El denominado “laptop de 100 dólares” del proyecto OLPC (One Laptop Per Child), es costoso en comparación con el “laptop de 10 dólares” anunciado por las autoridades indias.

Según el Ministro de Educación de India, D. Purandeswai, las autoridades lanzarán en asociación con la industria TI nacional un PC portátil destinado específicamente a estudiantes, por el asombroso precio de 10 dólares.

El súper-económico ordenador será comercializado principalmente entre estudiantes de educación superior y alumnos de secundaria, con el fin de incrementar sus conocimientos y uso práctico de herramientas informáticas. No se ha proporcionado una fecha de lanzamiento del producto.

India experimenta un formidable crecimiento de su sector TI. Según diversos cálculos, en 2008, la industria aportará USD 50 mil millones a la economía nacional, importe que aumentará a USD 100 mil millones para 2010.

fuente: diarioti.com

Se han encontrado dos vulnerabilidades en Asterisk, ambas calificadas como críticas, que podrían permitir a un atacante local o remoto causar una denegación de servicio en los sistemas vulnerables.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

A continuación se explican con más detalle las vulnerabilidades encontradas y corregidas:

* Por medio del envío masivo de peticiones POKE a un sistema vulnerable, un atacante podría acaparar todos los números de llamada (líneas) asociados con el protocolo IAX2, impidiendo el procesamiento del resto de llamadas o peticiones, provocando una denegación de servicio. El fallo está causado porque, de acuerdo con el protocolo IAX2, una vez que el servidor recibe una petición de POKE, este mandaría una respuesta PONG y se quedaría esperando por un paquete ACK con el mismo número de llamada, manteniendo ocupada esa línea. El problema ha sido solucionado usando única y exclusivamente el número de llamada 1 (línea 1) para las peticiones POKE y descartando los paquetes ACK para dicha línea.

El investigador que descubrió la vulnerabilidad hizo público un exploit tan solo dos días después de informar al equipo de Digium acerca de la misma y sin dar tiempo suficiente para la creación de un parche. A los desarrolladores de Asterisk, que se enteraron de la existencia del exploit por medio de terceras partes, no les ha gustado esta forma de proceder y la han tachado de irresponsable al poner en riesgo la usabilidad de los sistemas afectados.

* En cuanto a la segunda vulnerabilidad descubierta, está provocada por la falta de un método de validación de destino (handshake) en el protocolo usado para el envío de actualizaciones del firmware, y podría permitir que un atacante remoto falsificase la dirección desde la que se envía dicha petición, causando que el paquete de actualización mandado por el servidor (con un tamaño de 1040 bytes) tuviera como destino una dirección falsificada. Por medio de múltiples peticiones a distintos servidores, un atacante remoto podría dirigir a un sistema una gran cantidad de paquetes de actualización no deseados, causándole una denegación de servicio.

fuente: antivirusgratis.com.ar

Finalmente Mozilla libera una versión actualizada de Thunderbird, que corrige al menos 8 vulnerabilidades, incluyendo las anunciadas al publicarse las nuevas versiones para Firefox 2.x y 3.x hace una semana.

Esta actualización, incluye la solución para el problema con hojas de estilo (CSS), que pueden permitir la ejecución remota de código.

Este problema sería un desbordamiento de stack (stack overflow) al manejarse estructuras de hojas de estilo, y es compartido por Firefox.

Al menos otros dos problemas, también podrían dar como resultado, en caso de una explotación exitosa, la posible ejecución remota de código no deseado.

Las demás vulnerabilidades van desde la corrupción de la memoria operativa del programa, hasta problemas que pueden hacer que la aplicación se cierre de forma arbitraria, al intentar leer ciertos mensajes maliciosamente creados.

De las ocho vulnerabilidades, seis están catalogadas como moderadas, y dos son de nivel menor.

Última versión NO vulnerable:

- Thunderbird 2.0.0.16

fuente: antivirusgratis.com.ar