Categoría: Blog

Ejecución remota de código en Adobe Macromedia Flash Player

Se han identificado dos vulnerabilidades en Adobe Macromedia Flash Player que pueden ser aprovechadas por atacantes para ejecutar código arbitrario o provocar una denegación de servicio.

El primer fallo se debe a un error motivado por un acceso a memoria inadecuado a la hora de interpretar ficheros en formato SWF especialmente manipulados. Esto puede ser aprovechado para ejecutar código con sólo visitar un enlace en el que se reproduzca un fichero que pretenda aprovechar esta vulnerabilidad. Al parecer sólo la versión 8.0.24.0 se ve afectada.

El segundo fallo se debe a un error no especificado a la hora de manejar ficheros SWF especialmente manipulados. Esto puede ser aprovechado por algunas páginas para que, cuando sean visitadas, provoquen que deje de responder el navegador al que el reproductor está enlazado. Las versiones 8.0.24.0 y anteriores son vulnerables.

Estas vulnerabilidades fueron descubiertas por Fortinet el 28 de noviembre de 2005 y el nueve de junio de 2006 respectivamente pero ha sido ahora, cuando Adobe Macromedia ha publicado una nueva versión, que se han hecho públicas.

Se recomienda actualizar a la versión 9.0.16.0 desde aqui o directamente desde aqui

Para conocer qué versión utiliza cada posible navegador en el sistema, se puede visitar esta página.

Via Hispasec

Lecturas para el verano

Ayer me hice con estos dos libros.

Por un lado el ya comentado «La revolución de los blogs», que publicó José Luis Orihuela, y que da un repaso al mundo de los blogs. Como anécdota decir que hay una reseña a esta humilde bitácora, en la página 237 del libro.

El otro, ha sido una decisión no muy meditada. Simplemente había oido hablar muy bien del anterior libro de Douglas Coupland, llamado Microsiervos, y al ver este nuevo lanzamientos, me he atrevido a comprarlo. También debo decir que tanto el título (JPOD) como la portada y la sinopsis del mismo, me han atraido poderosamente.

Daré proximamente mi impresión de ambos.

Teddy Bautista se congratula de la nueva LPI


Una imagen y un texto:

Querido socio:

Como sin duda sabrás, el pasado 22 de junio el Congreso de los Diputados aprobó la reforma de Ley de Propiedad Intelectual (LPI) por la que se transpone la Directiva comunitaria relativa a la armonización de determinados aspectos de los derechos de autor y de los derechos afines en la sociedad de la información.

Esta modificación ha venido precedida de un intenso debate público en el que nuestros derechos han sido cuestionados por las empresas fabricantes de soportes y componentes electrónicos y por las televisiones privadas, que han centrado fundamentalmente sus críticas en el canon compensatorio por copia privada y en la remuneración a los creadores audiovisuales por la comunicación pública de sus obras. Ambos puntos, entre otros, han sido satisfactoriamente reconocidos y apoyados. De ahí que la SGAE haya trasladado su agradecimiento al Gobierno de la Nación y a los partidos políticos que suscribieron las posiciones que defendíamos. Somos conscientes, no obstante, de que con esta reforma no concluyen las reivindicaciones de nuestro colectivo. Tendremos que seguir trabajando para que la legislación mejore las cotas de protección de los derechos autorales y garantice un marco óptimo de estímulo a la creación.

La aprobación final del texto ha exigido un importante esfuerzo de presión, negociación y movilización, que ha resultado clave para que esta Ley, de vital importancia para todos nosotros, continúe siendo el pilar fundamental que garantice nuestros derechos como creadores en una época en la que el orden digital ha sustituido al analógico.

Una vez más, hemos comprobado que la unidad de los autores constituye la mejor herramienta de defensa de sus derechos, una circunstancia por la que todos debemos felicitarnos. Quiero, pues, agradecerte, en mi nombre y en el de la Junta Directiva, el apoyo que nos has prestado a lo largo de toda la tramitación parlamentaria.

Afectuosamente,

Eduardo Bautista
Presidente del Consejo de Dirección
Sociedad General de Autores y Editores

Yo creo que están relacionados, no?.

Via Escolar

Microsoft patrocina una aplicación para convertir documentos Office a OpenDocument


Leo en Sentido web que Microsoft va a elaborar una herramienta que permita convertir documentos propietarios, a documentos en formato OpenDocument.

Bien, me parece bien, aunque avisan que habrá fallos, por los formatos que no sean compatibles. No se muy bien lo que puede significar. Tal vez Microsoft le esté viendo las orejas al lobo, o simplemente quiera introducirse en estos formatos. Otros ya lo hacían al revés y no le han dado tanta importancia.

Redes y cognición

El volumen 10 de la revista Redes ha sacado un monográfico sobre redes y cognición con los siguientes temas desarrollados:

*Prólogo: Del atomismo al relacionismo. La red socio-cognitiva como paradigma del cambio operado en la concepción de lo social y de la cognición
*Redes heterogéneas de discusión y pluralismo cognitivo
*La psicología social en España: estructuras de comunidades
*Representación de estructuras argumentativas mediante el análisis de redes sociales
*El poder del ejemplo: un análisis reticular del rodaje de una escena cinematográfica
*El cambio en las redes: una aproximación a las relaciones sociales desde el lenguaje, la representación y la institucionalización
*La construcción de indicadores biográficos mediante el análisis reticular del discurso. Una aproximación al análisis narrativo-biográfico
*Las representaciones fácticas y cognitivas del relato de entrevistas biográficas: un análisis reticular del discurso
*Reconstrucción de las redes sociales: el caso de las FARC, el ELN y las ACCU-AUC
*La ciencia de las redes. Reseña de “Six Degrees. The Science of a Connected Age” de Duncan Watts

Todo está disponible aqui

Phising, de nuevo.

Hoy parece que es un día de alto riesgo en esto del phising.

Banesto era el «protagonista» de un intento bastante elaborado, y yo recibía este correo:
Estimado cliente,

Es muy importante a leer.
Puede ser que Usted haya notado que la semana pasada nuestro sitio www.gruposantander.es funcionaba inestable y se observaban frecuentes intermitencias.
Hemos renovado nuestras instalaciones bancarias y ahora el problema esta resuelta.
Pero para una capacidad de trabajo correcta de sus cuentas bancarias, le pedimos a Usted introducir los detalles completos de la cuenta para que pudamos renovar nuestra base de los clientes y comprobar nuestro sistema nuevo de proteccion de los datos.

Tome este enlace www. gruposantander .es para verificar sus datos bancarios.
Esta carta es automaticamente mandada a cada cliente del Banco Santander Central Hispano, no hay necesidad a responder.

Con respeto,
El servicio del mantenimiento tecnico del Banco.

El enlace, no era a esa dirección, obviamente, te envíaba a una con dominio tk. A la saaaaaca!!

Campus Party, 10º aniversario


Entre el 24 y 30 de Julio se celebrará la 10ª edición de Campus Party, en Valencia.

Este año los temas son:
ASTRONOMÍA
CAMPUSBOT
CAMPUSCREA
CAMPUS I+D
DESARROLLADORES
JUEGOS
MODDING
SIMULACION
SOFTWARE LIBRE
CAMPUS E-GOV
CAMPUS CINEMA

Contarán con 3.7 Gb de salida a Internet, y Stephen Hawking, uno de los científicos más destacados de nuestro tiempo, saludará desde las pantallas gigantes instaladas en Feria de Valencia y hablará en exclusiva para Campus Party de la importancia de las nuevas tecnologías de la información.

Toda la información aqui.

Vulnerabilidad en la memoria de Internet Explorer

Van cayendo como gotas, poco a poco, y ninguna semana falla:

Se ha identificado una vulnerabilidad en Microsoft Internet Explorer que puede ser aprovechada por atacantes remotos para, potencialmente, ejecutar código arbitrario.

El fallo se debe a un error de corrupción de memoria en el control de ayuda HTML (hhctrl.ocx) a la hora de procesar la propiedad «Image»
especialmente manipulada. Esto podría ser aprovechado por atacantes para provocar una denegación de servicio en el navegador si se envía a esa propiedad una cadena muy larga varias veces. Potencialmente, podría ejecutarse código arbitrario si un usuario visita una página especialmente manipulada.

No están definidas claramente las versiones en las que el sistema es vulnerable. La prueba de concepto se ha ejecutado con éxito en Windows XP Service Pack 2 completamente parcheados. Según su descubridor, HD Moore, el fallo fue notificado a Microsoft el día seis de marzo.

No se tiene constancia de que la vulnerabilidad esté siendo aprovechada en forma masiva. Se recomienda deshabilitar en el navegador la opción «Ejecutar controles y complementos ActiveX» en la zona de Internet o usar alternativas a la navegación.

Via Hispasec y BrowserFun