La web regional informará del estado de las reservas de sangre

' La Comunidad de Madrid informará de forma permanente sobre la situación de las reservas de sangre del Centro de Transfusión, que asegura el abastecimiento de los bancos de sangre de los hospitales públicos de la región. Los contenidos sobre donación de sangre dentro del Portal de Salud han sido renovados y ampliados para albergar más información, más actualizada y accesible.

Dentro de los nuevos contenidos, que son accesibles a través de la pestaña 'Cuidando mi Salud', dentro de la Sección de 'Ciudadano' del Portal de Salud, destaca la información actualizada sobre la situación de las reservas de sangre en los hospitales públicos de nuestra región. Un sencillo gráfico informa sobre el nivel de necesidad de recibir donaciones de cada uno de los grupos sanguíneos mediante tres códigos de urgencia según el color: el rojo indica la necesidad de donación urgente, el amarillo que debe donarse en 2 ó 3 días, y el verde que debe donarse en la próxima colecta.'

Fuente y noticia completa: Portal de Salud de la Comunidad de Madrid 17/05/2010

Microsoft. ¿Qué es la actualización de Selección del Explorador?

'Microsoft está proporcionando una actualización de Selección del Explorador para cumplir con un acuerdo legal con la Comisión Europea. Microsoft debe informarles a los clientes que usan actualmente Internet Explorer como explorador predeterminado que también hay otros exploradores web disponibles. Puede usar la actualización de Selección del Explorador para seleccionar e instalar el explorador web que desea usar en su equipo.'

Fuente y noticia completa: Microsoft KB976002 de 4/5/2010

El Portal de Salud amplía la información on-line sobre cáncer y trasplantes

'Los contenidos del Portal de Salud se han ampliado de forma notable. En concreto, la Oficina Regional de Coordinación de Trasplantes y la de Coordinación Oncológica han incrementado la información del Portal referida a los trasplantes en la Comunidad, así como al abordaje integral del cáncer. Se puede acceder a ella a través de la pestaña de 'Problemas de Salud', dentro de la sección Ciudadano.'


Fuente y noticia completa: Portal de Salud de la Comunidad de Madrid 12/04/2010

Firefox ya llega al 30% de cuota

'Eso según los datos de Mozilla, que ha publicado unos datos basados en diversas estadísticas como las de StatCounter, Quancast, Net Applications y Gremius, y que también ha aprovechado sus propios datos.

El navegador Open Source triunfa especialmente en Europa, donde según esos mismos datos ya cuenta con más de 152 millones de usuarios y una cuota del 39,2%, mientras que en Estados Unidos es donde su cuota es más reducida, con un 26% del mercado de los navegadores en esa región.'

'vINQulo s NetworkWorld '

Fuente y noticia completa: The Register 5/04/2010

Microsoft publica actualización para Internet Explorer fuera de ciclo

'Hoy no es el segundo martes del mes [día del mes en la que MS publica sus boletines de seguridad de forma periódica] pero Microsoft acaba de publicar el boletín de seguridad MS10-018 de carácter crítico, en el que se solucionan hasta diez vulnerabilidades diferentes en Internet Explorer.

Si bien la publicación con carácter de urgencia se debe a la última vulnerabilidad recientemente anunciada y que está siendo utilizada de forma activa.

La vulnerabilidad que ha propiciado la publicación del boletín afecta a Internet Explorer 6 y 7. Con el CVE-2010-0806 asignado, se encuentra en "iepeers.dll" y está causada por un puntero inválido al que se podría acceder, bajo ciertas condiciones, tras liberar el objeto apuntado. Ya tratamos anteriormente este problema en una-al-día.'


'La actualización publicada puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización del navegador con la mayor brevedad posible.

Se puede ver el boletín de Microsoft en:
http://www.microsoft.com/spain/technet/security/bulletin/ms10-018.mspx '

Fuente y noticia completa: Una al día de Hispasec 31/03/2010


Entradas relacionadas:

• [08/07/2009] Nuevo ataque vía navegación web que aprovecha una vulnerabilidad de Windows XP y 2003 sin parche disponible
• [22/01/2010] Microsoft publica un parche en día no habitual [para corregir la vulnerabilidad de ejecución remota en Internet Explorer]
• [10/03/2010] Nuevo 0-day [vulnerabilidad explotada sin parche disponible] en Microsoft Internet Explorer (Hispasec)
  

Aplicación de las Redes Sociales para las Consultas Médicas

'Hoy en día la web 2.0. ha llenado nuestras vidas,. Para muchos desconocen el significado pero las usan a diario.

Facebook, Twitter, Tuenti, Blogger, WordPress, Buzz, LinkedIn, Meebo, Google Talk, … son algunas de las herramientas de esta Web 2.0. Pero ¿se puede emplear en la sanidad? ¿y en la sanidad pública?

El Servicio Canario de la Salud ha dado un paso más en la liberación de información médica a los pacientes. Desde su Web podemos no solo solicitar cita a nuestro médico de Atención Primaria (Médico Especialista en Familia o Pediatría) sino, desde hace unos días, revisar nuestro historial médico.

¿Por qué no ampliar la información en busca de calidad y no de aportar herramientas que, más que información estática, ya estaban resueltas con llamadas al 012 o acudiendo a nuestra cabeza? (recordamos que la historia clínica nos la genera el paciente con su historia bibliográfica).

Aquí entra las redes sociales y la Web 2.0.

En Madrid compañeros emplean Twitter, un micro blog o micro mensajes para dar cierta información de relevancia sobre sus consultas médicas. Así el paciente a tiempo real sabe si su médico ha salido a domicilio, si su agenda está recortada por motivos de cursos, si el retraso es mucho o poco, … que para mi opinión a los pacientes les interesa bastante.

El correo electrónico es otra herramienta que hemos explotado poco a la hora de la medicina.

A través de él podríamos informar a los pacientes de los resultados de pruebas (no los datos sino que ya están en la consulta), le podemos avisar de cambios de citas por motivos de agenda o incluso podríamos localizar a pacientes para revisiones que hace tiempo que no nos visitan.

A esto le uniriamos el Blog (blogger o wordpress) para realizar las hojas de información, en el caso de pediatría de la alimentación, del desarrollo, … y para todos de las patologías comunes y como saber si debo acudir urgentemente o no (signos de alarma).'

Fuente y opinión completa: Blog Almogrote para la Salud 18/03/2010

Alierta (Telefónica) advierte a los buscadores de Internet de que tendrán que pagar

'El presidente de la compañía española de telecomunicaciones ha afirmado en Bilbao que "los buscadores de Internet utilizan nuestra red sin pagarnos nada. Y es evidente que eso no puede seguir (...) Eso va a cambiar". Respecto al cloud computing opina lo mismo: "La inteligencia está en la red y las redes son nuestras".'

Fuente y vídeo con las declaraciones: ETB 5/2/2010

Entradas relacionadas:

• [21/02/2010] El ministro Sebastián defiende cobrar una tasa a los buscadores (El País)

Ranking académico de las web de los hospitales

'El Laboratorio de Cibermetría, perteneciente al CSIC, ha publicado recientemente la actualización de su Ranking Web de Hospitales del Mundo, que tiene como objetivo promover la publicación web, como medio válido de difusión de la información relacionada con la salud. Se trata, por tanto, de una herramienta para compartir el conocimiento no sólo con otros profesionales sanitarios o investigadores, sino también con gestores, usuarios del centro y los ciudadanos en general.

La esencia de este ranking sería, por tanto, motivar a las instituciones a tener una presencia en internet que refleje de forma precisa sus actividades, con la idea de que ello añadirá valor a la actividad que se desarrolla desde las mismas. Por eso, no nos vamos a quedar únicamente con el dato de que la mejor web hospitalaria del mundo según este ranking sea la del University of Michigan Health System o con que tengamos que bajar hasta el puesto 289 para encontrar la primera web española, la del Institut Municipal d'Investigació Médica Hospital del Mar (nos quedamos, por tanto, sin porción del quesito del Top 200, en la imagen superior).

Esa es la anécdota. En este post vamos a fijarnos en el decálogo de buenas prácticas para conseguir una adecuada presencia en la web: ...'

Fuente y noticia completa: Blog "De la innovación y otros demonios' 22/03/2010



Entradas relacionadas:

• [26/02/2008] Trece hospitales migran su página web al Portal de Salud de la Consejería
• [15/03/2008] Ranking académico de las web de los hospitales
• [06/03/2009] Ningún hospital público de Madrid entre los 2000 primeros puestos del ranking de webs de hospitales

Canarias: Acceso de los ciudadanos a su Historia Clínica

'La consejera de Sanidad, Mercedes Roldós, presenta este lunes un nuevo sistema informático que permite el acceso de los ciudadanos a su Historia Clínica.'

'Roldós y Martinón presentan este sistema informático que permite el acceso de los ciudadanos a su Historia Clínica, proyecto que convierte a Canarias entre las Comunidades Autónomas del país más avanzadas en acceso electrónico de los usuarios a su documentación clínica.

Fuente y noticia completa: Canarias Actual 28/02/2010

Imagen (Mercedes Roldós): idem

Entradas relacionadas:

• [03/12/2009] Los riojanos, primeros en acceder a su historia clínica en internet (Diario Médico)
• [30/12/2009] Canarias. Finaliza la implantación de la historia clínica y la receta electrónica [en Atención Primaria] (Redacción Médica)
  
• [14/01/2010] Los Centros asistenciales de Canarias incorporan más de 50 aplicaciones de nuevos sistemas de información (Acta Sanitaria)
  
• [31/01/2010] Canarias. La segunda fase de Sanidad en Línea contará con 7 millones de euros (Redacción Médica)

El ministro Sebastián defiende cobrar una tasa a los buscadores

'El ministro de Industria, Turismo y Comercio, Miguel Sebastián, ha defendido que se estudie en la Unión Europea la creación de una tasa para los buscadores de Internet, como Google, por el uso de las redes de los operadores de telecomunicaciones, tal y como han reclamado Telefónica y Vodafone. Se trata de un paso más. La semana pasada, Sebastián admitió que era una "opción posible". Sebastián ha señalado que, si finalmente se introduce esta tasa, los operadores deberán trasladar a los usuarios parte del beneficio que obtengan de los buscadores en forma de "un Internet de más calidad y más barato"

"Es una opción abierta que hay que estudiar, que hay que analizar", ha dicho el ministro de Industria en rueda de prensa al ser preguntado por si la presidencia española buscará la introducción en toda la UE de la tasa para los buscadores. "Desde luego hay que hacerlo, no desde el punto de vista de un solo país, sino desde el punto de vista europeo e incluso me atrevería a decir desde el punto de vista global"...'

Fuente y noticia completa: El País 19/02/2010

Jornadas sobre impacto del web 2.0 en Sanidad. E-salud: Nuevos pacientes, viejos sistemas

'Se habla cada vez más de la e-salud y las posibilidades que las nuevas tecnologías aportan y aportarán a la asistencia sanitaria. Pero, ¿cómo viven médicos y pacientes hoy en día su relación con internet? Para responder a estas preguntas, DKV ha organizado la mesa redonda Salud 2.0, en la que varios conocidos médicos blogueros han hablado del camino que queda por recorrer y han derribado algunos mitos, recordando que ni todos los facultativos están cerca de dar el salto a la interactividad ni muchos pacientes están en condiciones de hacerlo.

"Las redes pueden servir para mucho pero hay que saber si los médicos queremos aceptar el cambio". Así ha resumido el problema de internet y la Medicina Julio Mayol, cirujano del Hospital Clínico de Madrid y autor en la plataforma Médica Blogs, en la mesa redonda Salud 2.0, organizada por DKV.'

'Rubén Pascual, oftalmólogo y autor del blog Ocularis, señala que, por un lado, "los malos profesionales, o los facultativos que están en lo alto de la jerarquía, no quieren cambios". Por otro, asegura que parte del recelo es lógico: "Ahora es más fácil acabar con la reputación de alguien si su trabajo es puesto en tela de juicio, sea con o sin razón".
Por esos y otros motivos, los facultativos que se hacen presentes en las tecnologías web son conscientes de que constituyen una minoría motivada, en palabras de Mayol, que lamenta la falta de un liderazgo público para cambiar la forma de prestar asistencia en el Sistema Nacional de Salud. En España, por otra parte, no hay incentivos para participar en e-salud. Por ejemplo, Pascual señala que haber abrazado la telemedicina le ha supuesto "ver cada día entre 10 y 15 fondos de ojo por este sistema, sin que nadie me pague más ni me quite pacientes".'

Fuente y noticia completa: Diario Médico 11/02/2010

Entradas relacionadas:

• [08/02/2010] "Salud 2.0: la web social y su aplicación en el ámbito de la salud" mañana 9F en Madrid

"Salud 2.0: la web social y su aplicación en el ámbito de la salud" mañana 9F en Madrid

'¿Cómo ha incidido Internet en el ámbito de la salud, y más concretamente, la web 2.0?

¿Cómo creéis que va a ser en el futuro?

A nivel del paciente:

- ¿Tiene mayor información a la hora de ir a la consulta?

- ¿Se aplica remedios en función de lo que le ha prescrito el Dr. Google?

- ¿Compra medicinas a través de la red?

- ¿Consulta a su médico online?

- ¿Creación de Comunidades o Asociaciones de pacientes?

A nivel profesional:

- Los profesionales de este sector podrán compartir experiencias, documentos, conocimientos, etc.

- Compra de material a través de la red

- Formación

- Farmacias online

- ¿Creación de Comunidades o Asociaciones de pacientes?

De la mano de los principales bloggers de Internet:

• Dr. Julio Bonis. Médico de Familia y emprendedor (Vidalio, Keyose...). Escribe un blog sobre medicina y salud (http://pelladegofio.blogspot.com)
• Julio Mayol. Director de la Unidad de Innovación del Hospital Clínico San Carlos de Madrid. Autor y editor de los blogs Panorama desde el Puente (Premiado en la primera edición de Favoritos en la Red de Diario Médico), Si es difícil lo estás haciendo mal y El blog de Julio Mayol en la plataforma medicablogs de Diario Médico
• ...

'

Fuente y noticia completa: Federación Española de la Economía Digital

Seguridad e interoperabilidad en la Admón. Electrónica

'En el BOE (Boletín Oficial del Estado español) del viernes 29 de enero de 2010 aparecen el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. Efectivamente, se trata del esquema nacional de interoperabilidad, en el que el Gobierno ha sido asesorado por Opentia y en el que, al menos, hay alguna referencia al código abierto.'

Fuente y noticia completa: Barrapunto 31/01/2010

Chrome 4.0: Extensiones, sincronización de favoritos y más

'Google ha anunciado hoy el lanzamiento de Chrome 4.0, una nueva versión estable para Windows que incluye dos de las características más solicitadas del navegador: extensiones y sincronización de favoritos. Las extensiones te permiten agregar nuevas características y funciones a tu navegador. La sincronización de favoritos es una característica muy útil para aquellos usuarios que utilizan varios ordenadores; por ejemplo, un ordenador portátil en el trabajo y un sobremesa en el hogar. La nueva versión estable publicada hoy presenta además una notable mejora en el rendimiento con respecto a la versión anterior. Si deseas echar una mirada bajo el capó a lo que esta nueva versión representa para los desarrolladores web, echa un vistazo al blog de Chromium. Para los usuarios de Google Chrome en Linux, las extensiones están disponibles en el Canal Beta. Aquellos que utilizan Google Chrome para Mac aún tendrán que esperar un poco.'

Fuente: Barrapunto 27/01/2010

J.J: Güemes: "Internet es libertad"

'A raíz de la polémica suscitada por la Disposición Final Primera del Anteproyecto de Ley de Economía Sostenible estoy echando una mirada atrás para analizar lo que Internet ha supuesto en nuestras vidas, lo que nos ha cambiado… y lo que nos va a seguir cambiando pese a la amenaza de censura que se cierne sobre la red.'

'No poco contentos con tener el control sobre gran parte de las cadenas de televisión, las emisoras de radio y la prensa, pretenden ahora tener la capacidad de secuestrar la red, el lugar en donde las críticas son libres y quedan plasmadas para siempre en Google o Yahoo¡ . Y es que en Internet queda lo que te gusta y lo que no. En Internet, le pese a quien le pese, no hay secretos. Por eso el gobierno quiere que una comisión política decida, como se expresa en el “manifiesto en defensa de nuestra libertad”, “qué webs/blogs tienen derecho a existir” a imagen y semejanza de aquellos censores del franquismo que nos decían a los españoles qué debíamos ver, oír o leer.

Por eso este domingo me adherí al manifiesto Libertad 2.0 nada más conocerlo. Porque entiendo que todos los que creemos en la libertad, en los derechos individuales, tenemos que luchar para evitar que los liberticidas pongan sus manos en este maravilloso invento que es la red. Queremos conectarnos sin miedo a que un comité de amigos del gobierno (y me da igual de que color sea el gobierno) nos cierre la bitácora. Queremos tener la seguridad de que cuando alguien nos envíe un correo electrónico en relación con nuestra bitácora no sea un emisario de alguna entidad de gestión. Queremos ser libres.'

Fuente: Blog del Partido Popular de Juan José Güemes 22/01/2010

La "Ley de descargas" en el sector sanitario

'Se ha dado mucha publicidad a las medidas que el Gobierno pretende aprobar a través de la Ley de Economía Sostenible referidas al cierre de páginas web, bautizada por los medios de comunicación como “Ley de Descargas”, pero ¿cómo afectará esta regulación al sector sanitario? En la disposición final primera del Anteproyecto de Ley de Economía Sostenible se prevé la modificación de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información estableciendo que uno de los principios que debe ser respetado por los prestadores de la sociedad de la información es la salvaguarda de los derechos de propiedad intelectual, de manera que cuando se atente contra ellos, los órganos competentes podrán adoptar las medidas necesarias para que se interrumpa la prestación del servicio o para retirar los datos que vulneran los derechos de la propiedad intelectual.

En el Anteproyecto se ha regulado, además, el órgano competente para la adopción de las medidas referidas, creando una Comisión de Propiedad Intelectual, dependiente del Ministerio de Cultura. Esta Comisión queda dividida en dos secciones. La Sección Primera ejerce las funciones de mediación y arbitraje y la Sección Segunda vela por la salvaguarda de los derechos de la propiedad intelectual, siendo el procedimiento de actuación de esta última la que ha generado tanta inquietud entre un sector de la población.'

Se establece que la Sección Segunda podrá adoptar medidas para que se interrumpa la prestación de un servicio de la sociedad de la información o para retirar los contenidos que vulneren la propiedad intelectual con ánimo de lucro, directo o indirecto. Dado que la ejecución de estas resoluciones pudiera afectar a los derechos y libertades garantizados por el art. 20 de la Constitución Española – referido a la libertad de expresión – se requerirá la previa autorización judicial.

Si bien hay situaciones claras en las que se produce una vulneración de los derechos de propiedad intelectual, como podría ser las páginas dedicadas a la descarga de música o de películas, hay otros contenidos que también están protegidos por estos derechos de propiedad intelectual que se pueden encontrar en páginas web del entorno sanitario. Nos referimos a la publicación de artículos científicos, a la inclusión de videos sobre ciertas técnicas en intervenciones quirúrgicas, etc.'

Fuente y opinióin completa: Ricardo de Lorenzo en Redacción Médica 27/01/2010

La cita por Internet para atención primaria tramitó más de 500.000 peticiones en 2009

'El servicio de cita sanitaria on-line con atención primaria tramitó 561.416 citas en 2009, de ellas 23.687 se hicieron por PDA. El último trimestre ha sido el de mayor impacto, con una media de unos 100.000 movimientos, al haber alcanzado en octubre la cita sanitaria on-line al 98% de los ciudadanos con tarjeta sanitaria de la región. Un 9% del las peticiones corresponden al servicio de cita por Internet.

Para poder pedir cita por Internet, los pacientes deben acceder a la página web y seleccionar el apartado Sanidad, desde el que se accede a la pantalla del Portal de Salud de la Comunidad de Madrid, en cuya parte derecha está identificado el acceso con el título 'cita sanitaria online', donde se pueden consultar los centros de salud que tienen disponible el servicio.

Una vez que haya localizado su centro de salud, el paciente debe introducir el número de tarjeta sanitaria y el DNI y seguir unas instrucciones. El servicio buscará en la agenda correspondiente (médico o enfermera), y ofrecerá al ciudadano la hora disponible y más cercana a la solicitada. Las citas quedan registradas en la agenda del profesional.

Además de solicitar cita, los pacientes puede consultar las que tenga pendientes en ese centro de salud, anular aquellas que haya pedido o cambiarlas de fecha por otro día u hora que se acomode mejor a sus necesidades.

Durante 2009 las páginas web de sanidad y salud que dirige la Consejería de Sanidad registraron 119.327.273 accesos a sus páginas de información y de servicios electrónicos. El Portal de Salud cerró el año con 106.323.222 páginas visitadas, el 89% del total. Las webs de los 32 hospitales públicos integradas recibieron 8.842.471 visitas a sus páginas, destacando La Paz, Fuenlabrada, 12 de Octubre y Clínico San Carlos como las de mayor afluencia de visitantes. La web institucional recibió 2.461.580 visitas. Servicios electrónicos más demandados

Entre los servicios on-line destaca la Lista de Espera Quirúrgica, tanto a la parte de información general como a la privada de consultas individualizadas, con 37.774.287 accesos. El buscador de centros dio resultados a 7.124.966 búsquedas de recursos sanitarios; el Registro de los Centros Autorizados se utilizó 1.026.911 ocasiones y entre los servicios dirigidos a profesionales destaca la Biblioteca Virtual Laín Entralgo, que recibió 22.028.517 consultas a documentación.

Las webs de los 32 hospitales públicos recibieron a lo largo del año 8.842.471 visitas a sus páginas, destacando La Paz con 849.389, Fuenlabrada con 797.306, el hospital 12 de Octubre con 695.886 y el Clínico San Carlos con 694.584. A ellos les siguen el Puerta de Hierro con 641.370 y el Gregorio Marañón con 629.576; y la Fundación Hospital Alcorcón, La Princesa y el Niño Jesus, que se encuentran entre los 300.000 y los 400.000 accesos.'

Fuente: Portal de Salud de la Comunidad de Madrid 25/01/2010

Entradas relacionadas:

• [04/02/2008] La cita por Internet y la receta electrónica, ¿estancadas? (entrada nuestra)
• [26/02/2008] Trece hospitales migran su página web al Portal de Salud de la Consejería (Consejería de Sanidad de la CM)
  
• [15/03/2008] Ranking académico de las web de los hospitales (entrada nuestra)
  
• [20/01/2009] La cita médica por internet se amplía a otros cuatro Centros de Salud (Comunidad de Madrid)
  
• [03/02/2009] Tres centros de salud más se incorporan a la cita previa por internet (Comunidad de Madrid)
• [06/03/2009] Ningún hospital público de Madrid entre los 2000 primeros puestos del ranking de webs de hospitales (Diario Médico)
• [27/04/2009] Estructura orgánica de Vicepresidencia. Autorizaciones de las páginas web de organismos de la CM no incluidas en madrid.org (entrada nuestra)
  
• [19/05/2009] Sanidad anuncia para el verano la cita con el médico por Internet tras dos años de retraso (Madridiario)
  
• [20/05/2009] Los madrileños podrán pedir cita por Internet con su médico a partir del verano. (Comunidad de Madrid)
  
• [27/05/2009] La CM está desplegando de forma masiva el servicio de Cita por Internet (entrada nuestra)
• [29/07/2009] La Comunidad de Madrid continúa desplegando el servicio de Cita por Internet (entrada nuestra)
• [07/10/2010] Más de seis millones de madrileños pueden ya pedir cita sanitaria por Internet (Comunidad de Madrid)
  

Una vulnerabilidad de Internet Explorer sin parche disponible, detrás de ataques a grandes compañías

Un bug en Internet Explorer, detrás de ataques a grandes compañías
' Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail, señalando que tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos.... tras un análisis del malware, llevado a cabo por la empresa McAfee, ... descubrieron los investigadores [de McAfee que] fue una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario...' Fuente y noticia completa: Barrapunto 15/01/2010

'Hackers se aprovecharon de una vulneabilidad sin parche del navegador Microsoft Internet Explorer (IE) para penetrar en algunas compañías que fueron blanco de un ataque generalizo que acabó comprometiendo las redes corporativas de Google y Adobe, ha dicho Mc Afee hoy". Fuente y noticia completa: Computerworld 14/01/2010 Traducción nuestra.

'Con nuestra investigación descubrimos que en una de las muestras de software malicioso implicadas en estos ataques generalizados se saca provecho de una nueva y desconocida vulnerabilidad de Microsoft Internet Explorer. Informamos a Microsoft que publicó un aviso de seguridad y una entrada de blog sobre el asunto en la tarde del Martes. Como en la mayoría de los ataques dirigidos, los intrusos consiguieron el acceso a la organización correspondiente dirigiendo un ataque a medida a un individuo o unos pocos individuos elegidos como blanco. Sospechamos que fueron elegidos por su acceso a información de valiosa propiedad intelectual. Esos ataques habrían procedido de una fuente aparentemente fiable, conduciendo al blanco a caer en la trampa siguiendo un enlace o abriendo un fichero. Aquí es cuando el aprovechamiento de la vulnerabilidad de Microsoft Internet Explorer tiene lugar [para descargarse e instalarse de forma inadvertida un troyano]. Fuente y noticia completa: McAfee Security Blog 14/01/2010 Traducción nuestra.

Código de aprovechamiento ("exploit code") de CVE-2010-0249 disponible públicamente
'Se han publicado los detalles de un exploit contra la vulnerabilidad CVE-2010-0249, la del Aviso de Seguridad de Microsoft Security 979352, también conocida como Aurora. Se trata de una vulnerabilidad en mshtml.dll que funciona como ya se había dicho en IE6 pero si se habilita DEP ["Data Execution Prevention"] en IE7 o en IE8 el "exploit" no consigue ejecutar código alguno. Se espera que Microsoft tenga el parche disponible en su día habitual de parches en Febrero. No parece probable un parche antes a menos que lo publiquen terceros". Fuente y noticia completa: Internet Storm Center 15/01/2010

Entradas relacionadas:

• [08/07/2009] Nuevo ataque vía navegación web que aprovecha una vulnerabilidad de Windows XP y 2003 sin parche disponible
• [14/07/2009] Generalización de ataques vía navegación web que aprovechan una vulnerabilidad de Microsoft Office sin parche disponible
• [16/07/2009] Disponible el parche de Microsoft contra la vulnerabilidad de DirectShow en Microsoft Windows de hace una semana
• [20/07/2009] Actualización del nuevo Firefox 3.5 que corrige un fallo que está siendo aprovechado por sitios web para introducir SW malicioso en el PC

El ataque de eu2010.es en otra web de la administración. [Descripción de la técnica XSS empleada]

'Mucho revuelo se ha armado con el ataque a la web de la presidencia europea de turno. Llegó incluso a estar en la portada de El Mundo (edición impresa).

Por su parte, desde la Secretaría de Estado de Comunicación reiteraron que la página no ha sido alterada por ningún intruso, ya que la imagen mostrada en el engaño ha sido cargada desde un servidor remoto y no es posible acceder a ella usando normalmente la web.

Y la verdad es que, aunque 11,9 millones por adaptar un OpenCMS y darle mantenimiento y "seguridad" es el robo del siglo, hay que admitir que el error era del propio OpenCMS (el gestor de contenidos que utilizan... que no es PHP :-P), y además un XSS, si no se utiliza para robar cookies o hijacking es prácticamente inofensivo.

No obstante, este error de principiante no es el único pecado de Telefónica (o de la cárnica que haya subcontratado para el proyecto). Santi Saez nos desvela que la web fue alojada en un servidor con un sistema operativo obsoleto (Debian 4), el panel de control Plesk accesible públicamente, el SSH accesible públicamente y permitiendo el login a root y un BIND (servidor de DNS) vulnerable. Además, el servidor de nombres no era dedicado. Ahora han intentado arreglarlo externalizando el hosting en Akamai.

Pero no nos desviemos del tema, que es explicar cómo funciona esta vulnerabilidad, y cómo explotarla en otra web de la administración que todavía no ha parcheado el OpenCMS.

Qué es XSS

Un ataque XSS o cross-site scripting es una vulnerabilidad de aplicaciones web que consiste básicamente en conseguir que en la página víctima se cargue un script de otro sitio. Como sabemos que los scripts (casi siempre JavaScript) se ejecutan en el navegador del cliente, es evidente que este ataque no va a alterar el servidor en nada.

Pero ¿cómo hacer que una página cargue un script? Para buscar vulnerabilidades XSS y cualquier otra vulnerabilidad web es esencial que encontrar puntos de entrada de datos por parte del usuario.'...

'... Imagina un formulario de búsqueda de una web cualquiera. Hay un cuadro de texto en el que tú introduces una palabra, por ejemplo, 'normativas calidad' porque quieres buscar las normativas de calidad de un organismo público. Cuando pulsas "buscar", aparece una página de resultados en el que arriba dice "se han encontrado x resultados para 'normativas calidad'". Es decir, repite lo que le has dicho. Ha puesto en la página lo que tú habías introducido en el cajetín de búsqueda.

Vale, pero ¿y si en lugar de 'normativas calidad' pones '<img src="http://bean.com/mister-bean.jpg" />'? En teoría la página debe repetir lo que has escrito. Si la web no está protegida, entonces verás una linda foto de Míster Bean en la página de resultados, ya que el navegador interpreta el HTML que has introducido y el buscador ha repetido. Acabas de inyectar HTML, pero no has manipulado el servidor. Esa foto de Míster Bean la ves tú en tu navegador y nadie más.

Si en lugar de HTML plano introduces un script (bien por invocación bien por introducción directa del código), ese script se ejecutará en el navegador, y podrás manipular los elementos de la página, hacer redirecciones... lo que quieras, pero siempre sabiendo que eso se está ocurriendo en tu servidor y sólo en tu servidor....'

'Aquí tenemos el código fuente:

<input class="txt" type="text" size="15" name="query" value=hola mundo >

Primer fallo... no poner comillas para los valores, como exige el estándar HTML. Bueno, más fácil nos lo ponen.

Si en lugar de 'hola mundo' ponemos '>hola mundo <', entonces el código generado será <input class="txt" type="text" size="15" name="query" value=>hola mundo <> Lo que acabamos de hacer es inyectar código cerrando la tag input con el símbolo '>', y el resultado será que vemos el texto box de búsqueda vacío y nuestro mensaje, 'hola mundo' a su lado. Bien, vamos a divertirnos. Si introducimos '><script>alert("Hola mundo")</script>' inyectamos HTML con un JavaScript...'

'...Ahora simplemente inyectamos una imagen (habiendo cerrado previamente la tag input con el signo '>'):


><img src="http://blog.tmcnet.com/blog/tom-keating/images/mr-bean.jpg">

'

Fuente y texto completo: Blog de Israel Viana "sobre tecnologías web y otras desviaciones" 12/01/2010

Entradas relacionadas:

• [08/01/2010] Un error de principiantes permitió el 'ataque' a la web de la presidencia [La búsqueda devolvía una imagen de Mr. Bean] (El Mundo)
  

Un error de principiantes permitió el 'ataque' a la web de la presidencia [La búsqueda devolvía una imagen de Mr. Bean]

'Aunque desde el Gobierno aseguran que no se ha tratado de un ataque que haya logrado entrar en su página, María Rosa Díez, asesora de cuerpos de seguridad españoles en materia de seguridad en la Red, explica a ELMUNDO.es que la aparición de una fotografía del humorista británico Rowan Atkinson, conocido como "Mr. Bean", es consecuencia de haber pasado por alto un "agujero tontísimo en la seguridad".

El Instituto Nacional de tecnologías de la Comunicación (INTECO), adscrito al Ministerio de Industria, Turismo y Comercio, ha confirmado en su auditoría de seguridad sobre la página web que "el supuesto ataque ha consistido en aprovechar una vulnerabilidad del código fuente denominada XSS (cross-site scripting) dirigida a los usuarios de la web y no a la web en sí misma". Precisamente este aspecto debería estar "superado para cualquier experto que se precie", añadía Díez.

Según datos oficiales, el Ejecutivo abonará a Telefónica y Telefónica Móviles un total de 11,9 millones de euros por prestar asistencia técnica y seguridad a la web de la presidencia española. "No es normal que un profesional no haya reparado en prevenir ataques en este sentido".'

Fuente y noticia completa: El Mundo 5/01/2010
Imagen: El Mundo