La buena de Sandi, una MVP (Most Valuable Professional, o "Profesional Más Valorado" para Microsoft) publica en su blog un artículo incendario, donde lo menos amarillo son las letras del título:

ALERTA: FIREFOX CON NOSCRIPT NO PROTEGE DEL SECUESTRO DEL PORTAPAPELES MEDIANTE FLASH

¿Comorrrr? ¡Pues a mí sí que me protege! Tan evidente como que el fichero malicioso ni siquiera se reproduce.

Entonces, ¿por qué a la brillante MVP de Microsoft no le funciona NoScript en Firefox y a mí sí? Sencillo: la muy cuca había desactivado la opción "Bloquear Adoble Flash" en la configuración de NoScript...

¿"Fanboy" de Windows, Linux o Mac? ¿De Firefox, Explorer o Safari? Da igual; si has instalado el reproductor de Flash de Adobe cualquier anuncio malicioso puede apoderarse de tu portapapeles, anotando en él una dirección poco recomendable que te ofrecerá un falso antivirus definitivo.

Y "apoderarse" es literal. Hasta que no cierras tu navegador o la correspondiente pestaña no puedes hacer otra cosa con el portapapeles que pegar la dirección fraudulenta. Por tanto si acostumbras a copiar y pegar direcciones en la barra de direcciones, y has resultado "tocado", ya sabes dónde vas a ir a parar.

Ni siquiera hace falta visitar sitios sospechosos, porque parece que el asunto está siendo explotado mediante anuncios en sitios como Newsweek, Digg y MSNBC.

Y si eres de los que antes de creer necesitan meter la mano en la llaga, Aviv Raff ha creado para ti una demostración inofensiva.

Como siempre, NoScript es tu mejor amigo...

Ofertas como ésta hay cientos (¿miles?), pero no todo el mundo se atreve a enviarlas a Kriptópolis para que se publiquen como comentario anónimo.

Así que, como premio extra, he decidido traer este "chollo" a portada, eliminando antes -claro- la presunta dirección de contacto. Sin embargo he respetado escrupulosamente la sintaxis y ortografía originales... incluido el abundante uso del repugnante término "hackear" y sus derivados ("hackeo", "hackeado"...), proscritos desde hace tiempo de este sitio por razones mil veces explicadas.

Lo peor del caso es que apuesto a que antes de media hora tendremos comentarios o mensajes pidiendo datos más concretos para poder contratar este "servicio"...

Iván Sánchez (de Null Code Services) ha informado de la existencia de una vulnerabilidad en la utilidad Nslookup de Microsoft Windows, una herramienta de línea de comandos que se utiliza para comprobar los servidores DNS.

La vulnerabilidad (sobre la que aún no se han dado detalles) permitiría la ejecución de código arbitrario en la máquina víctima, incluso si ésta ejecuta Windows XP SP2 totalmente parcheado.

De momento no existe parche. Microsoft asegura estar estudiando la situación, mientras algunos medios afirman que la vulnerabilidad ya está siendo activamente explotada...

En varias ocasiones hemos hablado sobre cómo hacer para que nuestras sesiones en Gmail transcurran cifradas. Sin embargo eso no evita el uso de cookies no cifradas, lo que bajo determinadas circunstancias puede permitir a un intruso acceder a nuestras cuentas.

El asunto viene de lejos y a él se atribuye algún robo de cuenta (incluso la de algún reputado experto en seguridad), pero ahora (que el ataque ha sido demostrado en Defcon y se anuncia una herramienta para explotarlo) Google ha reaccionado y ha añadido una opción en la configuración de cada cuenta Gmail que permite garantizar el uso permanente y completo de cifrado en https. Sin embargo, me llama la atención que Google, tan proclive en otras ocasiones a adoptar configuraciones por defecto sin contar con el usuario, no haya marcado ésta como opción por defecto. Supongo que se debe a que el cifrado impone una mayor carga a sus servidores.

Por tanto, si utilizas Gmail, te toca a ti hacerlo cuanto antes desde la opción de configuración de tu cuenta, marcando la casilla que señalo en la imagen y pulsando después "Guardar cambios":