Mostrando mensaje 1706     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No 2654 Año 11, sábado 1 de marzo de 2008 Fecha: Sabado, 1 de Marzo, 2008  04:54:11 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No 2654 Año 11, sábado 1 de marzo de 2008 _____________________________________________________________ Expertos advierten sobre la seguridad en AIR _____________________________________________________________ http://www.vsantivirus.com/01-03-08.htm Expertos advierten sobre la seguridad en AIR Por Angela Ruiz angela@videosoft.net.uy AIR (Adobe Integrated Runtime), es una tecnología gratuita que permite la creación de aplicaciones interactivas de escritorio basadas en HTML, Ajax, Flash y otras herramientas del tipo Web 2.0. Especialistas en seguridad informática, han advertido que el mal uso de esta tecnología, puede llevar a que intrusos puedan acceder a archivos locales por medio de las aplicaciones basadas en la misma. Adobe AIR saca provecho de una serie de tecnologías de código abierto, incluyendo algunas que también están implementadas en Firefox, Flash, Konqueror y Safari (por ejemplo Tamarin, SQLite y WebKit). Para proteger el equipo del usuario, AIR implementa un ambiente del tipo "caja de arena" (sandbox). Esto es común en muchos lenguajes y entornos, tales como Java, donde para prevenir daños en el sistema del cliente, las aplicaciones descargadas de Internet se ejecutan en un ambiente cerrado (la llamada "caja de arena"), desde no pueden tener acceso a llamadas del sistema operativo o a otros recursos del sistema. En el caso de las aplicaciones basadas en AIR, la propia documentación de Adobe sugiere que estas "sandboxes" son menos seguras que una sandbox implementada por un navegador Web. Esto no es nada tranquilizador, después que Firefox presentara recientemente una vulnerabilidad que puede permitir a un intruso acceder al sistema de archivos de forma remota. Según la documentación de Adobe, las aplicaciones desplegadas con Adobe AIR "tienen capacidades de escritorio de gran alcance y acceso a datos locales." Las aplicaciones AIR necesitan ser firmadas digitalmente para ejecutarse. Pero estos certificados pueden ser firmados por cualquiera. Además, muchos usuarios ignoran las alertas sobre la falta de firmas certificadas, ejecutando de todos modos aplicaciones que no son confiables. Aún cuando Adobe proporciona artículos sobre la seguridad en AIR, es una práctica común para muchos desarrolladores sin experiencia ignorar dichas precauciones, tanto por desconocimiento de su existencia como por "comodidad". De ese modo, muchas de las aplicaciones creadas con AIR, pueden llegar a convertirse en potenciales amenazas para los usuarios que las utilizan. Las posibilidades y tipos de ataques son numerosos, por ejemplo ejecución de código por inyección de scripts, o hasta la ejecución de algún troyano que luego podría obtener y enviar a Internet información del usuario. Todavía peor es que muchos desarrolladores confíen en la protección que brindan las sandboxes, cuando por lo contrario, este tipo de protección es una de las más débiles como se ha demostrado últimamente. La confianza siempre es peor que la simple ignorancia del peligro. AIR está siendo utilizado por muchos sitios populares que brindan sus aplicaciones para ser instaladas en el escritorio del usuario (por ejemplo AOL Top 100 Videos player, eBay Desktop, NASDAQ Market Replay y Nickelodeon Online). * Relacionados: Adobe AIR is out. Let's talk about security http://isc.sans.org/diary.html?storyid=4019 Security experts warn of potential malicious AIR code http://www.zdnetasia.com/news/security/0,39044215,62038215,00.htm Introducing the Adobe AIR security model http://www.adobe.com/devnet/air/articles/introduction_to_air_security.html Creación e implantación de aplicaciones dinámicas de Internet en el escritorio http://www.adobe.com/products/air/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Mantenga actualizado su programa antivirus. De poco vale tener un antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. De todos modos, hoy en día las actualizaciones de la mayoría de los fabricantes son diarias y automáticas. Si tiene un producto que no se actualiza automáticamente, piense seriamente en cambiarlo. 2) No abra ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Tampoco haga clic en enlaces sugeridos en aquellos correos o mensajes instantáneos que no solicitó. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Manténgase informado de cómo operan los virus, y de las novedades sobre éstos, alertas y anuncios críticos, en sitios como el nuestro. 4) No descargue nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceda como con los archivos adjuntos. Cópielos a una carpeta y revíselos con su antivirus debidamente actualizado, antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.eset.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No 2654 Año 11, sábado 1 de marzo de 2008