24 de enero de 2008

OJO: Skype podría ser una puerta de software malicioso


Un error en el software de comunicaciones de Skype podría permitir a los hackers introducir software malévolo en los ordenadores que estén utilizando la opción de videoconferencia del programa.

Skype se ha convertido en otro de los programas que, debido a su configuración, pueden permitir el acceso de intrusos a nuestros ordenadores. El problema viene por el uso que el programa hace de las ventanas de Internet Explorer para dar HTML, según explicó el pasado jueves el investigador de seguridad Aviv Raff. “Skype no aplica controles de seguridad estrictos al software, por lo que un atacante podría ejecutar el código de scripting en el sistema de la víctima de forma peligrosa y en última instancia instalar un software malévolo”, subrayó.

El fallo se establece cuando Skype arranca Internet Explorer con un nivel de seguridad bajo en la zona local, por lo que abre una puerta que puede dar acceso a los atacantes los cuales pueden hacer todo tipo de cosas como leer y escribir archivos del disco local o lanzar ejecutables.

Por su parte, el informático especializado en temas de seguridad, Petko Petkov, escribió en un post de su blog que para que los hackers puedan atacar, primero tienen que encontrar un sitio web de confianza que contenga un defecto de programa común llamado cross-zone scripting error. De este manera, este camino les dará un camino de engañar Skype y poder arrancar un software malévolo desde una web.

A través de un video colgado en su blog, Raff demostraba este problema en la web Dailymotion.com en la que se apreciaba cómo podía ser explotada para lanzar un programa de calculadora en Windows, usando el Skype. "El usuario simplemente tiene que visitar DailyMotion vía Skype y darle al botón de vídeo para charlar´. De esta manera se activará el vector cross-site scripting”, explicó Petkov.

Además, el informático advirtió que lo peor del asunto es que los atacantes pueden inundar el sitio con publicidad maliciosamente codificada con el objetivo de incrementar su probabilidad de infectar a una víctima. Sin embargo, Raff aseguró que estos tipos de ataques son muy fáciles de evitar y recalcó que el defecto se encuentra sobretodo en la última versión de Skype (versión 3.6.0.244), aunque insistió en que las versiones más viejas del software también podrían estar en peligro. "Hasta que los chicos Skype resuelvan esta vulnerabilidad, recomiendo que dejen de utilizar la opción de video del programa”, subrayó.

IBM/Lotus se alía con Cisco y Nortel en comunicaciones unificadas


IBM/Lotus ha sellado acuerdos con Cisco, Nortel y Carestream Health, en virtud de los cuales éstos suministrarán como OEM el software de comunicaciones en tiempo real Lotus Sametime de la primera.

IBM/Lotus se ha hecho con nuevos aliados para competir por el suministro de clientes e infraestructura de comunicaciones unificadas (UC) a los usuarios empresariales. En concreto, la compañía ha anunciado acuerdos OEM con Cisco, Nortel y Carestream Health para su producto de comunicaciones en tiempo real Sametime.

Cisco integrará Sametime en su oferta abierta UC y desarrollará plug-ins que integren capacidades UC con Sametime. El fabricante comercializará Sametime a través de su canal de socios UC Advanced Specialized, el cual cuenta ya con 1.200 miembros.

Por su parte, Nortel planea integrar Sametime en su catálogo Call Server para ofrecer funcionalidades de VoIP, presencia y “click-to-conference”. Además, empaquetará Sametime con Nortel Small Business Communications Server 500, y el resultado, con el hardware IBM System.
Tanto Nortel como Cisco mantienen alianzas con otros suministradores de comunicaciones en tiempo real para UC, incluidoMicrosoft, algunas de cuyas aplicaciones entran en competencia directa con Lotus.

En cuanto al suministrador sectorial Carestream Health, incluirá las capacidades de VoIP y de mensajería instantánea de Sametime con su tecnología de imaging para aplicaciones de radiología.

La W3C publica el borrador del HTML 5


La primera actualización importante de la especificación HTML desde 1997, el HTML 5 ha sido publicado como primer borrador por la World Wide Web Consortium, incluyendo varias API para el dibujado de gráficos en dos dimensiones y el control de contenido de vídeo y audio. Se espera que la versión final de la especificación esté disponible a finales de 2010.

HTML es el lenguaje de marcado base para la creación de páginas web. El HTML 5 tiene como objetivo potenciar la interoperabilidad y reducir los costes de software al proporcionar reglas sobre el correcto manejo de los documentos HTML y la recuperación de errores.

Con la versión 5, el W3C tiene dos objetivos principalmente: ver el modo en el que se está utilizando actualmente el HTML en comparación a lo que se encuentra recogido en las especificaciones y la implementación de nuevas características, tal y como indica Dan Connolly (miembro de la W3C HTML Working Group). "Hemos estado haciendo muchas cosas [desde la última actualización], aunque básicamente el ritmo con el que ha evolucionado la web en comparación con el ritmo de nuestros esfuerzos no han coincidido hasta ahora", ha declarado.

Las nuevas características pertenecen en su mayoría a las aplicación web y a la integración del vídeo como un soporte de primera clase en la web, según ha indicado Connolly. En cuanto a las nuevas características propuestas, la W3C ha estudiado lo que hace la gente en la web y lo que están desarrollando los sitios web punteros. "Ahora ha llegado el momento de estandarizarlo", de modo que dichas capacidades puedan verse en las herramientas de autor, indica Connolly.
Mediante la estandarización de dichas capacidades, se facilita su aprendizaje y resulta más sencillo contratar a alguien que pueda implementar estas tareas.

Palm se encuentra en fuerte sintonía con Vista


Después de seis meses desde que fuese lanzada la versión beta, Palm finalmente hace públicas sus versiones de Desktop 6.2 y HotSync Manager 7.0, ambas compatibles con Windows Vista. Los interesados pueden acceder a la página web de Palm, donde se encuentran disponibles desde el pasado día 15 de enero.

Se trata de una actualización necesaria para los usuarios de PDAs o dispositivos smartphone de la marca Palm que no trabajan con sistema operativo Windows Mobile. Entre las nuevas características comunes para todos los dispositivos Palm es que ofrece soporte desde una única interfaz, sustituyendo la característica Palm Quick Install, por la herramienta Install Tool para sincronizar aplicaciones Palm OS y bases de datos a través de HotSync. De la última citada hay que destacar las herramientas avanzadas para los profesionales, las cuales pueden ser utilizadas sin necesidad de instalar el software Palm Desktop. Éstas integran soporte para Outlook 2007 con el fin de sincronizarse con los calendarios, los contactos, tareas y notas indicadas en el equipo de sobremesa, aprovechando las bondades que ofrece la última versión de Office 2007.

Sin embargo, algunas características Desktop contempladas en versiones previas han dejado de existir. Por ejemplo, la sincronización del correo por USB ha desaparecido. A través de VersaMail, el cliente de correo de Palm, es posible sincronizarlo por conexión inalámbrica wireless, o bien, a través del operador correspondiente, lo cual incluye sincronización con cuentas de Outlook utilizando Exchange ActiveSync.

Los recordatorios típicos de cumpleaños y aniversarios que aparecen en el calendario del dispositivo Palm, no aparecerán en el calendario de la aplicación Palm Desktop, pero tendrán su respectivo backup en el PC de forma que puedan ser restauradas si llega a ser necesario. Los códigos de colores de los eventos de Outlook 2007 ahora también aparecerán en el dispositivo.
En definitiva, Palm Desktop 6.2 y HotSync Manager 7.0 son compatibles con los siguientes dispositivos Palm, en sus versiones de sistema operativo Palm: Centro, así como smartphones Treo, excepto los modelos 600, TX, Z22 y Tungsten E2. Tampoco correrán sobre versiones de Windows Vista de 64 bits.