Según indican en su boletín de seguridad, Adobe se ha adelantado una semana a su agenda trimestral original, que marcaba el 12 de octubre como fecha para realizar una actualización. La siguiente, a menos que hagan otro cambio, ya será durante el próximo trimestre, concretamente el 8 de febrero de 2011.

Por si acaso, recordar que ambos programas incluyen un mecanismo de actualización automático. Si por alguna razón no ha saltado todavía o lo tenéis desactivado, se puede encontrar dentro del menú “Ayuda”. Si no os gusta Reader, no dejéis de echar un ojo al post que mi compañero Guillermo Julian dedicó a lectores alternativos de PDF.

Vía | Download Squad
Enlace | Adobe Security bulletin

Esto ya parece una broma, pero no lo es. Hace apenas 6 días se encontraba una vulnerabilidad 0-day en Acrobat y Reader. Hoy se encuentra otra en el mismo software y además en Flash, para cualquier SO en el que esté instalado.

La vulnerabilidad puede producir un fallo en el sistema operativo, y podría permitir a un atacante hacerse con el control del sistema. Afecta a todas las versiones de Flash en cualquier sistema operativo, incluido Android, y a las de Acrobat y Reader 9.3.4 y anteriores para Windows, Mac y Unix. Más que un agujero de seguridad, parece un boquete del tamaño de la Tierra.

Esta vulnerabilidad ya se está explotando activamente en Flash para Windows. Adobe planea lanzar un parche para todas las versiones de Flash la última semana de septiembre, y los de Acrobat y Reader estarían la primera semana de octubre.

Creo que esto ya es pasarse completamente de la raya. Ya no es un fallo, ya no es dejadez de Adobe, ya es una completa irresponsabilidad. Es la quinta vulnerabilidad grave, y estos son productos usados por muchísima gente, entre los que se encuentran administraciones y empresas. Adobe debería de tener más cuidado con sus productos, esto no debería pasar en ningún fabricante de software.

¿Quién puede confiar ahora en Adobe? A mí, desde luego, no me va a resultar fácil instalar ningún producto de esta compañía sin pensar que más pronto que tarde aparecerá una (si no más) vulnerabilidad grave explotada.

Vía | Seguridad Apple
Más información | Boletín de seguridad de Adobe
Imagen | Hans Gerwit
En Genbeta | Lectores de PDF alternativos a Adobe Reader

Creo que ya podemos renombrar a Adobe Reader como Adobe “Queso de Gruyere” Reader. En los últimos 12 meses ha tenido tres vulnerabilidades graves, y hoy conocemos la cuarta.

Según Adobe, la vulnerabilidad afecta a Adobe Reader 9.3.4 y anteriores para Mac, Windows y Unix; y a las de Acrobat 9.3.4 y anteriores para Mac y Windows. La vulnerabilidad permitiría a un atacante provocar un fallo (crash) en el ordenador e incluso hacerse con el control del sistema.

Lo más grave de todo es que la vulnerabilidad está siendo explotada y el código del exploit está disponible en Internet. Y de momento no existe ningún parche. Adobe tampoco da ninguna posible solución temporal, y no podemos saber cómo evitarlo porque no tenemos más detalles de la vulnerabilidad.

Creo que Adobe está haciendo un mal trabajo con su lector de PDF. Cuatro vulnerabilidades graves en un año es algo que en una empresa de su envergadura no debería pasar. Vale que siempre hay errores y bugs en los programas, pero esto es demasiado. Ni siquiera Internet Explorer, uno de los programas más criticados de la breve historia de Internet, ha generado tantas noticias de vulnerabilidades graves.

Personalmente, recomiendo cambiar de lector de PDF. Existen alternativas buenas, como Foxit PDF Reader o Nitro, del que hablamos en Genbeta hace poco.

Vía | CNET News
Más información | Adobe Security Advisory

Desde hace mucho tiempo que Adobe Reader aprovecha esta función de Windows, ofreciendo miniaturas y vistas previas de PDFs en el explorador de archivos. Por desgracia, la implementación que han hecho tiene unos cuantos errores, provocando que no funcione bajo las ediciones de 64-bits de Windows.

Los de Adobe llevan ya varios años haciendo oídos sordos a este problema, sin dar ninguna solución a los usuarios. Por eso, no resulta extraño que Leo Davidson (un desarrollador independiente) haya perdido la paciencia y haya decidido crear su propio parche para este bug (!). Una vez que lo instalemos, la vista previa de PDFs andará como reloj suizo en nuestro Windows de 64-bits, y en las aplicaciones que se integren con el “preview handler” de Adobe (por ejemplo, Microsoft Outlook).

Aprovechamos de recordarles que existe también un preview handler de Foxit Reader, más liviano y con más funciones que el de Adobe, y que no requiere de un parche para funcionar bien.

Vía | istartedsomething
Enlace | Pretentiousname.com (Sitio oficial)

Después de acabar el año 2009 de manera bastante desastrosa en relación a la seguridad de sus productos, en Adobe le han vuelto a ver las orejas al lobo. Se ha detectado que parte de los últimos ataques perpetrados contra algunas organizaciones y empresas podrían tener su origen en un archivo PDF adjunto que ha viajado vía correo electrónico.

Desgraciadamente todo parece indicar que las vulnerabilidades detectadas a finales de año son el origen de los ataques. A pesar de las actualizaciones, el sistema implementado por Adobe para llevarlas a cabo no parece triunfar entre los usuarios y muchos de los sistemas no están a la última, con lo cual es más fácil explotar estos errores.

Desde Adobe consideran que hacen los deberes publicando las actualizaciones y barajan la posibilidad de utilizar un método de actualización invisible al usuario, más opaco y que a cambio de nuestra seguridad, manipulará nuestro sistema a su antojo. Falta por ver si vía configuración de sus programas podrá mantenerse el actual sistema.

Tampoco vamos a rasgarnos las vestiduras porque un programa se actualice sin comunicarlo al usuario, de hecho Chrome lo hace y nadie se ha quejado más de la cuenta, al menos hasta ahora.

La parte que atañe al navegador de Microsoft parece tener más difícil solución y es que se relaciona directamente a Internet Explorer (en sus versiones entre el 6 y el 8) con los ataques que ha sufrido Google en China.

Lo mejor de todo es que el exploit ha sido utilizado únicamente para introducir un troyano en más de una veintena de organizaciones y empresas que han sufrido los ciberataques durante las últimas semanas. Todo parece apuntar un ataque ciberterrorista organizado y dirigido, cuya finalidad era el robo de documentos e información.

Como resultado de estos ataques algunos organismos se plantean prohibir a sus empleados utilizar el navegador de Microsoft, de hecho, el Gobierno de Alemania, que ya sufrió ciberataques en el pasado (y todas las sospechas apuntaban también a China) ya ha puesto en marcha una campaña informativa aconsejando a sus empleados el uso de navegadores alternativos.

Desde Microsoft todavía no han solucionado la vulnerabilidad en cuestión y aunque tampoco se ha extendido, constituye un peligro para los usuarios finales. En el comunicado emitido por la empresa de Redmond reconocen el fallo y listan los sistemas afectados según versiones.

Sin duda, toda esta situación ha demostrado que las guerras del futuro se librarán también en la red y por supuesto, los intereses de agencias y grandes multinacionales serán los primeros en ser atacados.

Vía | ZDNet y Mashable
Enlace | Comunicado de Microsoft
En Genbeta | Seguridad

El problema afecta Adobe Reader y Acrobat en sus versiones 9.2 o 8.1.7. Los usuarios de Windows Vista, Windows 7 y Windows XP SP3 con la opción de DEP (Data Execution Prevention) activado son menos vulnerables y se verían afectados sólo por una denegación de servicio. Se recomienda desactivar JavaScript para todas las versiones de Acrobat y evitar que nuestro navegador abra automáticamente archivos PDF.

La otra opción que tenemos es activar una lista negra de JavaScript en Adobe que es la solución facilitada por la compañía, pero tampoco tenemos garantías, puesto que una lista negra sólo eliminará los sitios que estén incluidos en la misma, como es lógico. Si queréis tener mayor seguridad siempre podemos optar por gestionar los archivos PDF con otros programas, que no será por variedad en este campo.

Cada vez son más frecuentes los ataques a este tipo de programas que son multiplataforma, muy extendidos y que están siendo los que más vulnerabilidades tienen según los últimos estudios. Adobe Reader tiene mucho que mejorar si quiere quitarse el título de programa más inseguro de 2009 que le otorga la revista Forbes. Sobre todo podría empezar por no tardar casi un mes en solucionar los problemas que reconoce como críticos.

Más Información | INTECO
En Genbeta | Actualiza Acrobat Reader si no lo has hecho últimamente

Hay constancia de que la vulnerabilidad ya ha sido explotada. Hay una forma de mitigar el efecto mientras tanto, aunque no evita por completo el riesgo. Tan sólo hay que abrir Acrobat, seleccionar Editar – Preferencias, seleccionar la pestaña JavaScript, y deshabilitar Acrobat JavaScript.

Para los que criticamos Vista, los usuarios de este sistema que tengan activado el DEP (Data Execution Prevention) están protegidos frente al exploit. No habrá parches para versiones antiguas de Acrobat hasta dentro de unas semanas, así que será un buen momento para actualizarse.

Vía | Mashable
Sitio oficial | Adobe

¿Ya has probado el último lanzamiento de Ubuntu? Cierto, Jaunty Jackalope no tiene novedades muy vistosas, pero gracias a sus mejoras internas es más rápido que nunca. Si quieres afinarlo y añadir todos esos programas fundamentales que por cuestiones legales, de filosofía o de inestabilidad no vienen en Ubuntu por defecto, sigue leyendo. Y recuerda que si haces click en un enlace de este artículo, automáticamente podrás instalar el paquete del que hablo.

Lo primero es comprobar si tienes los drivers más eficientes para tu tarjeta gráfica y demás componentes, para lo cuál debes ir a Sistema->Administración->Controladores de Hardware. Lo más probable es que el rendimiento de tu máquina mejore tras activar estos drivers privativos, con la desventaja de perder algo de libertad y atarte a ellos al no ser software libre. Si tienes algún problema con tu hardware, no dudes en visitar los foros de Ubuntu y buscar tu modelo/problema, seguro que encuentras algo de ayuda.

Antes de seguir deberías actualizar el sistema desde Synaptic o desde donde quieras. Si te parece que se descarga demasiado lento, puedes cambiar el servidor desde Sistema->Administración->Orígenes del Software por uno a tu elección, o por el mejor si eliges esa opción (tarda un poco). Aunque los primeros días después de un lanzamiento es recomendable elegir uno de estos servidores espejo, pasado un par de semanas os aconsejo volver a poner el mirror oficial de vuestro país, ya que suele estar mejor sincronizado, suele ir más rápido y dar menos problemas.

El paquete que siempre instalo primero desde que fue añadido a los repositorios es ubuntu-restricted-extras. En este metapaquete se enmarcan todos los componentes que por cuestiones legales en algunos países no se pueden incluir por defecto, pero que pueden ser publicados en el repositorio. En concreto se encuentran: el plugin de Flash, las fuentes de Microsoft, el descomprensor de archivos RAR, la última versión de Java y decenas de códecs, entre ellos el de MP3, los DVD y los vídeos codificados con DiVX.

Sin embargo, hay otros códecs y programas que casi seguro que nos interesan y que no están en el repositorio oficial. Por suerte, tenemos Medibuntu para rellenar los huecos. Para añadir su repositorio ejecuta esto en una terminal:

sudo wget http://www.medibuntu.org/sources.list.d/jaunty.list --output-document=/etc/apt/sources.list.d/medibuntu.list

Y luego añade su clave pública con este comando:

sudo apt-get update && sudo apt-get install medibuntu-keyring && sudo apt-get update

Ahora tendrás acceso a más códecs propietarios de vídeo como los WMV de Microsoft o la reproducción de DVDs cifrados, junto a populares programas como Skype, Acrobat Reader y su plugin para Firefox, GoogleEarth, Mplayer con más soporte de formatos, etc. Si quieres ver la lista completa de paquetes, visita la página de Medibuntu.

Lo siguiente en la lista es ampliar las opciones de personalización de Compiz, que por defecto son muy pobres en comparación con lo que puede llegar a dar. Antes deberías haber activado los efectos en Sistema->Preferencias->Apariencia->Efectos Visuales. Instala su administrador Compiz Config Settings Manager y tendrás para retocar miles de opciones. En serio, miles. Y ya que estás, muy recomendado la pequeña aplicación fusion-icon, que se colocará en la barra de notificaciones y te dará opciones para manejar Compiz rápidamente.

Otra aplicación que se está haciendo imprescindible es Gnome-Do. Si después de instalarlo vamos a sus preferencias y elegimos la pestaña apariencia, podremos activar Docky, ese increíble dock que está pensado para usar tanto con el ratón como con el teclado. Hace unos días nuestro compañero Guillermo nos dio algunos trucos para personalizarlo aún más, algo que os recomiendo.

Otra aplicación que puede que te salve de algunos apuros es Wine, el emulador de Windows que no es un emulador. Aunque se encuentra en los repositorios oficiales de Ubuntu, te recomiendo añadir los de los desarrolladores, ya que está muy actualizado, la estabilidad es la misma y la diferencia de rendimiento puede ser importante. Para añadir el repositorio escribe esto en una terminal:

sudo wget http://wine.budgetdedicated.com/apt/sources.list.d/jaunty.list -O /etc/apt/sources.list.d/winehq.list

Y añade la clave pública con:

sudo wget -q http://wine.budgetdedicated.com/apt/387EE263.gpg -O- | sudo apt-key add - && sudo apt-get update

Ahora ya puedes instalar Wine, y después de él casi cualquier programa que solo esté disponible en Windows. Por ejemplo, para instalar Spotify, primero crea una cuenta y luego baja el ejecutable de Windows. Al instalarlo se creará un acceso directo en el menú Aplicaciones, bajo la categoría Wine, y podrás reproducir música de una manera medianamente decente. Si quieres también configurar Firefox/Opera para que los enlaces de Spotify vayan a la aplicación, en su web al final de todo lo explican.

Sigue el artículo en la segunda parte

En la entrada de Guillermo pudimos ver de reojo una joya llamada Medibuntu, pero desde mi punto de vista no la resaltó tanto como se merece, así que aquí va una entrada en “profundidad”.

¿Que es Medibuntu? Simple y llanamente unos repositorios donde podemos encontrar todos esos paquetes libres y no libres que no se pueden distribuir en los repositorios oficiales por problemas de licencias, patentes y demás cuestiones legales nacionales e internacionales. En un mundo ideal, esos paquetes no serian “apetecibles” para los usuarios, pero lamentablemente todavía hay ocasiones que estamos obligados a usar software privativo.

Aparte de la comodidad de tener todas esas aplicaciones de terceros a un click, Medibuntu nos hace la vida más fácil a los intrépidos que disponemos de sistemas de 64 bits, ya que todos los paquetes están listos para usarse en esta plataforma. Es decir, ya no hace falta ir por la web buscando las versiones de 64 bits de Acrobat Reader, Google Earth o Skype, porque están disponibles en este repositorio.

Además de estas tres aplicaciones (versiones Intel 32 bits, Intel 64 bits y PPC), los paquetes estrella son los codecs necesarios para visualizar DVD sin problemas y los codecs para casi todos los demás tipos de vídeo y audio propietarios (wma, wmv, mov…), por supuesto disponible también para cualquiera de estas tres plataformas.

Por otro lado tenemos una recompilación de reproductores como Amarok, Kaffeine o Mplayer, cuyos paquetes disponibles en Ubuntu están “capados” por problemas legales, y que desde aquí podremos instalar fácilmente. Para acabar, tenemos otros paquetes sueltos como los componentes para trabajar con AMR y FAAC, una versión sin censura de ffmpeg y hot-babe, un programa para… esto lo dejo para que lo descubráis vosotros mismos.

Aunque la página de ayuda que podéis encontrar en el wiki de Ubuntu es bastante explicativa, como está en inglés os voy a ahorrar la molestia y detallaros la instalación de este repositorio en Ubuntu 8.04:

• Primero vamos a añadir los repositorios: vamos a una terminal, copiamos/pegamos este comando y le damos a enter.

sudo wget http://www.medibuntu.org/sources.list.d/hardy.list -O /etc/apt/sources.list.d/medibuntu.list

• Ahora, vamos a añadir la clave GPG de estos repositorios, para que nuestro sistema no se queje. Lo mismo, en una terminal:

sudo apt-get update && sudo apt-get install medibuntu-keyring && sudo apt-get update

• Ya está preparado, ahora solo nos queda añadir los paquetes mediante Sistema->Administración->Gestor de paquetes Synaptic o mediante la terminal con nuestra utilidad preferida. Los paquetes más interesantes se llaman así:

• libdvdcss2 – Para la reproducción de DVD.
• non-free-codecs – Para el resto de codecs propietarios, todas las plataformas.
• acroread – Acrobat Reader, instala también acroread-plugins si quieres tener todos los extras
• mozilla-acroread – ¡El plugin para ver pdf dentro de Firefox!
• googleearth – La última versión de la aplicación más espectacular de Google.
• skype – Adivina…
• mplayer , amarok , kaffeine , k3b , ffmpeg – La versión completa y sin restricciones de estas aplicaciones libres. Si ya las tenías, se actualizan automáticamente.
• hot-babe – Ejem…

Recuerda que si solo te interesan las aplicaciones libres de Medibuntu, es decir, aquellas que no se incluyen al 100% en Ubuntu por restricciones en solo algunos países, puedes encontrar las instrucciones en el wiki de Ubuntu. Por ejemplo, la librería necesaria para leer DVD sigue siendo ilegal en EEUU, pero en España y otros países no.

Enlace | Medibuntu, wiki de Ubuntu
Enlace | Medibuntu