Alerta! noscript no siempre protege!

Menuda chorrada acabo de ver vía kriptopolis donde se comenta el post de una tal sandi que ha ganado más publicidad y links a su web que otra cosa (era una desconocida)  el asunto es que el artículo está publicado entre los blogs de Most Valuable Professional de microsoft, en este post la escritora afirma que noscript “no siempre” proteje del secuestro del portapapeles en flash, el asunto es que es cierto, no lo hace cuando desabilitas la protección contra archivos flash 😀 jajajaaa….
En fin deliciosa la respuesta de Giorgio Maone con respecto a este tema:

Proof of concept:

  1. Disable IE7’s Protected Mode

OK, I was just joking.
I’m confident this blog post is a joke as well.
After all, its author is a MVP

Actualización WordPress 2.6.1

Solo hasta ayer noté el aviso de que había salido una nueva versión de wordpress, así que me dia a la tarea de actualizar, para quien no lo haya echo antes, se trata de reemplazar los archivos antiguos por los de la nueva versión, cosa de descargar desde http://wordpress.org/download/ la última versión y subir los archivos a nuestra carpeta al server y reemplazar los antiguos, con algunos cuidados a tener antes del proceso, como un backup de la base de datos y de los archivos, eso por si las moscas, y tambien precauciones especiales en caso de haber cambiado la ruta de las carpetas wp-admin y wp-content, pero en fin un proceso sencillo.
Continuar leyendo “Actualización WordPress 2.6.1”

Fallo en Joomla 1.5.x Remote Admin Password Change!

Acabo de ver un fallo descomunal en Joomla 1.5.x, lastimosamente muchos sitios están afectados por el fallo, la cosa es que ya empecé a buscarle una solución.
Se trata de un fallo en la función confirmReset de los archivos que controlan el reseteo de las cuentas de usuario, permitiendo setear directamente el pasword de la cuenta admin, lo más fácil que se puede hacer, es llamar a el usuario SuperAdministrador de otro modo, es decir cambiale el nombre “admin”, ya que mientras no tengas el parche para el fallo, serás vulnerable y lo mejor sería que a pesar de que el atacante pueda resetear el pasword, no pueda entrar porque desconoce el nombre del usuario administrador.
Actualización: ya está el parche para subsanar este problema, prueba de que la comunidad de software libre es bastante eficaz y que 100 ojos ven más que uno (link a descarga de la actualización de seguridad 1.5.6).