admin
February 16th, 2010
Existe un error en las versiones de Wordpress 2.9.x que permite a un
usuario autenticado con los mínimos privilegios descubrir los post que
se encuentran en la papelera.
Wordpress es un CMS para la gestión de blogs. En su versión 2.9
incorporó una utilidad para no eliminar definitivamente los post.
Consistía en un sistema de papelera que permitía recuperar las entradas
borradas por accidente.
El problema encontrado reside en que cuando se envía un post a la
papelera no se actualizan correctamente los permisos. Esto permitiría a
un usuario autenticado con los mínimos privilegios obtener información
de la papelera. En teoría, solo usuarios con los privilegios suficientes
podrían tener acceso a estos posts borrados, pero en la realidad, debido
al fallo, cualquier “Usuario autenticado” (que incluye a los
“Subscribers” que son el mínimo privilegio posible en Wordpress) pueden
ver estas entradas.
Un atacante tendría que aplicar fuerza bruta para acceder a las URL
correspondientes en la papelera para descubrir post eliminados. Una vez
encontrados, podría leerlos sin que exista ninguna restricción por
permisos. El autor ha publicado una prueba de concepto.
Este error ha sido solucionado junto con otros bugs en la versión 2.9.2
Posted in Desarrollo Web
No Comments »
admin
September 4th, 2009
La última actualización de Mac OS X contiene una versión de Flash
vulnerable y un rudimentario “antivirus”
——————————
———————————–
Snow Leopard, el nombre en clave que Apple ha dado a su Mac OS X 10.6
instala una versión antigua y vulnerable de Adobe Flash Player. Incluso
si el usuario ya poseía la última versión de Flash Player, al actualizar
el sistema operativo, quedaría otra vez vulnerable con la versión
10.0.23.1 de Adobe, que contiene fallos de seguridad conocidos.
La actual versión de Flash es la 10.0.32.18. Apple ha incluido en su
última actualización del sistema operativo (lanzado el 28 de agosto),
la 10.0.23.1 y la instala sin avisar aunque se posea una versión no
vulnerable. El “downgrade” se hace de forma totalmente silenciosa para
el usuario. Para solucionarlo, se debe acudir a la página oficial de
Adobe y descargar la última versión a mano.
En este nuevo Mac OS X también se ha incluido un rudimentario sistema
“antivirus”. Tan rudimentario que parece reconocer solo dos familias de
malware que suele atacar al sistema operativo de Apple y solo comprueba
las descargas por Safari. No limpia el sistema ni nada parecido, solo
aconseja de la peligrosidad del archivo. Es un movimiento que ha causado
cierta sorna entre la industria. Realmente es un gesto que debe
valorarse positivamente, pero de poca utilidad real. Apple ha realizado
por fin un movimiento claro en contra del malware que ataca a su sistema
operativo, y aunque resulte un gesto infantil, casi ingenuo, puede
marcar una nueva forma de afrontar la seguridad en Mac OS X a largo
plazo, al asumir por fin el malware como uno de los potenciales frentes
que debe combatir. El gesto tiene poca utilidad real porque resulta
trivial eludir esa mínima protección, pero “algo es algo”.
En este “despiste” por parte de Apple a la hora de ofrecer una versión
de Flash, se unen dos de las compañías que más problemas de seguridad
están sufriendo en estos tiempos: Apple y Adobe. Adobe con sus esfuerzos
por gestionar la seguridad ahora que se enfrenta a ella de un modo más
serio, y Apple con su eterna lucha para solucionar problemas a tiempo.
Por poner algunos ejemplos de los fallos de organización que han
sufrido: Hace poco, fue la propia Adobe la que ponía a disposición de
los usuarios una versión vulnerable de Reader desde su sitio oficial.
Subsanó el error cuando fue duramente criticada. Apple, por otro lado,
en su macro-actualización de mayo corregía 67 vulnerabilidades pero
dejaba sin solución un grave problema en el JRE (Java Runtime
Environment) que llevaba oficialmente corregido seis meses. Lo solucionó
semanas después.
Otro error de seguridad cometido por Apple, según Chester Wisniewski de
Sophos, es que con esta actualización al nuevo Leopard, se deshabilita
sin previo aviso la contraseña del salvapantallas, con lo que el usuario
deberá activarla de nuevo a mano.
Posted in Sistemas y Seguridad
1 Comment »
admin
August 17th, 2009
He probado la web de swoopo.es y he conseguido auténticos chollos. Lo q no tengo claro es si es juego limpio o si es como una maquina tragaperras
Posted in Internet modelo de negocio
1 Comment »
subastas online
admin
August 14th, 2009
Cada vez tengo más claro que el modelo de negocio de publicidad online cada vez tiene más y más volumen de negocio.
Que quiere realmente una empresa que está pensando en invertir en publicidad?
Quiere aumentar sus ventas de productos y/0 servicios rentabilizando al máximo su inversión de publicidad.
Llevo mucho tiempo siguiendo el mundo de la publicidad online y hoy no voy a dedicarme a escribir lo que ya ponen en cientos de artículos de otras webs, hoy escribo esto para recomendar a todas aquellas personas que estén interesadas en anunciarse en internet que se suscriban al newsletter de un experto de marketing online (Gorka Garmendia). Os dejo el enlace de su página web para que podais daros de alta y esteis informados y enténdais al maximo como funciona el marketing online así como sus curiosidades y/o particularidades.
Página web de Gorka Garmendia: Marketing Online
Posted in Internet modelo de negocio
1 Comment »
