El primer problema es una vulnerabilidad XSS en la función “Publica esto” (Press This), descubierta por Benjamin Flesch. El segundo problema, descubierto por Dawid Golunski, es un problema con la comprobación de la validez de los nombres de archivo cargado que puede ser explotado en ciertas configuraciones de Apache.

Puedes actualizar tu sitio accediendo desde el Escritorio (o Tablero) a la sección “Herramientas -> Actualizar” y pulsar en “Actualización automática”: en unos segundos tu WordPress estará actualizado a la nueva versión. Aunque aún no está disponible el paquete con la traducción al castellano los archivos de lenguaje no sufren ninguna modificación desde los de la versión 2.8.5, por lo que puedes ignorar sin miedo ese mensaje que te advierte que “Estás a punto de instalar WordPress 2.8.6 en inglés. Es posible que con esta actualización la traducción actual se corrompa.” Por supuesto también puedes descargar e instalar el paquete de WordPress 2.8.6 en inglés.

Si tienes en tu blog autores registrados que no sean de confianza es altamente recomendable actualizar lo antes posible a WordPress 2.8.6.

– Javier Llorente

Zone Alarm Pro Firewall

El popular cortafuegos (firewall) para Windows, Zone Alarm Pro, estará disponible en español para descarga gratuita hoy martes 10 de noviembre de 2009. Gracias a esta promoción especial del fabricante, se podrá descargar la versión completa sin coste alguno, con una licencia válida por un año y para un máximo de tres equipos. La descarga gratuita estará disponible a partir de las 7:00 de la mañana y estará disponible durante 24 horas. La promoción está limitada a una descarga por usuario por lo que, para poder realizar la descarga, se solicitará registro y un número válido de tarjeta de crédito, si bien no se realizará ningún cargo. Si llegas tarde a la promoción especial aún podrás comprar Zone Alarm Pro al precio de oferta de 19,95€ en la propia web del fabricante.

El sitio de la promoción es www.zonealarm.com/only24hours/es

Actualización: Ya se ha activado la descarga; estará disponible sólo durante 24 horas hasta mañana 11/11/2009 a las 7:00h. Si no te convence dar tu número de tarjeta de crédito para descargarlo, prueba con el generador de números de tarjetas de crédito de DarkCoding: genera números válidos a nivel de algoritmo de comprobación, pero no a nivel de pago. Ideales para comprobar sitios de e-commerce… o para dar cuando te lo piden para verificar pero no te van a hacer ningún cargo. Si quieres rizar el rizo, el generador de identidades Fake Name Generator te genera una identidad ficticia completita: nombre, apellidos, dirección, sitio web, ocupación… e incluso número de tarjeta de crédito. Según comentan en la noticia en Menéame.net, al menos los números de DarkCoding, con un código de verificación VCC inventado de 3 cifras, funcionan para la descarga.

– Javier Llorente

Vía: eWeek Europe – Zone Alarm Pro 2010, en descarga gratuita

Ya está disponible WordPress 2.8.5, actualización de seguridad que principalmente corrige una grave vulnerabilidad en el sistema de trackbacks que afecta a todas las versiones de este popular CMS y que fue detectada hace unos días por el programador Jose Carlos Norte, además de otros bugs menores.

Puedes actualizar tu sitio accediendo desde el Escritorio (o Tablero) a la sección “Herramientas -> Actualizar” y pulsar en “Actualización automática”: en unos segundos tu WordPress estará actualizado a la nueva versión. Aunque aún no está disponible el paquete con la traducción al castellano los archivos de lenguaje no sufren ninguna modificación desde los de la versión 2.8.4, por lo que puedes ignorar sin miedo ese mensaje que te advierte que “Estás a punto de instalar WordPress 2.8.5 en inglés. Es posible que con esta actualización la traducción actual se corrompa.” Por supuesto también puedes descargar e instalar el paquete de WordPress 2.8.5 en inglés.

Se trata de una actualización importante que corrige un problema serio, así que actualiza tan pronto como sea posible.

– Javier Llorente

La campaña pretende fomentar el uso del nuevo DNIe y todos los lectores a repartir serán completamente gratuitos. Las personas que soliciten un lector deberán pagar solamente 2 € de gastos de envío. Puedes pagar mediante tarjeta de crédito o a través de PayPal, si bien en el momento de escribir estas líneas la opción de PayPal está temporalmente deshabilitada.

Solicita ya tu lector de DNI electrónico.

– Javier Llorente

Uno de los guardias civiles fue señalado por un compañero y fue acusado de ser quien había instalado y utilizado el ‘keylogger‘. ¿El motivo de la sospecha? “Entre otras cosas, por ‘los amplios conocimientos informáticos que éste posee’, conocimientos que, según especificó en el acto del plenario, consistían en que sabía bajar música, aunque reconoció que no le había visto instalar ni utilizar el programa”.

Impecable razonamiento: si sabe bajarse música de Internet, por fuerza ha de ser un peligroso hacker, capaz de instalar subrepticiamente un software malicioso y robar las claves del banco. El mismo impecable razonamiento que lleva a que la página web de la empresa me la haga mi cuñado “que es un fiera en esto de interné porque una vez me instaló el emule”.

La acusación contra el presunto hacker acabó en los juzgados, donde se ha impuesto el sentido común y finalmente ha sido absuelto. El juez de la Audiencia Provincial de Lérida indica en el auto: “Nos hallamos ante la sospecha inicial de un compañero, cuya frágil base estriba en otorgar mayores conocimientos informáticos al acusado, alegando que el mismo sabe bajarse música de Internet”, si bien “aunque pudiera contar con una mayor destreza informática, no ha resultado debidamente acreditado en la causa una especial formación o habilidad para la instalación del programa malicioso”

Por mi parte sospecho que quien instaló el ‘keylogger‘ muy posiblemente lo hizo de forma inadvertida al abrir el fichero adjunto infectado de algún mensaje de spam.

La moraleja de la historia es: cuidado con los ordenadores de uso compartido.

– Javier Llorente

Más información: Absuelto un guardia civil de ‘hackear’ ordenadores en la comandancia de Lleida, vía Asociación de Internautas

Pero como los bulos nunca mueren, con la excusa de la crisis el texto en cuestión está volviendo a aparecer de nuevo en nuestros buzones.

Asunto: vale Mercadona

Hola a todos,

Si mandáis este mail a 8 personas y le mandas también la copia a sugerencias@mercadona.es te envían un vale de 100 euros para comprar en Mercadona, y como esta la vida, me parece el mejor email reenviado que he recibido jamás.
Si además, lo enviais a 20 personas entrais en el sorteo de 200 viajes… Un saludo y a comprar en Mercadona, chavales!!!

Promoción Mercadona.
MERCADONA TE REGALA VALES DE 100 EUR EN COMPRAS Y CIENTOS DE VIAJES POR TODO EL MUNDO.

Abrimos 12 nuevos establecimientos, y por ello queremos captar nuevos clientes. Sabemos de la calidad de nuestros productos, y por ello tenemos la seguridad de que si te invitamos a tus primeras compras ya no querrás ser cliente de otro supermercado. Todo lo que hay que hacer es enviar este e-mail a ocho de tus conocidos. Una vez finalizado el proceso de autentificación recibirás un mensaje en tu mail solicitándote los datos necesarios para hacerte llegar tu premio.. Además, si el mensaje es enviado a 20 personas o más, entrarás en el sorteo de 200 viajes a diferentes destinos por todo el mundo.

Por supuesto lo que era falso en 2007 sigue siendo falso en 2009; así que si recibes el mensaje en cuestión en tu correo lo mejor que puedes hacer es borrarlo sin contemplaciones.

– Javier Llorente

Más información:

• El verdadero peligro de los hoax
• Bulo: Vale Mercadona
• El bulo de Mercadona: regalo de 100 euros por enviar un email a 8 usuarios