domingo, 30 de septiembre de 2012

Según análisis de NSS Labs, Internet Explorer 9 es el navegador más seguro que hay.


Según análisis de NSS Labs, Internet Explorer 9 es el navegador más seguro que hay.
Particularmente utilizaba Internet Explorer 8 en Windows XP y ahora Internet Explorer 9 en Windows 7 y nuca he tenido problemas para descargar una pagina o me he quejado de su velocidad a diferencia de otros navegadores que si bien es cierto que son rápidos, no es menos cierto que me hacen la vida imposible al tener que descargar plugins o cualquier otro complemento para poder visualizar ciertas paginas y hasta en algunos casos ni las puedo ver.
La seguridad de Internet Explorer 9
Según un par de informes que la empresa dedicada a temas de seguridad en la red NSS Labs ha puesto a disposición de todo aquel que quiera verlos, Internet Explorer 9 es el navegador más seguro de entre todos sus principales competidores: Chrome, Firefox y Safari (Opera no aparece). Veamos los datos con algo más de detalle.
Las distintas versiones sobre las que se han realizado los análisis son Safari 5, Chrome (versiones de la 15 a la 19), Internet Explorer 9 y Firefox (versiones de la 7 a la 13) en una máquina virtual con Windows 7 para cada uno de ellos. No aparecen las últimas versiones porque el estudio, pese a que los informes han sido distribuidos ahora, se llevó a cabo entre los meses de diciembre de 2011 y mayo de 2012 (concretamente durante un período de 175 días).
Los análisis se centran en el bloqueo de malware y el fraude por clic. En el primero de los casos se han usado 84.396 URLs activas maliciosas en los cuatro navegadores, llegando a 750.000 tests realizados por navegador (el total de tests es de 3.038.324). Los resultados sorprenden un poco, sobre todo por la poca seguridad que ofrecen tanto Firefox como Safari y la irregularidad que muestra Chrome. Lo podemos ver en el siguiente gráfico:
IE9 consigue una media de bloqueo de malware del 95%, mientras que Firefox y Safari no superan el 6%. El ratio de bloqueo de Chrome varía del 13% al 74%, según el informe debido a los constantes cambios en las tácticas de protección que se han ido produciendo entre los desarrolladores de antimalware y los que generan códigos maliciosos. Resulta curioso ver cómo estos cambios no se ven reflejados en las distintas versiones de Firefox de forma tan acusada.
Por otro lado, en cuanto al fraude por clic, el segundo informe nos arroja este gráfico, entre otros:
La barra verde corresponde al ratio de bloqueo de URLs con fraude por clic, mientras que la barra azul hace referencia a otros tipos de malware. De nuevo Internet Explorer 9 arroja los mejores porcentajes de bloqueo. En general, los resultados tienen sentido si los comparamos con el gráfico anterior. Aquí lo más curioso es que, en Chrome, la diferencia entre el bloqueo de fraude por clic y la de otro tipo de malware es mucho más acusada que en el resto (aunque supera,por poco, a Firefox y Safari).
Si quieres ver los informes completos no tienes más que descargarlos a través de los enlaces que aparecen al final del post, pero según estas pruebas lo que sí parece quedar claro es que IE9 es un navegador mucho más seguro que el resto. Sería interesante poder realizar de nuevo estos análisis con las últimas versiones de todos los navegadores y ver si sus desarrolladores se han puesto las pilas o siguen cojeando aquí, así como la inclusión de Opera.
 
Más información:

sábado, 29 de septiembre de 2012

CarSafe, una aplicación para Android que te ayuda a evitar accidentes de transito.


CarSafe, una aplicación para Android que te ayuda a evitar accidentes de transito.
 
 
Cada año mueren miles de personas en accidentes de coche. Cosas tan básicas como distraerse hablando con el de atrás o quedarse dormido durante unos segundos marcan la línea entre la vida y la muerte.

Los fabricantes de coches llevan años estudiando sistemas que ayuden a que estos accidentes se reduzcan pero, ni se han encontrado las tecnologías óptimas para ello ni la implementación de lo que hay es del todo factible.

Sin embargo, un grupo de investigadores de la Universidad de Dartmouth parece haber dado con la solución a este problema. Y lo mejor de todo es que no se requiere de un hardware especial, sino tan sólo de un Smartphone Android y de la aplicación CarSafe.

Efectivamente, los investigadores han creado una aplicación Android para evitar accidentes de coche. El sistema utiliza las dos cámaras del móvil y hace uso de la realidad aumentada para tomar referencias de cosas tan básicas como la dirección de la mirada, el seguimiento de los párpados por si se cierran durante más de x segundos… Además, CarSafe también crea un mapa virtual de la carretera con la cámara trasera y vigila que, por ejemplo, no invadamos una línea continua o que simplemente nos acerquemos demasiado al vehículo de delante.

aplicacion android carsafe accidentes

Es curioso que CarSafe, haciendo uso de las cámaras de un Smartphone, pueda ofrecer un sistema de control de conducción más avanzado que ningún otro sistema desarrollado hasta ahora.
 
Para más información pueden ver el siguiente video:http://www.youtube.com/watch?v=tAd_sSfhZTw
 
Video
 
 
 
 
Más información:

viernes, 28 de septiembre de 2012

Corregidas 24 vulnerabilidades de Google Chrome.

Corregidas 24 vulnerabilidades de Google Chrome.
El equipo de Google Chrome ha anunciado la disponibilidad de la versión 22.0.1229.79 de su navegador, en la que han corregido un total de 24 vulnerabilidades. Se trata del número máximo de vulnerabilidades corregidas en una sola actualización.

A las vulnerabilidades se les ha asignado los CVEs que van desde CVE-2012-2874 al CVE-2012-2897 (ambos incluidos), y han sido catalogados con cuatro niveles de severidad distintos:

* Una de carácter crítico (CVE-2012-2897), que podría corromper la memoria del núcleo en Windows 7 y por tanto permitir la ejecución de código arbitrario.

* 15 de gravedad alta. Entre las que se destacan los errores de diversos manejadores, errores de liberación de memoria previamente liberada (use-after-free), y fallos en el motor gráfico y visor de PDFs.

* Cinco de gravedad media. Que contienen errores de condición de carrera y doble liberación.

* Tres de gravedad baja. Causarían una corrupción de la tipología del DOM, salto de restricciones al bloquear ventanas emergentes y una debilidad sobre IPC.

El programa 'Vulnerability Rewards Program' de Google, que recompensa a los buscadores de vulnerabilidades, ha desembolsado un total de 29.000 dólares a los investigadores que han descubierto estos problemas.

Más información

Chrome Releases: Stable Channel Update
http://googlechromereleases.blogspot.dk/2012/09/stable-channel-update_25.html

Microsoft Security Essentials se actualiza a la versión 4.1.522.0.


Microsoft Security Essentials se actualiza a la versión 4.1.522.0.
 

 
Ya se encuentra disponible ya sea mediante Windows Update o por descarga bajo demanda, la ultima versión del software antivirus de Microsoft.
 

Acerca de Microsoft Security Essentials

Microsoft Security Essentials te ayuda a protegerte de virus, spyware y otros software malintencionados. Ofrece protección en tiempo real para tus PC de casa o de tu pequeña empresa.Microsoft Security Essentials es gratis* y se ha diseñado para que sea fácil de instalar y usar. Se ejecuta discretamente y con eficacia en segundo plano, por lo que no es necesario preocuparse de actualizaciones o interrupciones, ya que todo trabaja automáticamente para ti.
¿Necesitas seguridad para tus negocios?
Microsoft Security Essentials está disponible para pequeñas empresas con hasta 10 PC. Si tu empresa tiene más de 10 PCs, puedes protegerlos con Microsoft System Center 2012 Endpoint Protection.
Vea nuestro tutorial paso a paso donde aprenderá desde instalación y configuración hasta como saber si está funcionando apropiadamente. Leer: Tutorial de Microsoft Security Essentials.
* Tu PC debe tener una copia original de Windows para instalar Microsoft Security Essentials. Durante la descarga, pueden aplicarse tarifas de conexión a Internet.
¿Qué es Microsoft Security Essentials?En Internet merodean una gran cantidad de peligrosos intrusos, como los virus, los troyanos, los gusanos y el spyware. Microsoft Security Essentials ofrece una excelente protección contra todos estos intrusos sin interrumpir tus actividades.
Cerebro y músculo en segundo plano
Microsoft Security Essentials está diseñado para hogares y pequeñas empresas, pero se basa en la misma tecnología que Microsoft usa para proteger a grandes multinacionales con varios productos de seguridad, como Microsoft Forefront, la Herramienta de eliminación de software malintencionado o Windows Defender. Contamos con un equipo entero exclusivamente dedicado a buscar nuevas amenazas y a diseñar nuevos mecanismos para acabar con ellas.
Estamos muy orgullosos por el gran reconocimiento que han recibido nuestros productos de protección: el premio VB100 de Virus Bulletin Ltd., la certificación Checkmark de West Coast Labs y la certificación de ICSA Labs.
Fácil de conseguir y usar
Descargar e instalar Microsoft Security Essentials es fácil y, además, gratis*. Una vez instalado, el software se actualiza automáticamente una vez al día. Estamos continuamente rastreando nuevas amenazas y mantenemos tu PC actualizado para protegerte. Y no es necesario que hagas nada.
Microsoft Security Essentials usa la ya conocida codificación en colores verde, amarillo y rojo para designar el estado de seguridad de tu PC, y un icono con codificación en color en la barra de tareas te informa de un vistazo si es necesaria tu atención. Es fácil: si está verde, todo va bien. Sin embargo, si ves un icono amarillo o rojo, Microsoft Security Essentials te avisará y recomendará lo que tienes que hacer (puedes actuar directamente desde el área de notificaciones sin necesidad de entrar en la aplicación).
Se ejecuta discretamente sin influir en el rendimiento del PC
Microsoft Security Essentials se ejecuta silenciosamente en segundo plano. Recibirás una alerta únicamente si deben realizarse acciones específicas y en el momento en que deban realizarse. Si no estás presente o estás demasiado ocupado para realizar la acción predeterminada, Microsoft Security Essentials puede hacerlo en tu lugar y, si así lo deseas, tienes la opción de abrir el programa más adelante para revisar y ajustar las acciones realizadas.
Microsoft Security Essentials es eficaz y compacto. Los exámenes y las actualizaciones se programan para ejecutarse cuando el PC está inactivo y el software trabaja de tal modo que tu PC pueda seguir funcionando con rapidez. Todo esto convierte a Microsoft Security Essentials en un programa apto para cualquier tipo de equipo: un PC antiguo o nuevo, un PC portátil o un PC ultraportátil.
*Tu PC debe tener una copia original de Windows para instalar Microsoft Security Essentials. Durante la descarga, pueden aplicarse tarifas de conexión a Internet.
Microsoft Security Essentials se encuentra disponible en varios idiomas y configuraciones regionales. Para descargarlo, elige un idioma o configuración regional de la siguiente lista. A continuación, elige el sistema operativo para iniciar el proceso de descarga.
 
Más información:

miércoles, 26 de septiembre de 2012

Mientras los hombres quieren parecer más inteligentes, las mujeres quieren parecer más atractivas en las redes sociales.


Mientras los hombres quieren parecer más inteligentes, las mujeres quieren parecer más atractivas en las redes sociales.
 
iStock_000012584795XSmall
 
En las redes sociales, casi todas las personas quieren ofrecer imágenes mejoradas de sí mismas, y de hecho la mitad de los españoles reconoce que querría parecerse a su perfil digital. Además, mientras que las mujeres intentan mostrarse más atractivas, los hombres se preocupan de ofrecer una imagen divertida e inteligente, según revela una encuesta realizada por Intel.

El 54 por ciento de las encuestadas reconoció retocar sus imágenes On line, mientras que los hombres centran su esfuerzos en postear frases que les hagan parecer más interesantes. Además, el estudio encuentra diferencias entre países: en Holanda y la República Checa la gente presume en la red de su familia y de sus mascotas, mientras que en Egipto y en los Emiratos Árabes los encuestados intentan que el personaje proyectado en la red tenga un aura más intelectual.

Además, según otro estudio llevado a cabo por la compañía en Australia, Brasil, China, Francia, India, Indonesia, Japón y Estados Unidos, mucha gente reconoce haber mentido en el ciberespacio, por ejemplo cerca del 33 por ciento de los japoneses encuestados admitieron haber difundido mentiras alguna vez, y más de la mitad reconocieron tener varias personalidades en Internet.

Apple debe estar preocupada por la lluvia de problemas con el iPhone e iOS.


Apple debe estar preocupada por la lluvia de problemas con el iPhone e iOS.
 
 
 
Como ya había escrito hace días, pasó la borrachera del iPhone 5 y como era de esperarse, ya en manos de los usuarios, comenzaron las quejas. El sistema operativo de Apple iOS está dando de que hablar y no son cosas buenas por cierto, entre fallas y vulnerabilidades, Apple tiene un problema entre las manos con sus consumidores que son muy exigentes y esperan de sus productos nada menos que perfección.
 
Grave vulnerabilidad en el navegador de iOS

Los investigadores holandeses Joost Pol y Daan Keuper de la empresa de seguridad Certified Secure mostraron en la competición Mobile Pwn2Own durante la EuSecWest Conference de Amsterdam una vulnerabilidad grave en el navegador de iOS 5, que permite la ejecución de código

iOS 5 es el sistema operativo móvil que utiliza Apple en sus dispositivos iPhone, iPad e iPod Touch. En esta ocasión para demostrar la vulnerabilidad, Pol y Keuper utilizaron un iPhone 4S, aunque pudo haber sido un iPad. Incluso especulan que podría funcionar en el nuevo iPhone 5 porque la versión para desarrolladores de iOS 6 también es vulnerable.

La vulnerabilidad se encuentra en el navegador WebKit. Para aprovecharla sería suficiente con engañar a un usuario para que visite una página web maliciosa o comprometida donde se ejecute el código del exploit, consiguiendo enviar los datos del dispositivo (agenda de contactos, fotos, vídeos, historial de navegación, etc.) a un servidor del atacante.

Pol y Keuper explicaron que su exploit, realizado en tan solo tres semanas y durante su tiempo libre, logra evitar las restricciones de código firmado de Apple (gracias a una función que utiliza el motor JIT para JavaScript) así como eludir los mecanismos de seguridad (sandbox) de Safari. El exploit podría incrustarse en una página web, legítima o no.

En este caso (como ocurrió con un grave problema en Android destapado en el mismo concurso) tampoco se han desvelado los detalles técnicos de la vulnerabilidad. Advierten que el error en sí es básico, pero que han tenido que encadenar bastantes fallos para poder explotarla correctamente. Los descubridores han ganado 30.000 dólares por el descubrir el problema.

Este fallo se desvela después de que se haya publicado recientemente una nueva versión del sistema operativo iOS (el 6) que además de incorporar nuevas funcionalidades y mejoras, también corrige un total de 197 vulnerabilidades. 53 de las vulnerabilidades corregidas con estaban confirmadas desde el año pasado. Recientemente iTunes también recibió una actualización a la versión 10.7 (que corregía 163 vulnerabilidades), por lo que antes de proceder a la actualización de iOS puede ser recomendable actualizar iTunes. Todas las vulnerabilidades corregidas en
iTunes consisten en diferentes problemas de corrupción de memoria en Webkit y bastaría con visitar un sitio web específicamente creado para permitir la ejecución de código arbitrario. Al igual que ocurre con iOS 6, muchas de las vulnerabilidades corregidas también son del 2011.
¿Problemas de batería tras actualizar a iOS 6?
ios 6 problemas bateria
Llegó iOS 6 y su presencia no pasó desapercibida, no sólo por el sonado affaire de los mapas, sino por las mejoras que incorpora esta última versión que como sabes, por fin dota a los usuarios de habla hispana de Siri, el conocido asistente por voz. La actualización ha sido muy fluida y Apple ha sacado pecho anunciando unascontundentes cifras de actualización y que dan una idea de lo esperado de esta actualización por parte de los usuarios. Y sin embargo, parece que no todos los propietarios de los dispositivos parecen muy satisfechos con el salto de versión, y un nutrido grupo de usuarios está reportando un excesivo consumo de batería tras subir a iOS 6. En el momento en el que te escribimos estas líneas son ya 24 las páginas que llenan uno de los hilos abiertos por los usuarios en el foro oficial de soporte de Apple. Sin embargo, no todo el mundo está insatisfecho con el rendimiento, y de hecho, son muchos los que reportan una mejora en el consumo. Si eres uno de los afectados por un excesivo consumo, no dudes en hacer clic en Leer porque no estarás solo. Apple, por el momento, guarda silencio.
 
Problemas con la conexión WiFi
El iPhone 5 con iOS 6 llegó a las manos de los primeros usuarios el viernes pasado, día 21 de septiembre. Desde que esto ocurrió las quejas se han centrado sobre todo en la nueva aplicación de mapas, aunque no es la única que hemos recogido en los foros. Algunos de ellos sugieren que el nuevo terminal de Apple podría tener problemas de conectividad Wi-Fi y de daños en forma de arañazos en la carcasa de aluminio.
El mejor ejemplo de las quejas de los usuarios se recoge en los foros de Apple Support Communities. Así, uno de los usuarios comenta que su iPhone 5 se conecta perfectamente a las redes Wi-Fi pero que no recibe ningún dato a través de ella. También menciona que con las redes LTE y 3G no tiene ningún problema y se lamenta de este fallo tras la adquisición del terminal.
Tras él, son muchos los usuarios que hablan su experiencia “no Wi-Fi” con el iPhone 5. Muchos de ellos hacen referencia a los ajustes de seguridad (concretamente a WPA2) de este tipo de redes como la causa del problema que, parece se soluciona cuando está desactivada o cambiando el estándar de seguridad. Por tanto, según estas quejas parece más un problema del iPhone 5 que realmente de iOS 6, ya que los iPhone 4 y 4S actualizados a esta última versión del sistema, no tienen este problema.
Más quejas
También ha llamado la atención sobre el siempre debatido diseño de Apple, ya que algunos usuarios han comentado que la parte posterior, fabricada de aluminio anodizado, se araña con facilidad. Incluso, esta página dice que a algunos usuarios les está llegando el iPhone 5 ya marcado, señalado o rayado en la caja de compra.
Pueden ver el siguiente video para tener idea de esto: http://www.youtube.com/watch?v=OSFKVq36Hgc&feature=player_embedded
Videos
Parece que el mayor problema en este aspecto se lo lleva la versión en color negro del iPhone 5. Casi la mitad de las personas a las que preguntaron afirman que el terminal había llegado ya con alguna señal que habían detectado al sacar el terminal fuera de la caja.
Recordemos que una de los cambios introducidos en el iPhone 5 es precisamente la carcasa, fabricada de aluminio a diferencia del cuerpo de acero inoxidable del iPhone 4 y 4S, más resistente este último que el nuevo material empleado en la última versión. A España aún no ha llegado físicamente el iPhone 5 pero los usuarios tendrán que estar atentos para ver si estos problemas Wi-Fi o de daño en la carcasa se producen. Aún así, Apple es una empresa capaz de reaccionar a tiempo y seguro que está tomando cartas en el asunto.
 
 

Más información:

Mobile Pwn2Own: iPhone 4S hacked by Dutch team
http://www.zdnet.com/mobile-pwn2own-iphone-4s-hacked-by-dutch-team-7000004498/
 
Apple Support
 
 

Investigadores afirman que es posible la transferencia de información entre pasado y futuro.


Investigadores afirman que es posible la transferencia de información entre pasado y futuro.
 
agujero-de-guano-viaje-en-el-tiempo
 
Aún está muy lejano el día en el que, emulando al famoso `Doc´ de la película Regreso al futuro, construyamos un vehículo que nos permita movernos a lo largo del tiempo. Sin embargo, los avances de la física cuántica nos acercan vertiginosamente a un mundo en el que lo que se ve no es lo que parece y en el que la ficción se convierte en realidad. Ahora, un grupo internacional de científicos en el que participa el Consejo Superior de Investigaciones Científicas (CSIC) ha propuesto un experimento para permitir la transferencia de información entre pasado y futuro, aprovechándose de las propiedades del vacío cuántico.

El llamado vacío cuántico es un estado de baja energía en el que no se encuentran partículas físicas tal y como las entendemos, pero que está lleno de ondas electromagnéticas
 fluctuantes y de partículas virtuales. El vacío se puede cargar de energía y la relación entre las partículas y el vacío es similar a la relación entre las ondas del sonido y la materia por la que se propagan. "Gracias a estas fluctuaciones, es posible hacer que el vacío esté entrelazado en el tiempo; es decir, el vacío que hay ahora y el que habrá en un instante de tiempo posterior, presentan fuertes correlaciones cuánticas", ha afirmado Borja Peropadre, del Instituto de Física Fundamental del CSIC.

En su trabajo, que se publica en la revista Physical Review Letters, los científicos han aprovechado estas correlaciones cuánticas utilizando la tecnología de circuitos superconductores. "Los circuitos superconductores permiten reproducir la interacción entre materia y radiación, pero con un grado de control asombroso. No sólo permiten controlar la intensidad de la interacción entre 
átomos y luz, sino también el tiempo que dura la misma. Gracias a ello, hemos podido amplificar efectos cuánticos que, de otra forma, serían imposibles de detectar", ha explicado Carlos Sabín, director del estudio.
De este modo, haciendo interaccionar fuertemente dos átomos P (pasado) y F (futuro) con el vacío de un campo cuántico en distintos instantes de tiempo, los científicos han encontrado que P y F acaban fuertemente entrelazados. "Es importante señalar que no sólo es que los átomos no hayan interaccionado entre ellos, sino que en un mundo clásico, ni siquiera sabrían de su existencia mutua", comentan los investigadores.

Esta conexión a través del tiempo se podría emplear en el futuro como memoria cuántica. "Codificando el estado de un átomo P en el vacío de un campo cuántico, podremos recuperarlo pasado un tiempo, en el átomo F. Esa información de P, que está siendo ‘memorizada' por el vacío, será transferida después al átomo F sin pérdida de información", ha concluido Peropadre
 

martes, 25 de septiembre de 2012

El nuevo Megaupload está completado en un 90%.


El nuevo Megaupload está completado en un 90%.
 
Luego del polémico cierre de Megaupload, Kim Dotcom prometió crear un nuevo servicio de intercambio de archivos aun mejor. Pues bien, ahora puesto en libertad bajo fianza tras su detención, sigue usando su cuenta de Twitter para informar acerca del progreso de la nueva versión de Megaupload. Según un tuit reciente, el “nuevo Mega” tiene ya un 90% de su código completado con “los servidores necesarios en camino e inversores, abogados y patrocinadores preparados”. En otro tuit nos ha pedido paciencia y ha vuelto a asegurar que el nuevo servicio está de camino.
Recapitulemos un poco, porque llevamos ya varios mensajes de Dotcom describiéndonos algunas características de lo que pretende lanzar: tenemos varios nombres mencionados: MegaBox, Megaupload, Mega a secas… pero más que nombres hay curiosidad por saber cómo Kim va a poner “este mundo patas arriba” tal y como dijo el pasado mes de agosto. Sabemos que se puede tratar de un servicio de descarga de archivos, aunque tenemos también los datos acerca del servicio musical MegaBox que promete beneficios para los artistas sacados a partir de las mismas descargas gratuitas.
En cuanto a fechas sólo sabemos que Kim quiere lanzar estos nuevos servicios antes de que termine el año. Ya no queda mucho para que eso pase, así que deberíamos tener noticias de todo esto pronto sean prometedoras o será un servicio que no termine de convencernos.

Ubuntu 12.10 ahora será un LiveDVD.


Ubuntu 12.10 ahora será un LiveDVD.
 
Cuando se hablaba del lanzamiento de Ubuntu 12.04 ya se intuía que tarde o temprano dejarían de crearse imágenes de 700MB, listas para grabarse en un CD desde el que instalar el sistema operativo. Finalmente para ese lanzamiento (que, además, era LTS) se descartó la idea, parece que acabará por hacerse real para Ubuntu 12.10, que aparecerá en octubre.
En lugar de editar una imagen de CD (de casi 700MB) y otra imagen de DVD (con los idiomas y algunas aplicaciones extra) se editará una imagen única, de 800MB, lista para almacenarse en un DVD o un disco USB. Esto se aplica únicamente a las ediciones de escritorio de Ubuntu: la edición de servidor seguirá distribuyéndose en una imagen de 700MB. Tiene sentido: no incluir aplicaciones de escritorio (ni escritorio, al fin y al cabo) da más espacio para incluir las herramientas más propias de este tipo de sistemas operativos.
¿Es una buena decisión? Depende del punto de vista desde el que se mire. En los países en vías de desarrollo, actualmente y por desgracia, la banda ancha no es tan barata ni tiene tanto alcance como en un país como España o Estados Unidos, y 100MB suelen resultar en descargas sustancialmente más largas. Por otra parte el sistema tampoco puede quedarse estancado a causa de un motivo tan trivial como este.
Por otra parte, desde el punto de vista del ordenador… Casi toda máquina con 6 o 7 años disponen de una unidad lectora (y grabadora) de DVD, y/o pueden arrancar desde un disco USB. Probablemente una máquina que no disponga de unidad de DVD ni pueda arrancar desde USB no podrá ejecutar la nueva versión de Unity (recordemos que en Ubuntu ya no se incluirá Unity 2D), y haya otra distribución más idónea (como Xubuntu o Lubuntu, por ejemplo, que sí podrán seguirse editando para CD).
 
Más información:
 

lunes, 24 de septiembre de 2012

Nueva vulnerabilidad en Internet Explorer está siendo aprovechada por atacantes.


Nueva vulnerabilidad en Internet Explorer está siendo aprovechada por atacantes.

Se ha descubierto un nuevo exploit que aprovecha una vulnerabilidad crítica en Internet Explorer. Permite la ejecución remota de código arbitrario y que está siendo usada por atacantes. Afecta a las versiones 7, 8 y 9 del navegador en todas las versiones del sistema operativo.

Se ha descubierto una vulnerabilidad en Internet Explorer, previamente desconocida y que está siendo aprovechada por atacantes. Uno de los datos más curiosos es cómo fue descubierto por el investigador Eric Romang (@eromang), y que indica que este 0-day podría estar relacionado por los mismos autores de la grave vulnerabilidad en Java de hace solo unas semanas. Después del descubrimiento del problema en Java, Eric Romang monitorizaba regularmente algunos de los servidores desde donde se sabía que se distribuía aquel exploit y relacionados con sus desarrolladores. El día 14 de septiembre detectó que se había creado nuevo directorio en uno de ellos donde se alojaba el código para aprovechar una nueva vulnerabilidad, que resultó ser esta de Internet Explorer.

El fallo permite la ejecución remota de código a través de una vulnerabilidad en la función execCommand utilizando referencias no válidas a puntero ya liberado (use-after-free). En el código del exploit esto se consigue mediante la creación de un objeto 'CMshtmlEd', su eliminación y posterior uso de la zona de memoria mediante CMshtmlEd::Exec. Una vez explotada la vulnerabilidad, se ejecuta el payload mediante la técnica del relleno de la memoria heap mediante NOPs (heap spray) y del propio shellcode para conseguir su ejecución. Elude DEP y ASLR con técnicas ROP y después carga un troyano del servidor malicioso.

En el siguiente vídeo se puede observar todo el proceso, llevado a cabo en un servidor comprometido donde se alojaban tanto el exploit de IE como el conocido RAT Poison Ivy, encargado de controlar a la potencial víctima.
http://youtu.be/_w8XCwdw5FI

El diagrama de flujo del ataque sería el siguiente:
diagram


El exploit (Protect.html) inicialmente no era detectado por ninguna casa antivirus:
VT_nodetection

Aunque finalmente Microsoft ha actualizado sus definiciones de antivirus identificando la familia del exploit como Dufmoh.Dufmoh_detection

Este 0-day está siendo ampliamente explotado tras la publicación del script para Metasploit. Aunque el módulo de Metasploit está creado para Internet Explorer 8, se podría modificar para otras versiones.http://postimage.org/image/zf4qdbmuf

No existe parche o contramedida oficial por parte de Microsoft, por lo que se recomienda el uso de otros navegadores hasta que sea publicada una actualización. EMET correctamente configurado, podría permitir detener el vector de ataque.

Más información:

Zero-Day Season Is Really Not Over Yet
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/

IE execCommand fuction Use after free Vulnerability 0day enhttp://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-after-free-vulnerability-0day_en/

metasploit: Microsoft Internet Explorer execCommand Use-After-Free Vulnerabilityhttp://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99238971892d61ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb

Mmm, Smells Like 0dayhttp://blog.beyondtrust.com/bid/89587/Mmm-Smells-Like-0day

New Internet Explorer zero day being exploited in the wildhttp://labs.alienvault.com/labs/index.php/2012/new-internet-explorer-zero-day-being-exploited-in-the-wild

Exploit:Win32/Dufmoh.Bhttp://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aWin32%2fDufmoh.B&threatid=2147663168

Microsoft Internet Explorer execCommand Use-After-Free Vulnerabilityhttp://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99238971892d61ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb

2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265https://www.virustotal.com/file/2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265/analysis/1347710701/

¿Veremos Office 2013 RT en noviembre de este año?.


¿Veremos Office 2013 RT en noviembre de este año?.
 
Word 2013 Preview
 
Ya había comentado sobre las intenciones de Microsoft (rumores) sobre lanzar Office 2013 este año. Al parecer las cosas se están poniendo más serias y ya está pasando de un rumor a una realidad.
Ya sabíamos que Office 2013 será incluido por defecto en aquellas máquinas con Windows RT, e incluso comentamos que, si se vendían antes del lanzamiento oficial de Office 2013 RT, se instalaría la versión beta y se actualizaría posteriormente. Lo que nos faltaba realmente era la fecha: al parecer la actualización aparecería en Windows Update entre noviembre y enero, dependiendo sobre todo del idioma.
Esta versión, recordemos, no será tan completa como la versión que funcione en procesadores x86. La versión RT será esencialmente igual a la que podremos instalar en nuestros ordenador, y de hecho ha sido compilada usando el mismo código, pero con algunos ajustes para ajustarse al funcionamiento de un procesador ARM y para reducir el consumo energético.
Ya adelantamos que algunas de las características de Office, sobre todo usadas por las empresas, no estarán disponibles en la versión RT de la suite. Las macros, por ejemplo, o los Data Models, y también se aplican algunas limitaciones de Windows RT relativas a los programas de correo.
Como digo, Office 2013 Hogar y Estudiantes RT debería aparecer por Windows Update entre noviembre y enero, dependiendo del idioma (cuando dispongamos de información más concreta actualizaremos el post). Pero de Office 2013 también tenemos información nueva: al parecer habrá programa de actualización de Office 2010 a la nueva versión.
Lo que se dice (la información viene de Mary Jo Foley, que cuenta con importantes fuentes dentro o muy cerca de Microsoft) es que se ofrecerán dos opciones a los que deseen actualizarse a la versión de Office: o una suscripción por un año (dos en el caso de Office para universitarios) a Office 365, la modalidad “software as a service” de Office que permite instalar Office 2013 en hasta cinco ordenadores y utilizarlo durante ese periodo, o una licencia para instalar Office 2013 (en la versión equivalente: Hogar y Estudiantes, Profesional…) en una única máquina.
No se ha filtrado un precio: ¿significa esto que la actualización será gratuita? Al parecer, además, sería necesario adquirir Office a partir del 19 de octubre y antes del 30 de abril de 2013.
Respecto a las fechas de Office 2013 (sin RT) no hay nada confirmado todavía, pero de lo que se habla es de noviembre para la RTM y de febrero de 2013 para que veamos cajas físicas en las estanterías de los centros especializados, y cajas virtuales en la tienda de software de Microsoft. Habrá que ver también el precio: quizá también vendan las licencias a precios apetecibles para el público general.
 

NVIDIA rebaja el precio de la GTX 660 Ti.


NVIDIA rebaja el precio de la GTX 660 Ti.
 
 
Hace poco comentaba sobre las tarjetas graficas de gama alta y como ellas ayudan al desempeño de los equipos ya sea para trabajar, jugar o ambas cosas. Pues bien, entre las recomendaciones que hacia era la de adquirir la NVIDIA 560 que para ese entonces era la que mejor relación precio rendimiento ofrecía a expensas de su hermana mayor GTX 660 que todavía no había salido al mercado y no se sabia cual seria su precio.
 
GTX 660 Ti cubre todas las expectativas
 
La tarjeta gráfica GeForce GTX 660 Ti llegaba hace unas semanas al mercado, tanto en sus versiones basadas en el diseño de referencia de NVIDIA, como numerosas versiones personalizadas por los distintos fabricantes, como Asus, EVGA, MSI, Gigabyte u otros. AMD por su parte ha aplicado una serie de rebajas en los precios de sus Radeon HD 7900 Series y HD 7800 Series, con el fin de competir con NVIDIA. Los últimos datos apuntan a que NVIDIA rebajaría el precio de la GeForce GTX 660 Ti para hacerla más atractiva.
Ya esta en el mercado oficialmente la GeForce GTX 660, una de las tarjetas gráficas Kepler de NVIDIA, la GeForce GTX 660 Ti, podría ver su precio rebajado para conseguir un mayor número ventas. Según parece, los modelos personalizados por los diferentes fabricantes que están basados en la GTX 660 Ti no se están vendiendo demasiado bien, en parte porque los precios que tienen son bastante próximos a los que tienen las GeForce GTX 670 en su versión de referencia.
Es por esto por lo que NVIDIA podría reducir el precio que actualmente tiene la GeForce GTX 660 Ti en su versión de referencia, pero estaríamos hablando de una rebaja que rondaría los 20$. Si finalmente se aplica la reducción de precio que creemos, la GeForce GTX 660 Ti basada en el diseño de referencia de NVIDIA costaría unos 279$, mientras que las versiones personalizadas por los diversos fabricantes, unos 299 hasta 350$.
Obviamente y si finalmente se aplica esta rebaja, el objetivo está bastante claro, captar más clientes para su modelo GTX 660 Ti, un modelo que es el rival directo de la AMD Radeon HD 7870, puesto que ambas tienen un rendimiento muy similar. NVIDIA podría hacer efectiva dicha rebaja muy pronto, por lo que todavía tenemos que esperar a que eso ocurra, si es que llega a ocurrir pero igual sigue teniendo una excelente relación precio rendimiento ya que el modelo inmediatamente superior GTX 670 ronda los 400$ y la diferencia en rendimiento no es mucha y ni hablar de la GTX 680 que ronda los 500$ y la GTX 690 los 1000$.
AMD rebaja sus chips
AMD y Nvidia van a tener una guerra muy interesante con el lanzamiento de las GeForce GTX 660 y GeForce GTX 650, las cuales en teoría se presentan mañana. AMD ha bajado en varias ocasiones el precio de sus Radeon HD 7000 Series con el fin de competir con Nvidia, y para alegría de todos lo han vuelto a hacer. AMD vuelve a hacer una rebaja en el precio de las Radeon HD 7000 Series.
La competencia en cualquier sector siempre es muy buena, pues eso hace que los precios se ajusten y que constantemente se apliquen rebajas en los precios. La serie de gráficas AMD Radeon HD 7000 Series está siendo bastante buena, pues ofrecen un gran rendimiento y unos precios competitivos.
En varias ocasiones hemos comentado las rebajas en los precios que aplicaba AMD a la serie Radeon HD 7000 Series, con el fin de competir contra las Nvidia GeForce 600 Series, incluso lanzaban una actualización de BIOS para la Radeon HD 7950 para que fuese más competitiva frente a la GeForce GTX 660 Ti.
Una vez más, AMD vuelve a traernos las rebajas y ha anunciado un recorte en los precios de todas las gráficas basadas en la arquitectura Graphic Core Next. Para empezar tenemos a la AMD Radeon HD 7970 Ghz Edition, que pasa a costar 430$, seguida de la Radeon HD 7970 que lo hará por 410$, todo esto en la gama alta.
Bajando un poco de gama nos encontramos con la Radeon HD 7950 Boost, que tendrán un precio de 300$, mientras que la Radeon HD 7950 original costará 290$. La Radeon HD 7870 pasará a costar 240$, mientras que su hermana menor, la Radeon HD 7850, costará 200$.
Finalmente tenemos a las pequeñas de la familia Graphic Core Next, la Radeon HD 7770 tendrá un precio de 110$, mientras que la Radeon HD 7750 tendrá un precio de 95$. Obviamente el objetivo de esta rebaja es competir con las próximas GeForce GTX 660 y GTX 650, las cuales competirán con las Radeon HD 7870, al menos en el caso de la GTX 660.
Problema con el control de cambio en Venezuela
En Venezuela existe un control de cambio desde hace años por lo que acceder a dólares es muy complicado. La frase de "te compro tu cupo" es muy popular y luchar por obtener un cupo se ha convertido en un estilo de vida para el Venezolano, el precio de una GTX 660 oscila entre 4.000 y 4.500 BsF debido al control cambiario existente en el país que tergiversa los precios por lo que es poco atractiva para el común de los usuarios.
Por otro lado, comprarla por Internet o aprovechar a algún conocido que viaje es una opción medianamente cómoda y mucho más económica y garantizo que valdrá la pena tanto el dinero invertido como el esfuerzo o las molestias que ocasione su compra.
 
 
Más información:

HTC anuncia su Smartphone 8X con Windows Phone 8 para noviembre.


HTC anuncia su Smartphone 8X con Windows Phone 8 para noviembre.
 
1x1.trans Smartphone HTC 8x con Windows Phone 8  Anunciado

HTC ha anunciado hoy dos nuevos teléfonos inteligentes Windows Phone 8, uno de ellos es el nuevo HTC 8X. El HTC 8X viene con Microsoft Windows Phone 8 y cuenta con un procesador de doble núcleo de 1,5 GHz y una pantalla táctil HD de 4,3 pulgadas de con una resolución de 1280 x 720 píxeles, resultando en 342ppi.
El HTC 8X viene con 1 GB de RAM y 16 GB de almacenamiento interno, y también viene con la tecnología NFC, Bluetooth 2.1 + EDR y WiFi 802.11 a / b / g / n, además de Beats Audio y GPS.
Hay dos cámaras en el HTC 8: una cámara delantera para video chat que tiene 2,1 megapíxeles que es capaz de vídeo Full HD en 1080p, y otra cámara en la parte posterior de 8 megapíxeles con un sensor BSI, flash LED y enfoque automático .
El HTC 8X saldrá a la venta en los EE.UU. y Europa en noviembre, y su precio rondaría la cifra de u$s500.

La popularidad de Twitter hace que la RAE apruebe nuevas palabras.


La popularidad de Twitter hace que la RAE apruebe nuevas palabras.
 
diccionario rae
 
Si algo tiene la tecnología y más en concreto Internet es el abrumador aporte de conocimiento y términos que añaden a la vida de cualquier ciudadano de da igual qué país. Palabras como Facebook, postear, Google, Whatsapp, SMS, router, modem, Smartphone… Son términos que a día de hoy se usan con la misma o más frecuencia que palabras propias del español.

Pues bien. Si de un sector concreto de Internet se habla en todos los círculos, sectores y edades es de Twitter. Prácticamente todo el mundo tiene una cuenta de 
Twitter, además de por supuesto cada programa de televisión, empresa...

Lo último y, como no podía ser menos, es la aprobación por parte de la RAE (Real Academia de la Lengua Española) de las palabras 'tuitear', 'tuit', 'tuitero' y 'tuiteo'. Digamos que son la versión españolizada de los términos internacionales pero que, de alguna forma se han establecido en nuestra lengua con esa morfología.
 
Por tanto, ya es lícito utilizar cualquiera de esos términos en cualquier documento, carta o artículo. Y tranquilos si no las encontráis todavía en el diccionario de la RAE porque su inclusión está prevista para la próxima edición del diccionario.

domingo, 23 de septiembre de 2012

¿Puedes ser parte de una ciberguerra sin darte cuenta?.


¿Puedes ser parte de una ciberguerra sin darte cuenta?.
 
Ya con anterioridad he tocado el tema de la ciberguerra que se viene librando desde hace años. Para el común de las personas esto no es trascendente o les tiene sin cuidado pero el hecho es que cualquier usuario podría estar infectado por las botnets y formar parte de un ataque digital sin darse cuenta.
Hay una guerra silenciosa en la red y los internautas están participando en ella… aunque la mayoría de ellos no lo sabe.
Hoy convergen en el mundo digital el hacktivismo, la ciberguerra y los ciberdelitos, los cuales pueden ser llegar a “traslaparse”; a esto se le suma un avance en la sofisticación de estas actividades y sus ataques, obligando a que las estrategias de seguridad, tanto para el usuario convencional como para las grandes compañías, tengan que replantearse y fortalecer sus defensas.
“Los ciberataques y sus objetivos están siendo cada vez más grandes, por ejemplo a través de las llamadas botnet –un grupo de sistemas que están infectados y son controlados por una sola persona (hacker)–.
“El problema con las botnets es que podría ser cualquier usuario y hemos visto que muchos están siendo infectados y formar parte de ella sin darse cuenta”, comentó Bruce Snell, director technical marketing de McAfee.
El directivo de la empresa de seguridad digital mencionó que el mundo se acerca a una era en la que la ciberguerra “se asemeja a un ecualizador”, donde las organizaciones pequeñas han tenido influencia en un cambio mayor, ya que tal vez no tengan un armamento fuerte, pero esto lo pueden compensar con las posibilidades que tienen para hacer una ciberguerra.
“A diferencia de los enfrentamientos bélicos en que participan los soldados de una manera organizada, en las ciberguerras están participando personas que ni siquiera están enteradas de que están formando parte de un ataque”, señaló.
Ante esta situación, agregó, es necesario replantear los esquemas de seguridad y apuntar hacia las estrategias por capas, ya que no hay un producto que proteja contra los diferentes tipos de ataques, con la que se pueden implementar diferentes barreras para frenar las agresiones de hackers, las cuales suele provenir de diferentes puntos de un sistema.
“El enfoque por capas ayuda a tapar los huecos que quedan entre una parte del sistema y el otro, entre más líneas defensivas se tengan, es mejor”, dijo Snell.
En los últimos dos años es saber quién se va a encarga de los ciber ataques y la ciberguerra, porque el gobierno dice que las empresas privadas deben ser responsables de proteger sus propios sistemas, y las empresas dicen que el gobierno debe proteger de ataques de otros país.
Las personas de empresas o gobierno no están asignando más personal para que se encargue de combatir esta ciberguerra, además de que el existente no cuenta con la capacitación necesario para administrar estos esquemas de seguridad, por lo que revertir estos puntos es el reto para combatir estos malware.

Diferencia entre ciberguerra y hacktivismo

La diferencia entre el hacktivismo y la ciberguerra tiene que ver con la motivación y el objetivo.
Por un lado, la ciberguerra puede ser un ataque lanzado hacia un objetivo de control de una ciudad (las estructuras criticas, que hacen clave el funcionamiento de una ciudad o país), ya que a medida que se avanza en sistemas de control del agua, la luz y demás servicios públicos, se es más vulnerable.
El hacktivismo, por otra parte, muchas veces afecta más que las ciberguerras, aunque el ataque vaya hacia el objetivo, pero es indiscriminado. Estos grupos solo siguen su ideología y muchas veces no solo atacan al gobierno, sino también a empresas o bancos porque piensan que hay corrupción en ellos.
“Además, lo que estamos viendo en McAfee es que la ciberguerra se está convirtiendo, si no es que ya forma parte, de la guerra normal, porque aparte de ésta, donde hay ataques físicos y se toman tierras, la ciberguerra va a ser el cuarto componente de éstas”, menciono Snell.
Mientras tanto, destacó que en América Latina ha visto con más frecuencia casos de hacktivismo, sobre todo con fines políticos, por ejemplo, ataques contra personas donde se piensa que se violaron derechos humanos y también ataques contra los cárteles de la droga.

Información, la prioridad

Lo más importante para cualquier gobierno o empresa es la información, y eso es lo que tratan de obtener los ciber atacantes.
Y es que este pensamiento ha ido cambiando, pues antes se consideraba que la prioridad de la seguridad era el equipo, hoy por ejemplo, con la nube se dice que lo relevante, lo más importante, es la información, ya no el dispositivo, porque los datos en la nube pueden replicarse a cualquier otro aparato.
Sin embargo, paradójicamente, precisamente por esto se incrementa la necesidad de proteger más dispositivos y más áreas.
Por otro lado, la protección de estas nubes es una responsabilidad compartida, ya que por un lado el usuario debe evitar colocar información confidencial o sensible en esas nubes; aunque al integrarse a una nube lo que se estás adquiriendo también es una parte de seguridad, o sea que los proveedores de esta nube tienen la obligación de proteger a las mismas.
“Tenemos que verificar cómo se está desarrollando la seguridad en la nube, también en la banca comercial para que esto se mantenga seguro, porque la mayor parte de interacciones con las marcas, las empresas o los bancos se dan en línea, y los usuarios necesitamos asegurarnos que la seguridad exista”, mencionó Snell.

¿Cual es el riesgo real por la caída de un satélite?.


¿Cual es el riesgo real por la caída de un satélite?.
 
Debido a los recortes presupuestarios en los Estados Unidos, el número de satélites que caerán sobre nuestra atmósfera en los próximos 8 años va a aumentar bastante.
¿Cuál es el principal riesgo que corremos aquí abajo?
Pues según se concluye de un análisis de las academias nacionales de Estados Unidos, no sería que cayeran sobre nuestras cabezas si no queva a ser más difícil emitir pronósticos meteorológicos fiables.
No nos engañemos, la crisis también está haciendo que se reduzcan presupuestos de ciencia y tecnología en los Estados Unidos y, de hecho, no se reemplazarán todos los satélites que dejen de funcionar en los próximos años. Y claro, el seguimiento de temperaturas, nubes, huracanes o capas de hielo se verá afectado.
No es que vayamos a dejar de predecir el tiempo, pero puede pasar como cuando en 2009 dejó de funcionar el satélite QuikSCAT y, como explica el meteorólogo de la Universidad de Miami Shuyi Chen, se hizo más complicada la detección de las depresiones tropicales, el paso previo a la formación de los huracanes.
 
Más información:

lunes, 17 de septiembre de 2012

OA 3.0 hace que Windows 8 sea más difícil de piratear que Windows 7.


OA 3.0 hace que Windows 8 sea más difícil de piratear que Windows 7. 
 
 
Las "filtraciones" de Windows 8 Enterprise y Pro en Internet, han ocasionado que una lluvia de descargas mantenga ocupado los anchos de banda de muchos servidores pero que hay de su activación. Aunque no es tan difícil saltarse la seguridad de Windows 8 y así probarlo por más tiempo o hasta indefinidamente hasta ahora, el activarlo si se ha convertido en algo complicado ya que Microsoft ha cambiado radicalmente la manera como activar su software al punto que se hace por idiomas ósea que un activador pirata para Windows 8 en ingles no funciona para español u otro idioma.
Nuevo sistema de licencias OEM
Microsoft ha creado un nuevo sistema de licencias OEM para Windows 8 con el que se pretende dificultar la activación de copias ilegales del futuro sistema operativo. De esta manera se espera reducir la piratería que acecha al segmento Windows.
OEM Activation (OA) permite a los fabricantes de PCs enviar equipos con Windows preinstalado y activado sin necesidad que el usuario realice medidas adicionales para ‘legalizar’ (activar) el sistema operativo.
En Windows 7 y anteriores, los hackers han aprovechado este proceso OA para activar ilegalmente copias del sistema con una clave de licencia.
Microsoft pretende ponérselo más difícil en Windows 8 ya que el OA 3.0 obliga a los fabricantes a escribir una clave única de producto de Windows en la BIOS (UEFI) de cada PC nuevo, frente al método anterior de la misma clave en todos los equipos.
Los vendedores obtendrán sus claves de producto directamente desde Microsoft a través de la entrega electrónica y cada nuevo PC vendrá con una etiqueta “Microsoft Original” en lugar del anterior certificado de autenticidad de Windows.
Las fábricas también estarán obligadas a presentar informes de producción a Microsoft detallando el cumplimiento de la licencia.
Por el momento, OA 3.0 sólo se aplicará a los nuevos equipos que ejecutan el sistema operativo cliente de Windows 8. Windows Server 2012 y Windows Embedded, Windows 7 y versiones anteriores seguirán utilizando el antiguo método de activación OEM.
La activación, será más complicada, según Microsoft aunque solo el tiempo lo dirá ya que cada vez que Microsoft lanza un nuevo producto afirma que evitará su piratería hasta ahora sin resultados exitosos.

domingo, 16 de septiembre de 2012

Múltiples vulnerabilidades en Google Chrome para Android.

Múltiples vulnerabilidades en Google Chrome para Android.

Se ha publicado una nueva release para Google Chrome en su versión para dispositivos Android que soluciona varios fallos de seguridad. Han sido reportados bajo el programa de recompensas por vulnerabilidades (Vulnerability Rewards Program).

El Vulnerability Rewards Program es un programa del proyecto Chromium que ofrece diferentes sumas de dinero por aportar vulnerabilidades. La cantidad varía dependiendo de la importancia del error. El programa está patrocinado por Google.

En total se han solucionado siete vulnerabilidades en la última versión del navegador, la 18.0.1025308. Todas ellas catalogadas con importancia media y recompensadas con 500 dólares. De momento no se conoce toda la información al respecto pues se prefiere esperar a que el número de afectados por estos fallos disminuya a medida que se apliquen las actualizaciones.

En primer lugar, estas dos vulnerabilidades se atribuyen a Artem Chaykin:

* CVE-2012-4903 (bug 138210): Debido a un error de falta de restricciones, una URL podría acceder a ficheros arbitrarios del sistema dando la posibilidad a un atacante remoto a acceder a información sensible.

* CVE-2012-4904 (bug 138035): El navegador podría permitir la inyección de código script remota a través de vectores aún no especificados.

Las cinco restantes fueron descubiertas y reportadas por Takeshi Terada:

* CVE-2012-4905 (bug 144813): Un atacante remoto podría inyectar código script o HTML a través de un objeto especialmente diseñado para ello (XSS).

* CVE-2012-4906 (bug 144820): Acceso a información sensible.

* CVE-2012-4907 (bug 137532): Las APIs de Android están expuestas a su acceso a través de Javascript por una falta de restricciones. No hay información respecto al impacto.

* CVE-2012-4908 (bug 144866): Permitiría a atacantes remotos a evadir ciertas restricciones y conseguir acceso a ficheros locales a través de enlaces simbólicos.

* CVE-2012-4909 (bug 141889): Una aplicación Android maliciosa podría obtener las cookies del sistema.

Todas estas vulnerabilidades han sido ya resueltas en la versión 18.0.1025308 que está disponible en el sistema de aplicaciones Google Play.

Más información:

Chrome for Android Update
http://googlechromereleases.blogspot.com.es/2012/09/chrome-for-android-update.html