Según Brian Krebs, los usuarios que aceptan las opciones por defecto en la instalación de OpenOffice 3.0.1, obtienen Java 6 Update 7, una versión anticuada (primavera 2008) e insegura, pues no incluye la desinstalación automática de versiones antiguas de Java existentes en el sistema, que pueden así seguir siendo invocadas por posibles atacantes para explotar sus vulnerabilidades.
Vulnerabilidades
ATENCIÓN: Este sitio ha dejado de actualizarse el 15 de Abril de 2012 y se mantiene como archivo histórico de los contenidos publicados entre 2004 y 2012. Por favor, visita nuestro nuevo sitio para acceder a información actualizada. Muchas gracias.Cuando el flamante navegador de Google se convirtió en un fiasco plagado de bugs (cuyo uso el propio gobierno alemán llegó a desaconsejar) la excusa perfecta fue que se trataba sólo de una versión beta.
Ahora, en un movimiento sorprendente, Google ha anunciado la disponibilidad -sólo para Windows- de Chrome 1.0. Es decir, ha decretado el final del período beta y ha publicado la primera versión final.
Pues bien; a las pocas horas, Chrome 1.0 ya ha logrado el dudoso honor de ser considerado el navegador que peor protege las contraseñas de sus usuarios. De hecho presenta tres problemas que colaboran en la primera versión oficial de Chrome para explotar un fallo que fue publicado hace dos años, y que posibilita que un atacante robe las contraseñas almacenadas en Chrome sin que el usuario siquiera se entere. Al parecer los tres problemas fueron señalados por Chapin en la beta de Chrome y ni uno solo de ellos ha sido corregido en la versión final. Pero el asunto no queda ahí, porque Chapin Information Services asegura haber detectado nada menos que otros 17 fallos en el gestor de contraseñas de Chrome.
Safari no le anda a la zaga, mientras Opera 9.62 parece ser el navegador que mejor protege las contraseñas de los probados por Chapin, que ha publicado los resultados y descripción detallada de todos los tests a los que ha sometido tanto a Chrome y Safari como a Opera, Firefox y Explorer, además de un web de demostración para que los propios usuarios puedan comprobar la seguridad de sus navegadores.
La actualización RC-30 para Android 1.0 cierra un tremendo agujero que afecta a todas las versiones anteriores del software y permite obtener acceso oculto a la ejecución de comandos con privilegios de root al encender el dispositivo.
En principio este fallo se interpretó como una forma de liberar el teléfono G1 de Google e instalar en él lo que se quisiera, incluyendo otro sistema operativo. Pero el asunto va aún más lejos: basta teclear "telnetd" mientras el teléfono arranca para después poder acceder a él desde cualquier otro dispositivo, disponiendo de acceso remoto total root sin contraseña.
Al parecer el descubrimiento del fallo fue casual. Un sujeto intercambiaba mensajes de texto con su novia cuando ella le preguntó por qué no había respondido uno. Él simplemente tecleó "reboot" y para su sorpresa su teléfono se reinició.