La empresa Core Security Technologies ha hecho públicas dos vulnerabilidades encontradas en el extendido software VLC que permiten la ejecución de código arbitrario al reproducir cierto tipo de ficheros con VLC.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux.

Al primer fallo se le ha asignado el CVE-2010-3275 y consiste en un desbordamiento de memoria intermedia basado en heap al procesar ficheros AMV con un valor en su offset 0x41 mayor que 90.

Al segundo fallo se le ha asignado el CVE-2010-3276 y consiste en un desbordamiento de memoria intermedia basado en heap al procesar ficheros NSV en los que se ha modificado el valor comprendido entre los offsets 0x0b y 0x0e.

Ambas vulnerabilidades han sido descubiertas mediante 'fuzzing'. El fuzzing es una técnica de búsqueda de vulnerabilidades que consiste en lanzar una serie de entradas mal formadas a una aplicación para tratar de encontrar un comportamiento anómalo.

Las vulnerabilidades han sido descubiertas por Ricardo Narvaja, conocido en el mundo de la ingeniería inversa por su guía "Introducción al Cracking con OllyDbg desde cero" considerada por muchos como el primer paso para adentrarse en el mundo de la ingeniería inversa.

La versión 1.1.8 soluciona estos problemas.

Más Información:

VLC Vulnerabilities handling .AMV and .NSV files
http://www.coresecurity.com/content/vlc-vulnerabilities-amv-nsv-files

VLC 1.1.8
http://www.videolan.org/vlc/releases/1.1.8.html

Alejandro J. Gómez López
 agomez@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4536

¿Puede una marca usar el nombre de otra para que su publicidad en Google salga cuando un internauta introduzca el nombre de la competencia en una búsqueda? El año pasado, un pleito de la empresa de Louis Vuitton contra Google llegó al Tribunal Europeo y este le dio la razón a Google. Ahora, el mismo tribunal debe dirimir un litigio de Interflora contra Marks & Spencer por idénticos motivos. El fiscal del tribunal ha anticipado su opinión de que Interflora tiene razón en este pleito en la medida en que esta maniobra publicitaria puede crear confusión en el consumidor. La aparente paradoja está en que, el año pasado, Google ganó la batalla. El tribunal sentenció que "cualquier empresa podrá pujar o seleccionar marcas registradas como palabras clave". Google seguía no siendo responsable del mensaje, salvo que fuera informado de su contenido ilícito. Sin embargo, la sentencia hacía una salvedad "cuando este anuncio creara confusión u ofreciera falsificaciones". Interflora no se ha querellado contra Google si no contra otra marca, cliente del servicio publicitario de la compañía del buscador. Si finalmente el tribunal encontrara responsable a la empresa de grandes almacenes de un empleo fraudulento del nombre de otras marcas, Google no sería responsable, lo sería su cliente, lo que no dejaría de introducir una fuerte cautela sobre determinados usos para administrar el emplazamiento publicitario de los enlaces patrocinados.

FUENTE :http://www.elpais.com/articulo/Pantallas/Nuevo/pleito/europeo/publicidad/Google/elpepurtv/20110326elpepirtv_2/Tes

Aumentan los internautas que organizan reuniones presenciales con otros interesados en un mismo tema

Redes sociales de internet como Grouply y sobre todo Meetup se están expandiendo más allá de sus respectivos campos de acción para promover encuentros en el mundo real. Y eso en una cultura como la actual, en la que se tiende al aislamiento y la desconfianza ante extraños en numerosos aspectos.

  En cualquier caso, quienes impulsan esta idea son conscientes del interés que sienten particulares y empresas tan diferentes entre sí como el portal de vídeos Youtube, el ciberdiario The Huffington Post o el sitio de geolocalización Foursquare, todos ellos seguidores de esta iniciativa, por concertar a sus contactos y clientes para que comenten sus proyectos o productos.

  El emprendedor Scott Heiferman es el inventor de los botones “Meetup Everywhere” y aspira a que sean tan conocidos como los que permiten que los navegantes digan “Me gusta” a propósito de alguna web que sea de su agrado. Se trata de un widget que puede incorporarse a cualquier página para que sus visitantes planeen reuniones físicas a partir de los temas que les atraen.

  La revista en línea Gawker, por ejemplo, ha auspiciado una de sus aplicaciones más curiosas con el objetivo de ayudar a los solteros estadounidenses a encontrar pareja a través de este tipo de solución digital.

  Países árabes como Túnez o Egipto han demostrado en los últimos meses que las redes sociales –especialmente Facebook y Twitter– pueden jugar un papel destacado en los alzamientos populares. En paralelo, servicios como estos muestran otras vías para que converjan lo tangible y lo virtual con finalidades que van de lo económico a lo banal.

FUENTE :http://www.lavanguardia.es/internet/20110326/54132921462/redes-virtuales-que-saltan-al-mundo-real.html

Electronic Arts y Crytek han lanzado esta semana 'Crysis 2', la esperada secuela de uno de los 'shooters' más aclamados de los últimos años. El lanzamiento destaca, entre otras cosas, por llevar la saga por primera vez a las consolas.
 
 En palabras del CEO y presidente de Crytek, Cevat Yerli: "El hecho de lanzar este juego en varias plataformas ha sido para nosotros todo un reto y en Crytek estamos muy satisfechos con el resultado".
 
 Crysis 2 lleva a los jugadores a una recreación de la ciudad de Nueva York en el año 2023, como si hubiese sido devastada y atacada una especie alienígena que posee una artillería letal para los humanos y unas habilidades sensoriales extraordinarias.
 
 En este 'shooter' subjetivo, los jugadores deben usar todos los poderes del Nanotraje 2 para multiplicar su fuerza, ser más rápidos o hacerse invisibles cuando consideren oportuno.
 
 'Crysis 2' es el primer producto de Crytek concebido para multiplataforma, gracias al potente motor CryENGINE 3. Además, se puede jugar en formato 3D estereoscópico. "Nos emociona saber que hemos hecho un producto de calidad a la vez que ofrecemos la posibilidad de explorar el universo 3D", ha explicado Yerli.
 
 El videojuego contiene seis modos de juego y 12 mapas a través de localizaciones muy famosas y reconocibles de Nueva York.

FUENTE :http://www.iblnews.com/story/61244

Sandboxie 3.54 es la última versión estable de este programa gratuito que ya está disponible para descargar. Con Sandboxie podremos proteger nuestro sistema puesto que, con él instalado, los programas se ejecutarán en un espacio aislado (sandbox). De esta forma, los programas aislados en la sandbox no podrán hacer cambios permanentes a otros programas y datos, pues se elimina el rastro de todo lo realizado en el sistema. Sandboxie es un programa gratuito, disponible en español para las versiones de 32 bits de los sistemas operativos Windows 2000, XP, 2003, Vista y Windows 7. Aunque Sandboxie es un programa gratuito, tiene algunas limitaciones, ya que existe una versión de pago. Por ejemplo, con la versión gratuita podremos forzar la ejecución de un programa con sandbox, y a partir de los 30 días aparece un aviso. El resto de características adicionales de la versión de pago están disponibles aquí.

 Sandboxie 3.54 incluye varias mejoras y correcciones respecto a versiones anteriores, tal y como se muestra en su listado de cambios. Las más relevantes son:

 - Se mejora la compatibilidad con el Service Pack 1 de Windows 7
 - La opción BlockPort puede bloquear un rango de puertos
 - Al cerrar una sesión de Internet Explorer 8 ó 9 en sandbox no se interfiere en la recuperación de sesión

 Podemos bajar Sandboxie en su versión más reciente desde el siguiente enlace a su página web oficial:

 –> Descarga Sandboxie

FUENTE :http://www.softzone.es/2011/03/26/sandboxie-3-54-protege-tu-sistema-de-infecciones-aislandolo-en-una-sandbox/

Easeus Disk Copy es un programa gratuito que permite realizar una copia exacta de tu disco duro o partición (incluyendo sistema operativo, programas, etc) para poder restaurar esta en este u otro disco duro (clonación). Easeus Disk Copy realiza una copia sector a sector del disco asegurando que sea idéntico al original y sirviéndose de un cd de arranque para crear o restaurar la imagen del disco. Ahora ya podemos descargar Easeus Disk Copy 2.3.1 su nueva versión.

Easeus Disk Copy puede clonar discos de hasta 1 TB de capacidad y es compatible con Windows 2000, 2003, 2008, XP, Vista y Windows 7.

Se puede descargar Easeus Disk Copy 2.3.1 desde el siguiente enlace:

Descarga Easeus Disk Copy

Más información en su web oficial

FUENTE :http://www.softzone.es/2011/03/26/easeus-disk-copy-2-3-1-haz-una-copia-exacta-de-tu-disco-duro-con-este-programa-gratuito/

El phishing está aquí para quedarse. No importa cómo, siempre hay una manera de engañar a la gente y llevarla a pensar que en realidad están hablando con una persona que no es un atacante en busca de ganancias ilegítimas. Esta semana vi una ola de interés de phishing cuyo objetivo eran los jugadores de World of Warcraft ™, el MMORPG (Massively multiplayer online role-playing game) más famoso del mundo.

El ataque se desarrolla de esta manera: recibes en tu bandeja de entrada un e-mail anunciando que has sido víctima de un abuso: "Una investigación de su cuenta de World of Warcraft ha encontrado fuertes evidencias de que la cuenta en cuestión está siendo vendida o cambiada" y "Si su cuenta está violando el EULA (End User License Agreement) y los Términos de uso, su cuenta será suspendida/cerrada".

Y este es el cebo, y quizás la posibilidad de que cierren tu cuenta te ponga tan nervioso que no te des cuenta de que se trata de un phishing, como se puede sospechar si uno se fija en el nombre de la marca, que está mal escrito (Blizzard Entertainmen en vez de Blizzard Entertainment®) o el dominio que lleva a la página de log-in.



Fig. 2 Falsa página de login alojada en un servidor chino. Es una copia exacta de la original.

Todo lo que se te pide hacer es visitar una página web que se parece a la que estás usando con regularidad, a continuación, se te pedirá iniciar sesión con el fin de salvar tu cuenta de ser eliminada. Una vez que hayas cumplido satisfactoriamente con la petición del atacante, tu cuenta y tu contraseña se añadirán a una base de datos y es muy probable que se vendan a otro jugador ansioso, o que te despojen de tus objetos de valor. En pocas palabras, tu cuenta será vendida---exactamente lo que el email te decía que estaba ocurriendo.

BitDefender Antiphishing intelligence que los ataques dirigidos contra jugadores de World of Warcraft ocupan el tercer lugar de los más habituales, sólo por detrás de los dirigidos contra PayPal™ y eBay®.

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/ataque-de-phishing-dirigido-a-los-jugadores-de-world-of-warcraft

La herramienta para ocultar la identidad 'online' Tor (The Onion Router) ya no es suficiente para escapar del control de los gobiernos. Lo ha confirmado el mismo equipo de la compañía, que, además, ha reconocido que conocía la vulnerabilidad y da cifras sobre el número de usuarios que tiene en el país asiático.

Según el equipo de desarrollo de Tor, Irán ha logrado crear un mecanismo para saber quién está detrás de cada mensaje enviado a la Red utilizando esta herramienta para ocultar la identidad en línea. Aparentemente, la ciberpolicía iraní está empleando tecnología DPI (Inspección Profunda de Paquetes) para 'leer' el tráfico de Internet cuando se transmite. Ya en 2009 The Wall Street Journal aseguró que Siemens y Nokia habían contribuido a dotar al país asiático de la tecnología un año antes.

"Estamos en una carrera armamentística muy lenta", dijo en declaraciones a UPI el de director ejecutivo de Tor, Andrew Lewman, que también opina que Irán está un paso por delante de China en su capacidad para rastrear y bloquear las acciones de los ciberdisidentes.

Tor para huir del control 'online'
Tor es una herramienta muy utilizada. Permite saltarse la censura 'online' gracias a un procedimiento doble que oculta la dirección IP y cifra los mensajes enviados, ya sean mensajes instantáneos o correos electrónicos. En un principio, Tor fue creado por los investigadores el ejército de Estados Unidos para su uso militar, pero después su código fue liberado y ahora es de dominio público.

Según las estadísticas de Tor, hay unas 2.800 personas que utilizan su herramienta en Irán. Su uso se disparó especialmente tras las elecciones presidenciales de 2009, un momento en el que la sociedad iraní manifestó su rechazo al resultado a través de Twitter. Marcó un momento histórico tras demostrar el potencial de las redes sociales en la movilización y el activismo político, una realidad que se ha constatado recientemente durante las revueltas que tienen lugar en Asia y África.

El triunfo de la mayoría de estas revueltas ha impedido que se tomen represalias contra los usuarios más activos en la agitación social a través de las redes sociales. Países como Egipto y Libia se han limitado a cortar Internet completamente para evitar el uso de Twitter o Facebook como herramientas políticas. Sin embargo, países más fuertes y estables como Irán, China o incluso Estados Unidos, poseedores de tecnología DPI, pueden ir directos a por los activistas si no son capaces de ocultar su identidad.

FUENTE :http://www.elmundo.es/elmundo/2011/03/25/navegante/1301064944.html

La principal web de recomendación de viajes del mundo, Tripadvisor, ha alertado esta mañana a sus usuarios de todo el mundo del robo de su base de datos de correos electrónicos, a través de un mensajede su director general a los usuarios registrados.

 La página, que asegura que las contraseñas de sus clientes están a salvo, teme que el objeto de la sustracción sea venderla a terceros para enviar correo basura (spam) y avisa de un posible aumento de mensajes no deseados en los próximos días.

 El robo de la base de datos, según la empresa californiana, no es completo y afecta solo a una "porción de usuarios". La compañía afirma haber identificado el fallo de seguridad que ha permitido el robo y haberlo reparado. "Hemos identificado la vulnerabilidad, la hemos corregido y estamos actualmente trabajando con la policía para tomar los pasos pertinentes", afirma Tripadvisor España.

 La web, que se basa en las críticas que hacen sus usuarios sobre hoteles y servicios en todo el mundo, recuerda que no recoge los datos de tarjeta de crédito de los viajeros o información financiera y que las "contraseñas siguen siendo seguras", afirma Steve Kaufer, director general de Tripadvisor.

 Bases separadas

 Uno de los ingenieros de la compañía había avisado en un foro de hackers hace unos tres meses que habían dado acceso a todos los ingenieros a todas las bases de datos, recordaba ayer la web Tnooz. Por lo general, las grandes compañías que trabajan con bases de datos de clientes almacenan separadas las direcciones de las contraseñas de acceso, y estas suelen estar encriptadas con complejos algoritmos que permiten que en caso de robo no se puedan descifrar si no se conoce la clave, según expertos en seguridad consultados por este diario.

 Las bases de datos de direcciones de correo activas son pieza codiciada para las mafias del spam, que pagan pocos miles de euros por millones de direcciones activas. Un valor que se multiplica "por 10 o incluso por 20 si van acompañadas de claves y, sobre todo, de datos bancarios", recuerda Luis Torrents, de Panda Security. "En este caso, no es tanto lo que han cogido como lo que querían conseguir", ha añadido.

FUENTE :http://www.elperiodico.com/es/noticias/ciencia-y-tecnologia/tripadvisor-alerta-del-robo-correos-electronicos-sus-clientes/952746.shtml

Creo conocerte. Te criaste en las cloacas del messenger y los chats de Terra. Puede que te pareciera buena idea hacerte una foto en el baño de casa para exponerla en sexyono. Quizá fueras de los que se hicieron un espacio en MSN Live utilizando la Comic Sans.


Llevas toda la vida haciéndo el gañán, pero ahora has llegado a facebook y aquí no se admite chándal. Permíteme que te dé 10 consejos para disimular tu garrulez digital.

• No seas tú mismo. Retén ese impulso.
• ¿Eres una persona? ¡Tu madre lo dudaba! Regístrate como hacen las personas. Crea un perfil con nombre, apellidos, y una imagen que te favorezca (hasta donde lleguen tus posibilidades).
  Para registrarte, sólo tienes que entrar en http://www.facebook.com/ y seguir las instrucciones.
• ¿Eres una empresa, asociación, grupo musical, partido político…? Si no eres persona, no te registres como una persona. Debes crear una página.
  En serio, crea una página y no un perfil, o te mato. Haz que la gente sea libre de seguirte, y deja ya de agobiar a tus contactos con que quieres que sean amigos de tu clínica de venereas.
  Para crear una página entra en http://www.facebook.com/pages/create.php
  ¡Por cierto! si facebook se entera de que utilizas un perfil personal como empresa, te lo puede cerrar cuando le dé la gana. Ay, qué rico!
• Vigila tu privacidad. Nada más apetecible que un perfil abierto para degustar cómodamente tus fotos de la noche en la que descubriste que el nudismo es mucho menos censurable al octavo Calisay.
  No contribuyas al auge del cotilleo español y restringe tu muro para que sólo lo puedan ver tus amigos.
  Para ello, haz click aquí http://www.facebook.com/settings/?tab=privacy y configura al gusto.
• No te hagas amigo de empresas. Nunca. Ellas no quieren tu amistad, ¡sólo tu dinero! Las empresas que utilizan perfiles (ver punto 3 si eres una de ellas) suelen bombardear a publicidad, etiquetarte en fotos de sus productos y ser LA ***** en general. Además, tendrán acceso a todos tus datos. A todos. Eso está feo. Que se hagan una página y tu ya le darás al “me gusta” si te sale de las narices.
  Anexo: Yo tengo un amigo que cuando una empresa le solicita amistad, directamente denuncia. ¡Lo veo perfecto y lo aconsejo!
• No te hagas amigo de personajes imaginarios. Ehhh… si, somos mayorcitos pero os pongo un ejemplo que me han contado esta mañana:
  Una madre, usuaria activa de facebook, aprovechando que a su nene se le ha caído un colmillo, se hace amiga de un tal “El Ratoncito Pérez“, para enseñárselo y dejarlo patidifused. Eso está muy bien, si no fuese porque con ese gesto está compartiendo con esa rata toda su información y las 700 fotos que ha colgado de su niño. ¿Y si resulta que “El Ratoncito Pérez” es un señor de Roncesvalles que reparte caramelos en los parques? ¿Y si es un cantautor o algo peor? ¡Vean el peligro!
• No anuncies eventos subiendo una imagen y etiquetando a todos tus contactos. Es lo más garrulo y analfabeto que puedes hacer en tu vida. Mucho más que decir CAJCO.
  Si quieres anunciar eventos, crea uno: http://www.facebook.com/events/create.php ¡es gratis!
• Desconfía de cuando tus amigos te envían enlaces que se nota que están escritos por un rusochino. No seas pavo y no piques como ellos. Ante cualquier enlace del estilo “Checa estto juego lindo! Hase click“, “la imagen más sesi del mundo, increeiible, click aquí” o el clásico “dame tu visa que te peto el cacas con un click“, NO HAGAS CLICK.
• Las aplicaciones y los juegos están muy bien. Entretienen y te evitan el pensar más de la cuenta. Sin embargo, muchas tienen un peligro: el de descubrirte como idiota. A tus contactos les importa un pepino la predicción de la brujita mierder o la galleta integral de la suerte. Tampoco les es agradable que les invites cada dos por tres a pasarse por tu granja a recoger caca de vaca o que les comuniques tu puntuación en el Trivial Preescolar. ¡Para ya, cojones!
• Olvida todo lo anterior y disfruta como una perra. Si eres un garrulo al final se acaba notando, así que ¿para qué perder el tiempo? no te cortes y ¡a darlo todo!

FUENTE :http://wallass.es/tontoriales/como-no-hacer-el-idiota-en-facebook/