.

 El primer navegador en ser hackeado fue Safari, ejecutándose bajo un Apple MacBook Air 13″ con la última versión de Mac OS X de 64 bits. En este caso, un grupo de hackers franceses llamado VUPEN fue capaz de ejecutar la calculadora y escribir un fichero en disco desde el navegador, cinco segundos después de visitar una página web especialmente diseñada, y además sin colgar el navegador. De esta forma, el exploit se saltó los sistemas de seguridad ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention) incluidos en Mac OS X.

 Según Chaouki Bekrar, miembro del grupo VUPEN, para poder explotar esta vulnerabilidad prácticamente tuvieron que partir de cero, al no existir apenas documentación acerca de explotar vulnerabilidades en 64 bits. Además, Bekrar afirma que existen muchas vulnerabilidades en el motor javascript de código abierto Webkit.

 Por otro lado Stephen Fewer, investigador de seguridad irlandés, fue capaz de hackear Internet Explorer 8 bajo un sistema Windows 7 SP1 de 64 bits. Fewer utilizó used dos vulnerabilidades de seguridad zero-day de Internet Explorer para ejecutar código remoto y encadenó una tercera vulnerabilidad para salir de la sandbox del modo protegido de Internet Explorer. Este exploit también fue capaz de saltarse los sistemas de seguridad DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization).

 En este último caso, no se harán públicos los detalles de esta vulnerabilidad hasta que Microsoft lance un parche que la corrija.

 Tanto el grupo VUPEN como Stephen Fewer ganaron 15.000 dólares más el ordenador portátil en el cual fueron capaces de explotar la vulnerabilidad.

 ¿Qué ocurrirá en los próximos dos días? ¿Serán capaces Mozilla Firefox y Google Chrome de aguantar las embestidas de estos hackers? La respuesta la tendremos al acabar el concurso Pwn2Own 2011.

 Vía | ZDNet 1, ZDNet 2

FUENTE :http://www.softzone.es/2011/03/10/hackean-safari-e-internet-explorer-8-en-pwn2own-2011/

Llega con un pdf adjunto en el que utilizan los logos de Loterías y Apuestas del Estado, incluyen un seguro con una conocida marca aseguradora, dan un número de teléfono al que llamar e incluyen hasta códigos de barras

Las notificaciones enviadas por correo electrónico buscando víctimas que se crean que, de la noche a la mañana, se han hecho millonarios, siguen proliferando. El último ofrece un premio de 800.000 €, ni más ni menos, y está tan cuidado en diseño e información, que es lógico pensar que los internautas piquen… ¡Quién va a desperdiciar una oportunidad como ésta!

 Pero además, ahora, este tipo de timos son más sofisticados que nunca: llegan en un fichero pdf adjunto al correo en el que han incluido los logos “acreditativos” de Loterías y Apuestas del Estado, así como de La Primitiva; llega en inglés, pero todo tiene su explicación: el organismo adjudicatario solicitó la ayuda a España para la introducción de los nombres del sorteo internacional, que tuvo lugar el pasado 18 de febrero de 2011.

 

 Imagen disponible en: http://prensa.pandasecurity.com/wp-content/uploads/2011/03/GORDOLOTO.jpg

 Además, el sorteo dice venir avalado por una conocida compañía española de seguros, “SantaLucía Seguros, S.A.”, e incluye el nombre del agente designado para confirmar el premio así como su número de teléfono para contactar. Contactamos con el designado agente. Nos contesta una persona que habla en español pero con un acento extranjero. La primera pregunta: ¿de dónde llama? Al contestar, Madrid, cortó la comunicación. Seguimos llamando desde diferentes teléfonos, y en todos los casos, al dar nombres de ciudades grandes, procedía al corte de la comunicación.

 “Al archivo pdf no le falta de nada” –dice Luis Corrons, Director Técnico de PandaLabs-. “Código de barras, marca de agua con un escudo de España, firma escaneada, números de referencia, deadline para reclamar el premio… Es, sin duda, de los más completos que hemos visto en los últimos años”.

 Al final, como siempre ocurre en este tipo de timos, nos acabarán solicitando una cantidad de dinero que suele rondar los 1000€ como gastos de gestión para poder enviarnos el dinero. Una vez enviemos el pago, no veremos ni rastro del supuesto “premio” que nos ha tocado.

FUENTE :http://www.noticiasdot.com/wp2/2011/03/10/%e2%80%9c%c2%a1%c2%a1me-han-tocado-800-000-e-en-el-gordoloto%e2%80%9d-los-falsos-premios-de-la-loteria-cada-vez-mas-sofisticados/

Apple se ha adelantado a la fecha de lanzamiento prevista para la nueva versión de su sistema operativo, iOS 4.3. En un principio iba a llegar a los dispositivos móviles de la compañía mañana 11 de marzo, pero ya está disponible para todos aquellos usuarios que quieran actualizar sus terminales.

Horas antes del lanzamiento del iPad 2 en Estados Unidos, la última versión del sistema operativo de Apple ya está a disposición de los usuarios, tal y como ha confirmado Europa Press. Teóricamente, iba a ver la luz a la par que la nueva tableta de la compañía, pero la compañía se ha adelantado a sus propios planes. Los dispositivos que podrán ser actualizados a esta nueva versión son los iPhone 3GS y iPhone 4, los iPod Touch de tercera y cuarta generación y los dos modelos de iPad.

Entre las novedades de esta versión 4.3 encontraremos la potenciación de los terminales como servidores de contenidos y de conexión a la Red. Personal Hotspot nos ofrecerá la posibilidad de crear un punto WiFi en cualquier lugar, tan sólo con la conexión 3G del iPhone 4. De este modo, es posible compartir la conexión de datos de un iPhone 4 hasta con cinco dispositivos en combinaciones de hasta tres equipos Wi-Fi, tres Bluetooth y uno USB. Permitirá conocer siempre cuántos dispositivos están en red y se podrá agregar una contraseña para las conexiones. iOS 4.3 permite esta posibilidad, aunque hay que estar atentos a las posibles restricciones que pongan al servicio los distintos operadores, algunos de los cuales no permiten tethering en algunas tarifas de banda ancha móvil.

Mientras, la herramienta Compartir en Casa permite hacer stream de música y vídeo desde el terminal hacia un máximo de cinco ordenadores en la red local. Así, se verán mejoradas las capacidades de AirPlay, servicio que permite disfrutar en la televisión de contenidos transmitidos en streaming desde estos dispositivos, aunque para acceder a este servicio será necesario -aparte de la actualización a iOS 4.3- una unidad de Apple TV.

Asimismo se han incluido mejoras en el rendimiento del navegador Safari, que al hacerse con el motor Nitro javascript renderiza las páginas más rápido. iTunes también se ha visto mejorado, mientras que se han añadido nuevas funciones para el interruptor lateral del iPad. La actualización a esta versión ocupa aproximadamente 600 MB, aunque depende del terminal que a actualizar.

FUENTE :http://www.adslzone.net/article5599-ios-43--apple-lanza-la-ultima-version-de-su-sistema-operativo-antes-de-lo-esperado.html

Hacienda es uno de los infractores al mostrar datos personales en los mensajes

Las denuncias por el envío de correos electrónicos donde se dejan a la vista los destinatarios se han duplicado en los últimos dos años. Las quejas recibidas en la Agencia Española de Protección de Datos (AGPD) fueron "residuales" hasta 2009, pero el año pasado se contabilizaron 24 y en lo que va de 2011 ya hay nueve presentadas ante este organismo por el envío de correos sin ocultar a los receptores en el campo CCO. Recomendación: envíese el mensaje a sí mismo y el resto de destinatarios escríbalos en el apartado CCO del encabezado del mensaje.

De las 24 investigaciones iniciadas en 2010, cuatro fueron archivadas al no apreciarse vulneración de la ley, seis terminaron en sanción, una en declaración de infracción (el procedimiento que se aplica a los administradores), y otras cinco están pendientes de ser resueltas. En las restantes, tras iniciarse el trámite, se determinó que no había infracción.

 La mayoría de sanciones fueron impuestas por "remitir correos electrónicos revelando direcciones sin utilizar la copia oculta (CCO), incurriendo en una vulneración del deber de secreto recogido en el artículo 10 de la ley orgánica de protección de datos". En este artículo se dispone que "el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo". El correo electrónico se considera un dato personal desde 1999.

 Bankinter fue una de las entidades sancionadas por enviar a varios clientes (la lista ocupaba dos folios y medio) un correo sobre un plan de pensiones sin utilizar la copia oculta en abril de 2010. La sanción, considerada leve, ascendía a 3.000 euros, pero el banco recurrió alegando que era un "error involuntario" de un empleado. Finalmente, el organismo rebajó la multa a 2.000 euros al considerar que no hubo "intencionalidad" y que la entidad financiera tenía un "código de ética profesional" al respecto.

 Las felicitaciones navideñas masivas también dan disgustos. Lo sabe bien el grupo inmobiliario Sánchez Romero, sancionado con 3.000 euros de multa por remitir una felicitación en el que se hacían públicas 2.000 direcciones en una lista que ocupaba más de cuatro folios.

 Incluso el Ministerio de Economía y Hacienda viola datos personales, aunque en su caso se ha librado de la multa -nos hemos librado todos- porque la ley no prevé sanciones económicas para los organismos públicos. La AGPD sí exigió al ministerio que adopte las medidas internas "que impidan que en el futuro pueda producirse una nueva infracción".

 La mayoría de denuncias contra particulares -por enviar sin copia oculta un chascarrillo a todos sus contactos, por ejemplo- terminan archivadas porque los correos electrónicos remitidos en el ámbito personal o doméstico no entran dentro del ámbito de aplicación de la normativa. En cualquier caso, la AGPD analiza "caso por caso" la relación que existe entre el emisor y el receptor del mensaje, porque "la clave está en averiguar si a quien envía el correo electrónico facilitando la dirección de terceros se le aplica la ley o puede ampararse en la excepción doméstica".

 Desde el sábado, las cosas han cambiado: vulnerar el secreto de los datos personales se considera una infracción grave tras la entrada en vigor de la Ley de Economía Sostenible, que también modifica el régimen sancionador de la normativa de protección de datos. Ahora, las infracciones leves oscilan entre 900 y 40.000 euros, las graves entre 40.001 y 300.000 euros y las muy graves entre 300.001 y 600.000 euros. El cambio también permite, en determinadas circunstancias, atenuar la sanción al incorporar la figura del "apercibimiento". Esta medida limitada y excepcional se aplicará cuando se comete la primera infracción, no es muy grave y el denunciado tome las medidas necesarias para corregir la situación en un plazo determinado.

FUENTE :http://www.elpais.com/articulo/Pantallas/Crecen/denuncias/ocultar/receptores/correo/multiple/elpepurtv/20110309elpepirtv_2/Tes

 La aplicación generalizada del llamado canon digital podría ser historia en España en breve, sobre todo a raíz de la reciente sentencia de la Audiencia Provincial de Barcelona, que eximía a la compañía Padawan del pago del controvertido gravámen a la SGAE.

 Mientras, los abogados Javier de la Cueva y David Bravo preparan una serie de recomendaciones para "administraciones públicas y empresas que quieran recuperar lo indebidamente abonado en concepto de canon", comenta David Bravo.

 De hecho, la principal intención de ambos letrados es "demostrar a la administración pública que hay una vía jurídica seria para recuperar dinero del contribuyente pagado indebidamente en concepto de canon para instarles a que se pongan a ello".

 Para ello, se han puesto manos a la obra y escribirán una serie de artículos (cuyo número aún no está decidido) que "abarcarán todas las cuestiones prácticas que se necesitan para poner en pie una demanda bien fundamentada", comenta Bravo.

 Estos artículos, además, están pensados para que todo el mundo los pueda entender, a pesar de que están escritos desde un punto de vista jurídico.

 'Enriquecimiento injusto'
 El primero de ellos, ya publicado, incide en tres aspectos. Por un lado, explica la justificación de este gravamen y define el canon digital como una excepción al derecho de autor. Concretamente, limita dicha justificación a aquellas copias para uso privado realizadas por personas físicas.

 Por otro lado, y a pesar de que la liquidación del canon digital a las entidades de gestión de derechos de autor han de realizarlas los fabricantes y distribuidores, razona que los usuarios finales son, al fin y al cabo, los "deudores indirectos del canon".

 Por último, entra a explicar "la acción de enriquecimiento injusto para reclamar el canon indebidamente cobrado a empresas y administraciones públicas".

 David Bravo adelanta además que estos artículos "tendrán en cuenta todas las sentencias dictadas hasta la fecha sobre el canon para evitar determinadas cuestiones jurídicas, que en algunos artículos doctrinales sobre este asunto hemos comprobado que se están pasando por alto y que, sin embargo, son esenciales para que pueda prosperar una demanda de este tipo".

FUENTE :http://www.elmundo.es/elmundo/2011/03/09/navegante/1299674797.html

Publicado el 9 de marzo de 2011 por Jaime Domenech

 Apple publicó ayer un anuncio en su página de asistencia técnica, en el que alertaba sobre posibles fallos en sus ordenadores originados por la conexión de algunos hubs USB.

 Según la compañía, algunos hubs USB y los dispositivos conectados a ellos podrían desconectarse de manera inesperada, cuando se despierta el ordenador del estado de suspensión.

 Esto podría causar inestabilidad en las aplicaciones funcionando en el sistema, o pérdida de datos, si un dispositivo conectado estaba siendo empleado para almacenar la información de un documento abierto.

 Además, también podrían aparecer problemas con las impresoras conectadas mediante el hub USB, ya que ya que el sistema igual no las reconocería correctamente.

 Apple explica en el anuncio los múltiples supuestos en los que el problema podría afectar a los usuarios que conecten hubs USB y ofrece recomendaciones para evitarlo.

 En ese sentido, la marca afirma que se debe evitar conectar dispositivos USB como teclados, ratones, o dispositivos de almacenamiento a través de un hub USB, y lo seguro es hacerlo directamente a través de los puertos USB del ordenador.

 También recomiendan utilizar el botón de encendido del ordenador para despertarlo del estado de suspensión, en lugar de emplear un dispositivo que esté conectado a un hub USB.

 Por último, aclaran que no pueden dar una lista de hubs funcionan o causan problemas, porque los fabricantes cambian sus especificaciones sin previo aviso.

 vINQulos

 ZDNet, Apple Support

FUENTE :http://www.theinquirer.es/2011/03/09/apple-reconoce-que-algunos-hubs-usb-pueden-causar-problemas-en-sus-equipos.html

 La clásica de GNU/Linux, Gentoo Linux, se renueva con el lanzamiento oficial de su versión 11.0, disponible para plataformas 32 y 64 bits. En el LiveDVD encontraremos el kernel 2.6.37 (con parches de Gentoo), glibc 2.12.2, gcc 4.5.2; en cuanto al escritorio, encontraremos KDE SC 4.6, GNOME 2.32, Xfce 4.8, los ligeros windows managers Enlightenment 1.0.7, Openbox 3.4.11.2, Fluxbox 1.3.1, XBMC 10.0; en cuanto a la ofimática, OpenOffice 3.2.1, GnuCash 2.2.9 o Scribus 1.9.3; y otras aplicaciones habituales como Firefox 3.6.13, Seamonkey 2.0.11, Pidgin 2.7.10, Thunderbird 3.1.7, Qtwitter 0.10.0 o Amarok 2.4, GIMP 2.6.11 o Blender 2.49b, entre otras. Aquí encontraréis el anuncio oficial y los enlaces de descarga.

 Homesite: gentoo.org.

FUENTE :http://www.linuxzone.es/2011/03/09/gentoo-linux-11-0/

El exlíder de Solidaritat Catalana Joan Laporta ha denunciado este miércoles ante los Mossos d'Esquadra los ataques informáticos que en los últimos días han sufrido su página y su perfil personal en redes sociales de Internet como Facebook, así como el de su partido, Democracia Catalana.

 Estos ataques informáticos, que se iniciaron hace algunos días con la modificación de las claves de acceso para controlar el perfil personal de Laporta y el de Democracia Catalana, se han intensificado en las últimas horas con la eliminación o sustitución de algunos contenidos.

 Según ha explicado el portavoz de Laporta, los ataques han sido denunciados esta mañana ante los Mossos d'Esquadra y hasta el momento ignoran su procedencia y el autor o autores de "esta suplantación de la personalidad".

FUENTE :http://www.20minutos.es/noticia/983540/0/laporta/redes/sociales/