-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 2010-06-12 12:02, Camaleón wrote:
El Sat, 12 Jun 2010 00:27:41 +0200, Carlos E. R. escribió:
On 2010-06-11 23:02, Camaleón wrote:
Te "da" porque tienes un windows 7 instalado que está muy afectado por esa brecha de seguridad (pero mucho, y no hablo en broma).
Jamás navego con ese windows. Es una norma de seguridad de la casa >:-)
No necesitas "navegar" para que te dejen tieso el equipo. Sólo con abrir un PDF debidamente manipulado eres vulnerable.
Es que no abro PDFs en ese ordenador con windows estando conectado. Y si lo hiciera, imagino que el propio reader va a ver si hay versión actualizada, y la bajará. Y si no lo hace, me da igual saberlo que no saberlo... Si se me cargan el windows, pues repongo la imagen y listos. Bienvenido al club, ya sabemos que el windows es una caca y peta, formatea cada dos meses...
Supongo que huelga decirte que el PDF lo puedes abrir desde un correo,
No tengo correo en el windows.
desde una llave USB o un DVD... pero lo digo por si acaso porque parece que no "estamos" muy finos... :-P
¡Es que no leo PDFs estando conectado en windows! No te enteras. El uso de ese windows es muy limitado. Sólo se usa para actualizar el nokia y poco más, porque ni siquiera lo necesito para la declaración de la renta ya
(...)
Si esas empresas meten algo, ninguna actualización lo va a proteger.
Yo ya tengo los windows parcheados, si alguna empresa mete algo estoy protegida, al menos ante los fallos conocidos.
Ese es el quid, los conocidos. Y antes de ser conocidos, han sido explotados a lo mejor durante meses.
Te "da" porque oS también está afectado (desde hace una semana) y no estabas enterado. Y teniendo el Acrobat Reader instalado con la versión de Flash que es vulnerable -vulnerabilidad que se está explotando actualmente con éxito, al menos bajo sistemas windows- es una combinación desastrosa (susceptible de comprometer el sistema).
Navego poco, pero ni aún enterándome hubiera podido hacer nada.
No, ni yo tampoco... pero eso no quita para que sabiendo que hay un problema del que no estás protegido, estés alerta.
No puedo estar en todo. Mira, yo al menos me entero, de una manera u otra. Hay miles, millones, de usuarios que ni se enteran ni les importa. Ni sabrían que hacer de enterarse.
Por ejemplo, yo ahora en lugar de ver los vídeos en streaming, los descargo al disco duro y los abro con un reproductor de vídeo, en local.
Bueno, si puedes verlos con otra cosa que no sea flash... es que yo no entiendo porqué un vídeo tienen que publicarlo en flash, como no sea que quieran hacer cosas malas con él.
Sí, el acrobat reader está instalado, pero no es el primero que uso para abrir pdfs. Y no es el reader el problema, es el flash (abierto fuera o desde dentro del pdf). Y para flash, no hay alternativa posible - o mejor dicho, no la hay desde el lado cliente, son los sitios web los que deciden. Si, ya gnash... que está verde.
Para Flash puedes instalar el parche que ha sacado Adobe. Si tienes un sistema de 64 bits, oS te habrá instalado el wrapper automáticamente y sólo tienes que seguir los pasos que comentó César en el correo.
Para eso está el YOU.
Yo no lo hago por ¿orgullo, cabezonería... ambos? >:-) No lo sé, pero antes dejo de ver los vídeos en Flash que quito el plugin de 64 bits ¡qué le den mucha morcilla a Adobe!
Teniendo en cuenta de que existen servicios gratuitos de suscripción a los boletines mediante correo electrónico o por RSS, tampoco tiene sentido la excusa del "no tienes tiempo".
Estoy subscrito a los de suse. No puedo leerme los de todo el mundo. Leerme más supone dejar de hacer alguna otra cosa.
Lo raro es que no hayan comentado nada en la lista de seguridad de opensuse... y si no lo han hecho, deberías replantearte añadir alguna lista o algún recurso más desde donde mantenerte al día de las vulnerabilidades que puedan afectar a tu sistema.
Lo han comentado, ¿no viste el forward que hice?
En ese sentido, soy un usuario más.
¡No lo eres! Eres un usuario linuxero, tienes unas responsabilidades que cumplir, y la primera de ellas es mantener el sistema seguro, caray, por eso mismo has elegido linux ¿no? :-)
Claro, porque me fio de los que me proveen los parches de seguridad >:-P
Si fueran flashes de los de seriesyonkis me preocuparía >:-P
Touché :-)
Pero ya he activado las contramedidas oportunas: no usar flash player para ver los vídeos. Es más, hoy mismo me voy a poner a buscar algún complemento para Firefox que permita ver los vídeos con Totem en lugar de usar el plugin de Flash, a ver si encuentro algo.
Los videos podrás, pero, ¿y esos sitios idiotas que ponen los menús en flash? No creo que funcionen con las alternativas. Y son sitios necesarios, porque son o bancos, o sitios de soporte de algún hardware que tienes que mantener.
No sólo lo explican sino que han puesto el enlace directo al boletín de seguridad de Adobe. Quizá no lo hayas visto:
http://www.linuxmint-hispano.com/foro/?/ topic,5616.msg34915.html#msg34915
¿Mejor? >:-)
No, quiero el enlace directo a ese CVE. No me vale el informe de Adobe, quiero un informe independiente.
Bueno, tienes varias fuentes de información donde analizan esa vulnerabilidad. La más completa suele ser la del propio fabricante, aunque parezca mentira. Te paso las que tengo:
http://www.securityfocus.com/bid/40809/info http://www.hispasec.com/unaaldia/4242 http://www.kb.cert.org/vuls/id/486225 http://www.adobe.com/support/security/bulletins/apsb10-14.html http://www.adobe.com/support/security/advisories/apsa10-01.html
(Fíjate que en los boletines de seguridad de Adobe, van añadiendo información según actualizan los datos)
Eso es bueno.
A veces no sé si estás de broma o si hablas en serio (no veo emoticonos en este párrafo así que entiendo que no es broma). Si hablas en serio de verdad que me dejas de piedra, no entiendo de dónde sacas esas cosas.
¿Por qué puede una persona llegar a pensar que un boletín de noticias de seguridad que publica sus notas vía RSS y por correo electrónico sólo permite acceder a él "una vez al día"?
¿Y yo que se? Es la primera vez que leo uno de esos, y al pié de página dicen "Recibe gratis uno al dia", y ayer no me dejaron leerlo. ¿Que quieres que piense? Lo dice bien clarito. Uno gratis al día. Si quieres más, lo cobran.
Lo copio en la foto para que lo veas si no me crees...
¿Me estás diciendo que incluyes una foto para que vea lo que pone en un boletín al que estoy suscrita desde hace varios años, como si no supiera nada de esa empresa? Perdona que sea tan franca, pero ¿me estás tomando por idiota? :-)
Te lo pongo para que veas a lo que me refiero y que estoy leyendo. Yo no conozco esa empresa ni ese sitio. Yo leo lo que ponen y saco ideas. Tu los conocerás y para tí esa frase significará otra cosa. Pero si yo veo "una gratis al dia", y cuando intento verlo me dicen que no... pues está claro, he pasado el limite de gratuidad. ¿Que no es eso? Pues que lo expresen de otra forma. Chica, no te lo tomes a la tremenda... cada cual saca sus ideas de manera distinta. No todo está claro para todo el mundo.
Hombre, digo yo que antes de decir esas cosas podrías informarte un poco:
http://www.hispasec.com/directorio/hispasec/origenes.html http://www.hispasec.com/uad/index_html
No investigo todos los enlaces que me pasan. Si me lo dan mascadito, pues a lo mejor los miro... como esos dos que acabas de poner.
¿Por qué crees que, si fuera un servicio de pago o si tuviera alguna restricción (registro previo, acceso limitado), yo lo pondría en la lista para que lo consultéis sin avisar de que existe alguna limitación?
¿Por error quizás? No es la primera vez que alguien postea un enlace que no funciona. Y que no funciona porque es de acceso restringido.
Quizá tengas razón. El error es mío por pensar (o dar por hecho) que la gente -principalmente de España- conoce los sitios como Hispasec o Kriptópolis (referentes en cuanto a temas de seguridad y cifrado en la dećada de los 90).
Pues no, no los conozco. Alguna vez he visto cosas de esos sitios, pero no los sigo con asuiduidad. A ver, repito, no suelo navegar. Hasta hace poco no sabía ni usar el gugle. ¿Que pasa? >:-) Tu eres afortunada de tener acceso a internet durante mucho tiempo. Yo no lo he tenido. En la mayoría de trabajos que he tenido, no había acceso a internet de ninguna clase, eran intranets cerradas. O tenía que usar un modem para salir al exterior y pelearme por la unica linea, con tiempo sólo para descargarme los correos del exchange (correo interno). O usar un modem sabiendo que al jefe le facturaban el minuto y que me iba a pasar la factura por las narices a final de mes echándome las culpas. ¿Al llegar a casa? Pues lo mismo, pagando la conexión, el tiempo justo para lo imprescindible. Navegar, ver sitios interesantes... narices. Mi adsl es reciente, pero mi tiempo sigue siendo limitado.
No, no existe ninguna restricción en ese boletín y se puede consultar todas las veces que quieras.
Pues ayer no me dejaron, ya viste el error.
Sí, lo vi.
Pero también podrías haberlo intentando en otro momento, para descartar que el problema fuera un error temporal, en fin, que echarle la culpa al resto del mundo porque te aparece un error de proxy me parece una estrategia poco acertada.
Lo intenté varias veces. Un error de "proxy" no es local mio, es externo. No tengo proxy.
El boletín se llama "Una al día" porque publican una noticia de seguridad cada día. El resto es imaginación tuya.
Pues dilo.
Hay un dicho que reza así:
"Cuando el sabio señala la luna, el tonto mira al dedo"
No lo tomes a mal, pero te estamos diciendo (tanto César como yo) que hay un problema de seguridad grave, que nos puede afectar directamente a los usuarios de linux, y tú nos dices que el enlace que adjunta César no incluye datos ni información ni enlaces (falso) y que al acceder a una página que te digo te aparece un error de proxy.
Yo no he dicho que no pongan enlaces. Los pone. He dicho que ellos no describen el problema. En español. Completo. Es un foro nada más. Si digo que ahí no lo pone, pues decidme donde lo pone y ya está, ¡jolines!
Da que pensar >:-)
Jolines, ¡que yo no soy el papa, para saberlo todo y ser infalible! Para eso estáis los demás. Que manía... - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkwTaw8ACgkQU92UU+smfQV1tACbBeRFwWzHdOrWe8HlkKWcq/EI iHgAni7a9cag3KDPmLH/ALHb7dQWLMxA =HaRe -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org