|
 |
dimarts, 11 / gener / 2005 |
Com cada segon dimarts de mes, Microsoft ha publicat els butlletins de seguretat d'aquest mes:
MS05-001
Crítica |
Vulnerabilitat al sistema d'ajuda HTML de Windows, que pot permetre l'execució de codi arbitrari. S'aconsella aplicar l'actualització el més aviat possible.
Butlletí de Microsoft |
Sistemes afectats:
- Windows NT 4.0 Server i Terminal Server, amb Service Pack 6a, sempre que s'hagi instal·lat l'Internet Explorer 6.0.
- Windows 2000 amb Service Pack 3 o Service Pack 4.
- Windows XP amb Service Pack 1 o Service Pack 2 (incloses edicions de 64-bit).
- Windows Server 2003 (incloses edicions de 64-bit).
- Windows 98 i Windows 98SE.
- Windows ME.
|
MS05-002
Crítica |
Vulnerabilitat en el tractament dels fitxers de cursors i d'icones, que pot permetre l'execució de codi arbitrari. S'aconsella aplicar l'actualització el més aviat possible.
Butlletí de Microsoft |
Sistemes afectats:
- Windows NT 4.0 Server i Terminal Server, amb Service Pack 6a.
- Windows 2000 amb Service Pack 3 o Service Pack 4.
- Windows XP amb Service Pack 1 (incloses edicions de 64-bit).
- Windows Server 2003 (incloses edicions de 64-bit).
- Windows 98 i Windows 98SE
- Windows ME
|
MS05-003
Important |
Vulnerabilitat en el servei d'indexació, que pot permetre l'execució de codi arbitrari. S'aconsella aplicar l'actualització el més aviat possible.
Butlletí de Microsoft |
Sistemes afectats:
- Windows 2000 amb Service Pack 3 o Service Pack 4.
- Windows XP amb Service Pack 1 (incloses edicions de 64-bit).
- Windows Server 2003 (incloses edicions de 64-bit).
|
|
21:22 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Aquesta setmana s'ha presentat a una fira d'informàtica de Las Vegas una solució per a afegir suport WiFi als telèfons mòbils Treo 600 i Treo 650. Es tracta d'un accessori, fabricat per Enfora.
A diferència de les targetes WiFi que fabrica PalmOne (i que, per cert, encara no estan oficialment suportades al Treo... encara que ja s'ha aconseguit fer-les anar), el producte d'Enfora és una mena de funda pel telèfon mòbil que es connecta pel port sèrie. Un avantatge d'aquest plantejament és que el propi mòdul WiFi incorpora la seva bateria amb la qual cosa no depèn de l'energia que pot subministrar el telèfon a través de l'slot SD ni afecta a l'autonomia del telèfon)
Les especificacions indiquen que ofereix 5 dies d'autonomia (en stand-by) però només 3 hores de funcionament. La connexió és del tipus 802.11b i les dimensions no són pas petites.
El preu d'aquest accessori serà d'uns 149 dòlars (força competitiu si considerem que la targeta de Palm costa 129 dòlars). La disponibilitat està prevista pel febrer o març d'enguany.
Fotografies obtingudes a PhoneMag.
|
21:00 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
 SANS Institute organitza un parell d'interessants webcasts:
- Internet Storm Center: Threat Update, demà dimecres a les 20.00 hores (hora de Barcelona) sobre les tendències detectades per l'ISC (Internet Storm Center) durant el passat any 2004 i les previsions per a l'any 2005.
- What works in Intrusion Prevention és una entrevista del director de SANS Institute a un venedor de productes de prevenció d'intrusions, McAfee, per tal de conèixer la situació del mercat en el referent a la protecció perifèrica i la detecció i prevenció d'incidències (antivirus, IDS, IPS...). Aquest webcast es farà el dijous 20 de gener a les 20.00 hores.
En tots dos casos, els webcasts són gratuïts però cal registrar-se prèviament.
|
07:48 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[SecurityFocus] SSH and ssh-agent. Com configurar ssh-agent, el sistema de Single Sign-On per a SSH: permet accedir a tots els sistemes remots sense que calgui introduir la contrasenya dels certificats digitals utilitzats per a l'autenticació.
|
07:33 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[Linux Gazette] Securing a New Linux Installation. Recomanacions de les accions a realitzar, des del punt de vista de la seguretat informàtica, un cop instal·lada una nova màquina Linux: configuració del tallafocs, instal·lació de les actualitzacions, deshabilitar serveis, identificació de SUID/SGID no necessaris i instal·lació d'un IDS a nivell de Host i la monitorització dels fitxers de registre d'activitat.
|
07:31 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[CNet] Cell phone virus turns up the heat. Els dos primers virus per a Symbian que es poden considerar perillosos: Lasco.A (que, a més, amplia el mecanisme de distribució al poder distribuir-se associat a fitxers o directament a través de les comunicacions Bluetooth). El segon és una nova variant de Cabir.
A F-Secure també en parlen: New Symbian malware that is both a virus and worm:
Lasco.A spreads itself by searching all SIS installation files in the infected device, and inserts itself as embedded SIS file into them. Thus any SIS file in the device that gets copied to another phone, as frequently happens as people swap software, will also contain a copy of Lasco.A.
In addition to spreading in infected SIS files, Lasco.A will also spread by sending itself directly via bluetooth like Cabir worms do, and Lasco.A will be able to spread from one device to another without a reboot.
|
07:19 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[Forbes] Smart phones: the next embedded interface. Interessant article que explora i discuteix els avantatges dels telèfons d'última generació, els SmartPhones, per al professional mòbil.
With excess computing power, built-in programmable graphics, and multiple communications options, smart cellular phones provide a convenient and capable mobile user interface for many of the growing multitude of intelligent embedded devices. A few clicks on a portable smart phone can directly connect a user to security systems, industrial controllers, access-control systems, medical devices, environmental controls, and home-automation systems, and a smart phone can even replace the array of remote controls in most living rooms.
Un aspecte curiós d'aquest article és conèixer l'herència trekkie del Treo 650
With thousands of compatible third-party applications developed for the Palm Pilot, the recently introduced Treo 650 from PalmOne combines all the features of the popular PDA plus Internet access, e-mail, and a GSM or CDMA cellular connection. Admitting a fascination with science fiction, Rob Haitani, PalmOne product architect for the Treo and the original Palm user interface says, "When we designed the first Treo smart phone, it had a form factor similar to the communicators in the original Star Trek television series. Later, a speakerphone mode allowed you to stand there and talk into it like Captain Kirk.
Sobre el mercat:
Gartner Research analyst Ben Wood states that: "Symbian will remain dominant for some time, though rival operating systems are starting to gain momentum".
Jo ja he explicat com faig servir el Treo 600 per accedir per SSH a servidors; ho faig servir amb força freqüència i, a més, s'ha demostrat força útil poder accedir a les màquines des de virtualment qualsevol lloc. No és el suficientment còmode com per treballar-hi amb normalitat, però sí per a realitzar un canvi d'urgència o consultar una configuració particular.
|
07:05 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Nombroses vulnerabilitats a DB2:
Com resultat d'aquestes vulnerabilitats es poden llegir i/o escriure fitxers als servidors de base de dades de forma remota i realitzar atacs de denegació de servei (DoS). IBM ha publicat les actualitzacions necessàries que podeu obtenir a través dels darrers FixPak per a DB2 8.1 i DB2 7.x.
|
06:55 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
 Nova versió de SiteDigger, que dóna molta més informació (fins a deu vegades més), nova interfície d'usuari, reducció del nombre de falsos positius i possibilitat de realitzar cerques directes.
SiteDigger és una utilitat per a la cerca dins de la memòria cau de Google la presència de fitxers que en algun moment han estat visibles i que poden comprometre la seguretat: fitxers històrics de bash i sh, fitxers amb contrasenyes, pàgines per defecte dels servidors web, missatges d'errors, errors de consultes SQL, expressions mal construïdes, documents amb dades sensibles, administració remota, vulnerabilitats conegudes...
Per a més detalls, podeu consultar l'article «Conèixer la informació sensible que hi ha a Google amb SiteDigger» que vaig escriure el passat agost.
|
06:47 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
© Copyright 2003-2005 Xavier Caballe.  . Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.
|
 |
 |
 |
 |
Contingut actualitzat
Categories
Darrers comentaris
Arxiu
Contingut antic
(ja no s'actualitza)
Versions anteriors
d'aquesta pàgina
|
 |
 |
 |
 |
|
