CTRL Powah! Curioso bug de Internet Explorer

Uno de los bugs más curioso de los últimos tiempos: presionar la tecla CTRL (control) mientras se usa Internet Explorer abre un agujero de seguridad que permitiría a un atacante obtener archivos del PC del usuario. Este fallo afecta a todas las versiones de Internet Explorer hasta el momento.

El problema fue descubierto por la compañía Euro Trust 112.

Y Microsoft, en su linea, según afirma Euro Trust 112, ha señalado que el problema no les compete según su política de seguridad, así que no tiene previsto crear un parche. Ejem.

Reproducido de Diario Tecnologías de la Información:

Al presionar la tecla Ctrl mientras se navega por Internet se corre el riesgo de que intrusos bajen contenidos desde el PC del usuario. El agujero de seguridad afecta a todas las versiones del navegador Internet Explorer de Microsoft.

La compañía Euro Trust 112 distribuyó un alerta de seguridad luego de haber identificado una vulnerabilidad en el programa Internet Explorer. El problema consiste en que intrusos pueden valerse de un servidor web para descargar archivos locales desde el PC del usuario del programa y, por ende, acceder a información sensitiva.

La debilidad se ocasiona por un script en una página HTML, que puede ser ejecutado con menos restricciones que lo normal, al inducir al usuario a iniciarlo presionando la tecla Ctrl. Así, el script puede ser usado para acceder al disco duro de la víctima, sin que esta sospeche lo que está ocurriendo.

Según Euro Trust 112, Microsoft ha señalado que el problema descrito no les compete según su política de seguridad, por lo que no tiene contemplado crear un parche o código reparador para Internet Explorer.

Internet Explorer permite, al igual que muchos otros programas, usar la tecla Ctrl en combinación con otras para ejecutar funciones de uso corriente. Ejemplos de ello son: Ctrl+P para imprimir una página, Ctrl+O para abrir un sitio, Ctrl+N para abrir una nueva ventana, Ctrl+D para crear un sitio favorito, Ctrl+C para copiar texto marcado, Ctrl+W para cerrar la ventana activa, etc.

"Al llegar a un sitio web maligno o hackeado en que esté instalado el script en cuestión, el uso que el visitante haga de tales combinaciones de teclas puede resultar en que, sin sospecharlo, esté enviando archivos locales de su PC a este sitio", explica Euro Trust 112.

El uso que los usuarios de tales sitios malignos, o los hackers, hagan de los archivos descargados, es cuestión de fantasía. Por ejemplo, varios programas usan carpetas estándar del sistema para guardar listas de direcciones o de contraseñas, o información del sistema, que de esta forma queda totalmente expuesta para intrusos.

Enlaces relacionados:
Noticia en Diario TI
Microsoft

Problema de seguridad en winamp

Un problema de seguridad en Winamp (www.winamp.com) hace posible que un atacante ejecute código en la máquina de la víctima, sin embargo las condiciones en que puede suceder son algo extremas.

El atacante debería "asumir" el papel de www.winamp.com, bien consiguiendo el control del site o, más probable, con una técnica que se conoce como DNS cache poisoning.

Reproducido del boletín de seguridad Oxygen:

SecurityFocus informa ‒en http://online.securityfocus.com/bid/5170/discussion/‒ de que se ha descubierto en Winamp de Nullsoft un problema de seguridad que posibilita a un atacante ejecutar código.

Según SecurityFocus, Winamp de Nullsoft, uno de los reproductores de música MP3 (y de otros formatos) más utilizados por los usuarios, es vulnerable a una condición de desbordamiento de buffer cuando comprueba la existencia de versiones actualizadas.

En la práctica, y debido al mencionado problema, un servidor malicioso ‒localizado en www.winamp.com‒ puede devolver una respuesta maliciosa, por lo que un atacante que consiga explotar este problema conseguirá ejecutar código en el proceso de Winamp. Para conseguir su objetivo, el agresor deberá tomar el control del dominio www.winamp.com.

Enlaces relacionados:
Noticia en SecurityFocus (en inglés)
Winamp

NVIDIA presenta un lenguaje de programación para gráficos

NVIDIA ha presentado un lenguaje, basado en C pero orientado a crear efectos gráficos fácilmente, con el objetivo de facilitar la programación de aplicaciones que usen efectos gráficos (especialmente juegos y películas) y sacar más provecho de las tarjetas gráficas (hoy por hoy poco aprovechadas).

Al lenguaje se le conoce como Cg (C para gráficos), y está disponible un documento explicando sus ventajas en http://es.nvidia.com/view.asp?io=cg_es así como el kit completo para empezar a usarlo en http://developer.nvidia.com/view.asp?IO=cg_toolkit.

Por lo que parece el lenguaje ha conseguido una gran aceptación y está siendo usado por muchas compañías del sector (se puede ver una lista aquí) entre las que se incluyen muchas compañías importantes (Electronic Arts, ILM, Sega AM2, CRYO, y muchas más).

Enlaces relacionados:
Presentación de Cg
Kit de desarrollo de Cg (en inglés)
NVIDIA Developer Home (en inglés)
Lista de compañías que usan Cg
NVIDIA

Pre-Análisis de Windows XP Service Pack 1 (SP1)

Paul Thurrott's SuperSite for Windows ha publicado un pre-análisis de lo que será la primera gran actualización de Windows XP, el Service Pack 1 (SP1) (más información en la noticia "Windows XP dejará de incluir Explorer y Media Player").

Ahí se pueden ver algunas curiosidades sobre la actualización, entre las que destaca la nueva opción que se añadirá al applet Agregar o Quitar Programas del Panel de Control mediante la cual se podrán deseleccionar los programas de microsoft como predeterminados para navegar, leer el correo, reproducir archivos multimedia, ejecutar applets java o para mensajería instantánea; un cambio obligado después del acuerdo al que llegó con el Departamento de Defensa (DoJ) de los EE.UU. En el artículo original pueden verse capturas de esta nueva opción.

Lo más curioso del asunto es que los programas descartados no se desinstalaran si no que solo se ocultaran a todos los efectos (menú de inicio, accesos rápidos, etc). Lo cual nos deja en la situación de que no podremos desinstalar los programas de Microsoft realmente excepto Internet Explorer (ya que no existe ni existirá tal opción).

¿Es esto legal? Es decir, ¿han cumplido el acuerdo con el DoJ?

Pues la verdad es que sí ya que el acuerdo mencionaba respecto a este tema

"(…) Microsoft shall allow end users (…) to enable or remove access to each Microsoft Middleware Product by displaying or removing icons, shortcuts, or menu entries on the desktop or Start menu, or anywhere else (…)"

es decir, Microsoft deberá permitir a los usuarios activar o desactivar el acceso a cada unos de las utilidades [las mencionadas] de Microsoft mostrando u quitando los iconos, accesos directos y entradas en el Menú Inicio o en cualquier otro sitio.

Por lo tanto Microsoft ha aplicado el texto literalmente.

A parte de esto la otra novedad que menciona el análisis son unas pequeñas modificaciones en el polémico sistema de activación de Windows XP que complicará algo más la piratería especialmente en el caso más popular de pirateo de Windows XP (las licencias por volumen para empresas con un único número de serie) y también dará algo de cancha a los usuarios premitiendo tres dias de convivencia de un Windows XP activado en dos ordenadores diferentes (útil en casos de emergencia).

La fecha prevista de publicación es el próximo otoño y podrá descargarse gratuitamente o solicitar un CD pagando los portes.

Enlaces relacionados:
Preview en Paul Turrott's SuperSite for Windows
Windows XP
Microsoft
U.S. Department Of Justice (DOJ)

Una máquina que copia CDs por un euro

Máquina CopyPlay
Imagen promocional de CopyPlay
Unos valencianos han diseñado una máquina que funciona con monedas y que copia CDs como si fuese na expendedora de tabaco o bebidas. La copia se hace en cuatro minutos y cuesta un euro.

Como era de esperar la SGAE (Sociedad General de Autores y Editores) les denunció (aunque fueron ellos mismos los que les avisaron, por lo que pudiera pasar) y después de un proceso de dos años el juez ha decidido que no hay delito.

El invento se llama CopyPlay y está a punto de empezar su distribución por toda España.

Reproducido de Asociación de Internautas:

(…)

Las nuevas tecnologías permiten copiar archivos musicales -y de vídeo, y programas informáticos- tantas veces como se quiera, y con un coste muy bajo. Algo que está provocando un fenómeno increíble de multiplicación de la cultura. Pero que pone los pelos de punta a los directivos de la industria discográfica.

La última amenaza para su negocio viene de Valencia. Se trata de una máquina para copiar discos compactos -CD- que funciona con monedas. Copyplay, que así se llama el invento, se instala en cualquier lugar público. Su funcionamiento no puede ser más sencillo: se compra un disco virgen, como si fuera una lata de refresco; se introduce junto con el original en unas bandejas, se paga un euro y en pocos minutos se tiene duplicado el disco compacto.

Para luchar contra ésta y otras posibilidades tecnológicas -grabadoras de CD, servidores de Internet tipo Napster-, la industria apenas cuenta con un arma: la defensa ante los tribunales. Como decía la maldición gitana, "así tengas juicios y los ganes". Y es que, incluso si al final sale victorioso, los quebraderos de cabeza, a quien se vea envuelto en litigios, no se los quita nadie.

En el caso de Copyplay, esta presión legal ha supuesto casi dos años de litigios. Aunque no puede decirse que les pillara de sorpresa. De hecho, fueron sus propios inventores, José Vicente Ortiz y Roberto Herrai, quienes avisaron a la Sociedad General de Autores (SGAE) y a la Asociación Fonográfica y Videográfica de España (Afyve) de la existencia de su invento. Incluso, se ofrecieron voluntariamente a pagar un canon por disco copiado, como ocurre hoy en día con el negocio de las fotocopiadoras. Pero los representantes de la industria se negaron en redondo.

Entonces los dos inventores instalaron varias máquinas en un local abierto al público. Y, nuevamente, avisaron a la SGAE de su existencia. Ésta envió un inspector que realizó una copia ilegal, en la que se basó la posterior denuncia. Finalmente, en junio de 2000, la Policía Local de Valencia intervino tres de las máquinas y las requisó junto a varios folletos y la recaudación.

Ahora, el juez del caso ha determinado el sobreseimiento de la causa, a instancias del fiscal. No hay delito, al menos por parte de la empresa, ya que la máquina no atenta contra la propiedad intelectual. Ocurre como con las fotocopiadoras: es el usuario quien se responsabiliza de usarla para fines lícitos.

La decisión del juez valenciano abre el camino para la comercialización de la máquina en toda España. En breves días, Copyplay tendrá su propio sitio web (www.copyplay.net). Sus inventores están hablando con varios fabricantes y quieren montar una franquicia para extenderlo por toda la geografía española. De hecho, como explica José Vicente Ortiz: "Ya nos han llamado hasta de Noruega: la noticia la dio EL MUNDO de Valencia, alguien la leyó en un avión y nos han llamado para interesarse".

Y la copiadora de CD por monedas no es el único proyecto de estos inventores. Ya tienen lista otra máquina que graba DVD, lo que permitiría copiar películas en tiempo récord y a bajo precio. Y podría haber otra más para pasar discos de vinilo a formato CD.

Enlaces relacionados:
CopyPlay
SGAE
Noticia en AI
Noticia en El Mundo

KaZaA mantiene la red oculta Altnet BDE

Junto a KaZaA se instala otro programa de "intercambio", solo que éste no es para el beneficio del usuario sino que sirve como plataforma para difundir publicidad y para usar la potencia de proceso desaprovechada del ordenador del usuario.

Reproducido de Diario Tecnologías de la Información:

A pesar de numerosas críticas de usuarios y observadores, Sharman Networks decidió no eliminar la red oculta Altnet de la última versión del software de intercambio uno-a-uno Kazaa. La aplicación Altnet se instala automáticamente junto con Kazaa.

La semana pasada, esta publicación describió la forma en que Altnet tiene el potencial para iniciar una red alternativa ajena a Kazaa. La red oculta se encuentra en función de espera en el PC del usuario, pero puede ser activada centralmente por Brilliant Digital Entertainment (BDE), creadora de Altnet, cuando la empresa lo estime conveniente.

Las intenciones de BDA son usar las numerosas máquinas de los usuarios de Kazaa para distribuir otros contenidos publicitarios de la empresa mediante la red que se va creando y desarrollando con Altnet.

De igual modo, el programa y red pueden ser usados por BDA para explotar los recursos de procesamiento no usado en las PC de los usuarios y venderlos a terceros. BDA asegura que el programa Altnet no es iniciado sin la aceptación del usuario.

Enlaces relacionados:
Noticia en Diario TI
Artículo detallado en Smart Bussines (en inglés)
KaZaA Media Desktop

Windows XP dejará de incluir Explorer y Media Player

Cuando a finales del verano o principio de otoño se publique la primera actualización de Windows XP (SP1), Windows XP dejará de incluir Internet Explorer y Windows Media Player por defecto, además de facilitar a los usuarios usar programas alternativos de la competencia.

Esta es una de las consecuencias del acuerdo al que Microsoft llegó con el Departamento de Justicia de los EE.UU. (DOJ).

En cualquier caso, Microsoft ya tiene el dominio del mercado de navegadores y de reproductores multimedia por lo que la medida no será demasiado perjudicial para la empresa.

Reproducido de Diario Tecnologías de la Información:

Durante el verano boreal, Microsoft presentará el primer paquete de servicio (SP1) de Windows XP. El producto reflejará los resultados del acuerdo extrajudicial suscrito por la compañía con el Departamento de Justicia de Estados Unidos (DOJ). Junto con excluir el navegador Internet Explorer, el nuevo Windows XP tampoco incluirá Media Player.

Sin embargo, el producto no sólo excluirá componentes como resultado del juicio antimonopolios. Windows XP SP1 también incorporará nuevas funciones como por ejemplo el soporte para pantallas inalámbricas resultante de la nueva especificación Mira. También tendrá soporte para controles multimedia derivados de la especificación Freestyle.

Siguiendo los términos del acuerdo extrajudicial, SP1 para Windows XP también incorporará funciones de ayuda que asistirán al usuario y fabricantes de PCs que deseen eliminar aplicaciones de Windows y sustituirlas por productos de la competencia.

En tal sentido, se especula si por ejemplo America Online Time Warner pagaría a los fabricantes de computadores por ofrecer modelos especiales provistos de su navegador y software de mensajería instantánea, o si Real suscribiría acuerdos con los fabricantes para instalar su lector multimedia Real Player en el escritorio de Windows.

Por el momento no está del todo claro el alcance real de la eliminación de componentes de Windows; es decir, si XP eliminará los íconos del escritorio y las referencias al programa en otras partes del sistema, o si borrará completamente la aplicación.

Las pruebas beta avanzadas de SP1 para Windows XP comenzarán dentro de un mes, y Microsoft estima iniciar la distribución del producto a usuarios finales y fabricantes de PC durante el mes de agosto.

Enlaces relacionados:
Noticia en Diario TI
Windows XP
Microsoft
U.S. Department Of Justice (DOJ)

Un teclado infrarrojo para PDAs

Teclado infrarrojoDiario Tecnologías de la Información y Yahoo! publican que una compañía isralelí acaba de presentar en el CeBIT un teclado "etéreo", en vez de estar hecho de plástico es una proyección con luz infrarroja de un teclado normal y unos sensores se encargan de recoger las pulsaciones.

Reproducido de Diario TI

La compañía israelí VKB Inc. realizó uno de los lanzamientos más curiosos de CeBIT: un teclado que no existe en el mundo físico, sino es proyectado sobre la mesa.

Teclado infrarrojoEl sistema se basa en un pequeño procesador, que puede ser incorporado a computadores de bolsillo e incluso teléfonos móviles. El chip proyecta un teclado virtual, en tanto que sensores infrarrojos registran qué tecla ha sido presionada.

El teclado es un prototipo, por lo que aún no ha sido incorporado a dispositivos de terceros fabricantes. Sin embargo, funciona correctamente al ser conectado a una unidad externa, que contiene el diminuto proyector del teclado virtual.

Un portavoz de VKB declaró que el producto podría ser lanzado comercialmente antes de fines de año, si la compañía encuentra un canal de producción. En teoría, el dispositivo también puede ser usado en sistemas de navegación y otros servicios y productos que requieran de interfaces interactivos.

Enlaces relacionados:
CeBIT
Noticia en Diario Tecnologías de la Información
Noticia en Yahoo! (en inglés)

Un gusano que se vuelve japonés

El último gusano en propagarse por internet (Fbound), el cual se hace pasar por un parche importante, incluye una característica curiosa: al enviarse a una dirección de correo acabada en .jp (dominio de Japón) el "asunto" del mensaje cambia, al azar , entre los 16 posibles que contiene en japonés, de este modo engaña más facilmente a los usuarios.

El gusano no es especialmente agresivo, ya que no contiene ningún código destructivo para los usuarios, su único fin es propagarse (sobrecargando los servidores).

Enlaces relacionados:
Ficha de Panda Software sobre FBound.C
Ficha de McAfee sobre W32/FBound.c (en inglés pero más completa)

Fuente: Tom's Hardware Guide

Netscape vigila las búsquedas

Diario Tecnologías de la Información informa de que las últimas versiones de el navegador de Netscape (Netscape Navigator 6) envían información sobre las búsquedas hechas a través desde la barra de direcciones a los servidores de Netscape.
Esta información se envía cuando la búsqueda se dirige a buscadores diferentes del de la propia Netscape y contiene información sobre la búsqueda (términos a buscar) y sobre el usuario (su IP y un identificador único).

Reproducido de Diario Tecnologías de la información:

El lector web Navigator 6 registra todo el uso de la función de búsquedas directas, incluso aquellas realizadas en servicios distintos al de la propia Netscape. En su página sobre respeto a la privacidad, la compañía evita mencionar este tipo de escuchas.

El lector Navigator 6 facilita la búsqueda de información. El usuario sólo necesita anotar los criterios de búsqueda directamente en la línea de dirección. Las preferencias estándar del lector hacen que las búsquedas se realicen directamente en el servicio de Navigator. Las preferencias pueden ser modificadas, de forma que el usuario acuda automáticamente a otros servicios de búsquedas.

Recientemente, el programador holandés Sam Jskes declaró a The Risks Digest que se había percatado de algo curioso al investigar lo que ocurría al buscar en Google directamente en la línea de direcciones de Navigator. Según Jskes, un script del programa no enviaba las búsquedas directamente a Google, sino lo hacía por conducto de un servicio de Netscape.

Investigadores que estudiaron la situación confirmaron que Netscape no sólo registra hacia donde se dirige la búsqueda, sino también los criterios de búsqueda, la dirección IP del usuario, la fecha en que Navigator fue instalado y una cifra única de identificación. Tal procedimiento se aplica los buscadores Google, Lycos y Overture.

Netscape asegura a los medios que el propósito de tal registro es elaborar estadísticas sobre la cantidad de usuarios que recurren a la función de búsqueda del navegador para acudir a otros servicios distintos al de la propia Netscape. El motivo sería poder cobrar posteriormente por el servicio.

El lector web de Microsoft, Internet Explorer, tiene una función similar. Sin embargo, en el caso de IE las búsquedas son dirigidas directamente al buscador seleccionado por el usuario, sin tener que transitar primero por los servidores de Microsoft.

Cabe señalar que Netscape no registra los datos mencionados si el usuario acude directamente al sitio del buscador y realiza sus búsquedas ahí.

Enlaces relacionados:
Netscape
Microsoft
Noticia en Diario TI

Scroll to Top