El Sat, 12 Jun 2010 00:27:41 +0200, Carlos E. R. escribió:
On 2010-06-11 23:02, Camaleón wrote:
Te "da" porque tienes un windows 7 instalado que está muy afectado por esa brecha de seguridad (pero mucho, y no hablo en broma).
Jamás navego con ese windows. Es una norma de seguridad de la casa >:-)
No necesitas "navegar" para que te dejen tieso el equipo. Sólo con abrir un PDF debidamente manipulado eres vulnerable. Supongo que huelga decirte que el PDF lo puedes abrir desde un correo, desde una llave USB o un DVD... pero lo digo por si acaso porque parece que no "estamos" muy finos... :-P (...)
Si esas empresas meten algo, ninguna actualización lo va a proteger.
Yo ya tengo los windows parcheados, si alguna empresa mete algo estoy protegida, al menos ante los fallos conocidos.
Te "da" porque oS también está afectado (desde hace una semana) y no estabas enterado. Y teniendo el Acrobat Reader instalado con la versión de Flash que es vulnerable -vulnerabilidad que se está explotando actualmente con éxito, al menos bajo sistemas windows- es una combinación desastrosa (susceptible de comprometer el sistema).
Navego poco, pero ni aún enterándome hubiera podido hacer nada.
No, ni yo tampoco... pero eso no quita para que sabiendo que hay un problema del que no estás protegido, estés alerta. Por ejemplo, yo ahora en lugar de ver los vídeos en streaming, los descargo al disco duro y los abro con un reproductor de vídeo, en local.
Sí, el acrobat reader está instalado, pero no es el primero que uso para abrir pdfs. Y no es el reader el problema, es el flash (abierto fuera o desde dentro del pdf). Y para flash, no hay alternativa posible - o mejor dicho, no la hay desde el lado cliente, son los sitios web los que deciden. Si, ya gnash... que está verde.
Para Flash puedes instalar el parche que ha sacado Adobe. Si tienes un sistema de 64 bits, oS te habrá instalado el wrapper automáticamente y sólo tienes que seguir los pasos que comentó César en el correo. Yo no lo hago por ¿orgullo, cabezonería... ambos? >:-) No lo sé, pero antes dejo de ver los vídeos en Flash que quito el plugin de 64 bits ¡qué le den mucha morcilla a Adobe!
Teniendo en cuenta de que existen servicios gratuitos de suscripción a los boletines mediante correo electrónico o por RSS, tampoco tiene sentido la excusa del "no tienes tiempo".
Estoy subscrito a los de suse. No puedo leerme los de todo el mundo. Leerme más supone dejar de hacer alguna otra cosa.
Lo raro es que no hayan comentado nada en la lista de seguridad de opensuse... y si no lo han hecho, deberías replantearte añadir alguna lista o algún recurso más desde donde mantenerte al día de las vulnerabilidades que puedan afectar a tu sistema.
¿Que "qué más da"? Pues tú verás... yo te tenía por un usuario responsable, vaya, la mayoría de linuxeros lo son por definición ;-)
Ya me advertirán otros como tú >:-)
A ver, Camaleón, mi trabajo actual es cargar camiones, cuando llegan. No tengo ningún ordenador de empresa ni de amigos a mi cargo. No es responsabilidad mía estar totalmente al día. La tuya sí, o eso creo. Ya me avisarás tú ;-)
En ese sentido, soy un usuario más.
¡No lo eres! Eres un usuario linuxero, tienes unas responsabilidades que cumplir, y la primera de ellas es mantener el sistema seguro, caray, por eso mismo has elegido linux ¿no? :-)
Vas apañado si crees que los de oS pueden hacer algo cuando se trata de una vulnerabilidad que afecta a dos programas cerrados (non-oss). Quedan a merced del "vendor" y si al "vendor" le da por mirar hacia otro lado, pues estás j*****.
Sirva como ejemplo que Adobe ha dicho que hasta julio no va a sacar parche para el Acrobat Reader, hala, "pa" que te fíes de los fabricantes.
Bueno, es lo que hay. ¿Que quieres que haga?
Los únicos PDFs raros que leo son los de entidades del estado o de facturas. Si no se leen con otras cosas, necesito el reader, sí o sí, y que salga el sol por Antequera. Espero que esos no traten de violarme el ordenador.
Si no digo que te vaya a pasar nada (repito que aún no he leído de ningún ataque que utilice esta vulnerabilidad y que haya tenido éxito en sistemas linux), sólo que hay que estar informado de esas cosas.
Si fueran flashes de los de seriesyonkis me preocuparía >:-P
Touché :-) Pero ya he activado las contramedidas oportunas: no usar flash player para ver los vídeos. Es más, hoy mismo me voy a poner a buscar algún complemento para Firefox que permita ver los vídeos con Totem en lugar de usar el plugin de Flash, a ver si encuentro algo.
No sólo lo explican sino que han puesto el enlace directo al boletín de seguridad de Adobe. Quizá no lo hayas visto:
http://www.linuxmint-hispano.com/foro/?/ topic,5616.msg34915.html#msg34915
¿Mejor? >:-)
No, quiero el enlace directo a ese CVE. No me vale el informe de Adobe, quiero un informe independiente.
Bueno, tienes varias fuentes de información donde analizan esa vulnerabilidad. La más completa suele ser la del propio fabricante, aunque parezca mentira. Te paso las que tengo: http://www.securityfocus.com/bid/40809/info http://www.hispasec.com/unaaldia/4242 http://www.kb.cert.org/vuls/id/486225 http://www.adobe.com/support/security/bulletins/apsb10-14.html http://www.adobe.com/support/security/advisories/apsa10-01.html (Fíjate que en los boletines de seguridad de Adobe, van añadiendo información según actualizan los datos)
A veces no sé si estás de broma o si hablas en serio (no veo emoticonos en este párrafo así que entiendo que no es broma). Si hablas en serio de verdad que me dejas de piedra, no entiendo de dónde sacas esas cosas.
¿Por qué puede una persona llegar a pensar que un boletín de noticias de seguridad que publica sus notas vía RSS y por correo electrónico sólo permite acceder a él "una vez al día"?
¿Y yo que se? Es la primera vez que leo uno de esos, y al pié de página dicen "Recibe gratis uno al dia", y ayer no me dejaron leerlo. ¿Que quieres que piense? Lo dice bien clarito. Uno gratis al día. Si quieres más, lo cobran.
Lo copio en la foto para que lo veas si no me crees...
¿Me estás diciendo que incluyes una foto para que vea lo que pone en un boletín al que estoy suscrita desde hace varios años, como si no supiera nada de esa empresa? Perdona que sea tan franca, pero ¿me estás tomando por idiota? :-) Hombre, digo yo que antes de decir esas cosas podrías informarte un poco: http://www.hispasec.com/directorio/hispasec/origenes.html http://www.hispasec.com/uad/index_html
¿Por qué crees que, si fuera un servicio de pago o si tuviera alguna restricción (registro previo, acceso limitado), yo lo pondría en la lista para que lo consultéis sin avisar de que existe alguna limitación?
¿Por error quizás? No es la primera vez que alguien postea un enlace que no funciona. Y que no funciona porque es de acceso restringido.
Quizá tengas razón. El error es mío por pensar (o dar por hecho) que la gente -principalmente de España- conoce los sitios como Hispasec o Kriptópolis (referentes en cuanto a temas de seguridad y cifrado en la dećada de los 90).
No, no existe ninguna restricción en ese boletín y se puede consultar todas las veces que quieras.
Pues ayer no me dejaron, ya viste el error.
Sí, lo vi. Pero también podrías haberlo intentando en otro momento, para descartar que el problema fuera un error temporal, en fin, que echarle la culpa al resto del mundo porque te aparece un error de proxy me parece una estrategia poco acertada.
El boletín se llama "Una al día" porque publican una noticia de seguridad cada día. El resto es imaginación tuya.
Pues dilo.
Hay un dicho que reza así: "Cuando el sabio señala la luna, el tonto mira al dedo" No lo tomes a mal, pero te estamos diciendo (tanto César como yo) que hay un problema de seguridad grave, que nos puede afectar directamente a los usuarios de linux, y tú nos dices que el enlace que adjunta César no incluye datos ni información ni enlaces (falso) y que al acceder a una página que te digo te aparece un error de proxy. Da que pensar >:-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org