Mailinglist Archive: opensuse-es (644 mails)

< Previous Next >
Re: [opensuse-es] Re: IMPORTANTE nueva versión de flash
  • From: "Carlos E. R." <robin.listas@xxxxxxxxxxxxxx>
  • Date: Sat, 12 Jun 2010 00:27:41 +0200
  • Message-id: <4C12B85D.2040703@xxxxxxxxxxxxxx>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 2010-06-11 23:02, Camaleón wrote:
El Fri, 11 Jun 2010 21:57:51 +0200, Carlos E. R. escribió:

On 2010-06-11 08:23, Camaleón wrote:

Pues deberías estar suscrito a algún boletín de seguridad... más
teniendo el acrobat reader instalado.

No tengo tiempo. Para eso están los chicos de Novell... además, si ellos
no publican el arreglo, no voy a tener la actualización, así que... ¿que
mas da?

Te "da" porque tienes un windows 7 instalado que está muy afectado por
esa brecha de seguridad (pero mucho, y no hablo en broma).

Jamás navego con ese windows. Es una norma de seguridad de la casa >:-)

Ese sólo sale a internet a través de los programas de actualización de hardware
que sólo funcionan
en windows: teléfono movil, gps... en general no se abre el navegador, que
suele ser el firefox en
mi caso, y sólo a las páginas de esas empresas. Si tengo que navegar, como es
en casa, uso el
grande, que va con linux.

Si esas empresas meten algo, ninguna actualización lo va a proteger.


Te "da" porque oS también está afectado (desde hace una semana) y no
estabas enterado. Y teniendo el Acrobat Reader instalado con la versión
de Flash que es vulnerable -vulnerabilidad que se está explotando
actualmente con éxito, al menos bajo sistemas windows- es una combinación
desastrosa (susceptible de comprometer el sistema).

Navego poco, pero ni aún enterándome hubiera podido hacer nada.

Sí, el acrobat reader está instalado, pero no es el primero que uso para abrir
pdfs. Y no es el
reader el problema, es el flash (abierto fuera o desde dentro del pdf). Y para
flash, no hay
alternativa posible - o mejor dicho, no la hay desde el lado cliente, son los
sitios web los que
deciden. Si, ya gnash... que está verde.

Teniendo en cuenta de que existen servicios gratuitos de suscripción a
los boletines mediante correo electrónico o por RSS, tampoco tiene
sentido la excusa del "no tienes tiempo".

Estoy subscrito a los de suse. No puedo leerme los de todo el mundo. Leerme más
supone dejar de
hacer alguna otra cosa.

¿Que "qué más da"? Pues tú verás... yo te tenía por un usuario
responsable, vaya, la mayoría de linuxeros lo son por definición ;-)

Ya me advertirán otros como tú >:-)

A ver, Camaleón, mi trabajo actual es cargar camiones, cuando llegan. No tengo
ningún ordenador de
empresa ni de amigos a mi cargo. No es responsabilidad mía estar totalmente al
día. La tuya sí, o
eso creo. Ya me avisarás tú ;-)

En ese sentido, soy un usuario más.


Tengo la lista de seguridad de suse. Las generalistas, no. Si mi
responsabilidad fuera la seguridad de otros, pues entonces sí me las
leería.

Vas apañado si crees que los de oS pueden hacer algo cuando se trata de
una vulnerabilidad que afecta a dos programas cerrados (non-oss). Quedan
a merced del "vendor" y si al "vendor" le da por mirar hacia otro lado,
pues estás j*****.

Sirva como ejemplo que Adobe ha dicho que hasta julio no va a sacar
parche para el Acrobat Reader, hala, "pa" que te fíes de los fabricantes.

Bueno, es lo que hay. ¿Que quieres que haga?

Los únicos PDFs raros que leo son los de entidades del estado o de facturas. Si
no se leen con otras
cosas, necesito el reader, sí o sí, y que salga el sol por Antequera. Espero
que esos no traten de
violarme el ordenador.

Si fueran flashes de los de seriesyonkis me preocuparía >:-P


http://www.linuxmint-hispano.com/foro/?/topic,5616.0.html

No explica el problema.

Lo explica perfectamente (CVE number: CVE-2010-1297).

Eso no es explicar el problema. Es decir que en ese aviso se explica el
problema, que es distinto. Ni siquiera han puesto un enlace para verlo.

No sólo lo explican sino que han puesto el enlace directo al boletín de
seguridad de Adobe. Quizá no lo hayas visto:

http://www.linuxmint-hispano.com/foro/?/topic,5616.msg34915.html#msg34915

¿Mejor? >:-)

No, quiero el enlace directo a ese CVE. No me vale el informe de Adobe, quiero
un informe independiente.


Proxy Error

Ah, y tienes problemas de acceso. Quizá ya estés "infectado" >>:-)

Mi problema es que hispasec no me deja pasar. No tengo problemas
propios, son ellos. A lo mejor tu les pagas, o estás registrada o algo.
O sólo se puede ver una vez al dia ese enlace, como dice el nombre. No
tengo ni idea.

[...]

Hoy si funciona. Es eso, una noticia gratis al dia, lo dice en la barra
azul de abajo.

A veces no sé si estás de broma o si hablas en serio (no veo emoticonos
en este párrafo así que entiendo que no es broma). Si hablas en serio de
verdad que me dejas de piedra, no entiendo de dónde sacas esas cosas.

¿Por qué puede una persona llegar a pensar que un boletín de noticias de
seguridad que publica sus notas vía RSS y por correo electrónico sólo
permite acceder a él "una vez al día"?

¿Y yo que se? Es la primera vez que leo uno de esos, y al pié de página dicen
"Recibe gratis uno al
dia", y ayer no me dejaron leerlo. ¿Que quieres que piense? Lo dice bien
clarito. Uno gratis al día.
Si quieres más, lo cobran.

Lo copio en la foto para que lo veas si no me crees...


¿Por qué crees que, si fuera un servicio de pago o si tuviera alguna
restricción (registro previo, acceso limitado), yo lo pondría en la lista
para que lo consultéis sin avisar de que existe alguna limitación?

¿Por error quizás? No es la primera vez que alguien postea un enlace que no
funciona. Y que no
funciona porque es de acceso restringido.


No, no existe ninguna restricción en ese boletín y se puede consultar
todas las veces que quieras.

Pues ayer no me dejaron, ya viste el error.


El boletín se llama "Una al día" porque publican una noticia de seguridad
cada día. El resto es imaginación tuya.

Pues dilo.


Ahí vienen a decir que la vulnerabilidad es en aquellos ficheros que
enlazan a otro fichero flash, con lo cual, el problema es el flash.

¿Pelis en flash? No gracias :-p

No, este fallo de seguridad es de Flash *cuando se tiene instalado el
Acrobat Reader* (hace uso de un archivo que se instala con el Reader, en
el caso de Linux es "libauthplay.so.0.0.0"):


Eso lo que hace simplemente es una funcionalidad que tiene el reader que es
abrir enlaces a otros
tipos de cosas, dinámicamente. Y uno de los que se puede abrir son flashes. El
hecho de poder abrir
cosas es en si mismo un problema de seguridad, en manos de una empresa cerrada.

Ahora bien, da la casualidad que los flashes tienen una vulnerabilidad ahora
mismo: pues bien, ya
tienes el problema tanto en el reader como en el flash por un problema en el
flash, que afecta a ambos.


- --
Cheers / Saludos,

Carlos E. R.
(from 11.2 x86_64 "Emerald" GM (Elessar))
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.12 (GNU/Linux)
Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/

iEYEARECAAYFAkwSuF0ACgkQU92UU+smfQX1XgCdF7WBQ0dY7bVF3DfMM670/HRG
ZasAn2DLLcbhQNsgY1OiAl1yUXGZ2Uyx
=z2TI
-----END PGP SIGNATURE-----
< Previous Next >
Follow Ups