La solución es actualizar el Java, ya uses Snow Leopard o Lion, son, respectivamente, la Actualización 8 de Java para Mac OS X 10.6 y Java para OS X Lion 2012-003.

Además estas actualizaciones configuran el plug-in de Java para Safari para desactivar la ejecución automática de applets Java, y aunque el usuario vuelva a activarla si al cabo de 35 días no se ha ejecutado ningún applet se vuelve a desactivar.

WifiPass es una aplicación Android para recuperar las claves JAZZTEL_XXXX y WLAN_XXXX, pero las qué vienen por defecto, sólo sirve en ese caso, la aplicación realmente no realiza ningún “crackeo”.

Por ello os recomiendo, SIEMPRE cambiar la contraseña de vuestros routers y el nombre de la red wifi y además poner la encriptación en modo WPA (pasar olímpicamente del WEP).

Descarga | Google Play

Tras un título tan aterrador, la notícia no puede ser alentadora, no es para menos, según Symantec en Julio se ha detectado un augmento bastante significativo de malware polimórfico.

Un malware polimórfico es aquel que tiene la capacidad de “mutar” por si solo y generar variantes para evitar la detección de los antivirus. Aunque los antivirus ya preeven esta caracteristica de polimorfismo del malware, es cierto, que cada vez los creadores de malware usan técnicas de polimorfismo más dificiles de detectar.

Symantec cuenta que ha detectado un 23% de aumento de este tipo de malware en emails. Generalmente el malware viene adjunto como un archivo ZIP autoejecutable disfrazado a su vez de un archivo PDF.

Si juntamos el tema del polimorfismo con algo de ingeniería social, ya tenemos “holocausto informático” :-) Por desgracia además, según dice la notícia, solemos fiarnos de que tenemos un antivirus para abrir todos los archivos sin preocuparnos de nada. Nos guste o no, estos también tienen fallos, por lo que si un malware está realmente bien programado un antivirus puede pasar por alto la amenaza hasta que la empresa del antivirus actualize el motor de detección y tu hayas aplicado dicha actualización. Pero vamos, seguramente ya sea tarde para evitar el mencionado “holocausto”.

Ahora queda por bien si realmente el aumento de este tipo de malware es un hecho puntual o si se va ha convertir en la tendencia general a partir de este momento, veremos qué pasa…

Vía | Slashdot: The Rise of Polymorphic Malware

Foto | Flickr

Recientemente se ha descubierto un fallo bastante gordo de seguridad en Skype del tipo XSS:

Skype suffers from a persistent Cross-Site Scripting vulnerability due to a lack
of input validation and output sanitization of the ‘mobile phone’ profile entry.
Other input fields may also be affected.

Básicamente se trata de un fallo que se explota inyectando un código en el campo del número de teléfono qué no está correctamente validado y un usuario mal intencionado puede puede poner por ejemplo una URL a una web maliciosa. También se cree que podrían haber otros campos afectados con la misma vulnerabilidad. La versiónes afectadas són hasta la 5.3.0.120 y afecta tanto a las plataformas Windows / Mac y seguramente hasta en Linux.

Para ser víctima de esté fallo de seguridad debes tener un usuario en la lista de contactos qué explote la vulnerabilidad, así que bueno, hay que ser cautos con los contactos que tenemos ahora mismo en nuestra cuenta de Skype.

Según dice Skype ya está trabajando para lanzar un parche la semana próxima que arregle este fallo…

Vía | Techcrunh

Más información | Vulnerability in Skype allows accounts to be hijacked | Cross-site scripting en Skype

Sitio oficial | Skype

¡Sorpresa! He leído en barrapunto esto:

Microsoft grabará de forma legal las llamadas de voz y vídeo de Skype para ampliar las posibilidades de seguimiento de conversaciones delictivas terroristas en línea. Microsoft ha patentado «Legal Intercept», una tecnología que le permitirá interceptar y monitorizar de forma legal llamadas de voz y vídeo de Skype, servicio que adquirió en mayo por 8.500 millones de dólares. Microsoft la describe como una herramienta similar a la que las empresas de telecomunicaciones utilizan para cumplir con las exigencias gubernamentales en materia de seguridad.Skype pasa de este modo a entrar en el CALEA(Communications Assistance for Law Enforcement Act), que hace a las empresas de tecnologías de la comunicación puedan ser controladas, siempre por motivos de seguridad y de estado.A pesar del fin de «Legal Intercept» que ha explicado el gigante de Redmond, la patente ha generado cierto temor entre los internautas en materia de privacidad, como se puede observar en diversos blogs y foros, además de en Twitter, donde abundan los mensajes de alarma

¿Alguién ya se esperaba algo así?

Bueno, el primer método: WordPress Exploid Scanner Plugin, se trata de un plugin (bien visto Capitán Obvio) que realiza unos checks sobre la base de datos y los archivos en busca de posibles vulnerabilidades. Su uso es bastante simple y se instala como todos los plugins de WordPress, subiendo el conenido del archivo a /wp-content/plugins y listo. Lo activas y buscas tu DashBoard la opcion de “Exploid Scanner”.

El segundo método es online, en http://www.blogsecurify.com/ puedes realizar un test online sólo con introducir la URL de tu blog. Pero antes debes insertar en alguno de los archivos de tu plantilla uno de los siguientes textos:

<!-- tested by blogsecurify --> o <!-- wpscanner -->

Así se evita poder testear los blogs ajenos. Para evitar tener que editar tu template para insertar dicho código también puedes usar un plugin propocionado en la misma web para preparar automáticamente tu blog para el test.

Espero que os sean de gran utilidad estos dos métodos.

Fuentes: anieto2k y Kriptopolis

Las limitaciones de la versión gratuita son las siguientes:

• Para uso no comercial.
• Sin soporte técnico.
• En ingles, es una lástima.

Cosas buenas de AVG Free:

• Gratuito
• Trae un escanner de emails (funciona con todos los clientes de correo, en thunderbir hay que configurarlo “a mano”).
• Updates diarios de los datos sobre virus.
• Es bastante ligero.

Debo decir que uso este antivirus desde hace tiempo y nunca he tenido problemas con los virus. Cumple su misión a la perfección, seguramente hayan otros antivirus mas completos pero de pago, por ser gratuito está realmente bien. ¿Qué os parece, lo habéis probado?

Descargar AVG Free 8

Sitio Oficial: AVG Free

• Mejor rendimiento en la escritura de posts, dashboard y gestión de los comentarios
• Mejoras en el Gestor de Medios
• Actualización del TinyMCE a la versión 3.0.7
• Cambios en la gestión de los Widgets
• Mejoras de usabilidad, en especial con Internet Explorer.

La lista completa de cambios contempla mas de 70 mejoras.

Si solo estás interesado en corregir las vulnerabilidades actualiza los siguientes archivos: wp-includes/pluggable.php, wp-admin/includes/media.php, y wp-admin/media.php, si lo prefieres, puedes descargar Wordpres 2.5.1 completo desde aquí

Por cierto, en la nota oficial, comentan el SECRET_KEY del wp-config.php.

Esta opción, se encarga de añadir una semilla con la que las cookies usadas para identificarnos como usuario sean más complejas y por consecuente más seguras. Su implementación es realmente sencilla, así que no está de más hacerlo y asegurarnos un poco más.

define('SECRET_KEY', 'w0+,\\Xb-C&gb{%oVPU)^._J5[>0CQ8knHht@({q!PfDv+/ Uuv%m{a1wq^vp(F-m');

Implementación de la SECRET_KEY

1. Abrimos el fichero wp-config.php con nuestro editor favorito
2. Definimos nuestra SECRET_KEY (o usamos una generada aleatoriamente con la herramienta de WordPress)*
3. Incluimos en el fichero la línea generada
4. Guardamos el fichero

*Recomiendo usar está opción.

Fuente: anieto2k