9 de julio de 2013

Dropbox. VULNERABILIDAD PERMITE SALTAR LA AUTENTICACIÓN EN 2 PASOS

El equipo de Q-CERT ha anunciado una vulnerabilidad que permitía saltar la autenticación en 2 pasos de Dropbox, lo que posibilitaba a un atacante tener el control de los ficheros de la víctima.
Dropbox es un servicio en Internet que permite a los usuarios registrados el almacenamiento en la nube de archivos.
¿ Qué es la autenticación en 2 pasos ?
  • La autenticación en 2 pasos (Two-Factor Authentication, 2FA) es una capa de seguridad en la autenticación en la que se requiere algo más que un usuario y contraseña para acceder al servicio.
  • Generalmente suele tratarse de un código adicional, generado en el momento de la autenticación, que es recibido por el usuario a través de SMS o una llamada en un terminal móvil.
Detalle de la vulnerabilidad
  • El investigador Zoutheir Abdallah ha demostrado que si un atacante conoce el usuario y contraseña de la víctima, la autenticación en 2 pasos puede ser eludida.
  • El error es debido a que Dropbox no verifica correctamente la dirección de correo electrónico del usuario que se está autenticando.
Recomendación
Q-CERT ha trabajado con Dropbox para resolver el incidente y actualmente se encuentra corregido.
Fuente: Hispasec

DENEGACIÓN DE SERVICIO EN EL ‘PLC Nano-10‘

Descubierta una vulnerabilidad catalogada con importancia baja, que afecta a los 'PLC Nano-10' de la compañía Triangle Research International (TRI), que podría provocar una denegación de servicio sobre los mismos.
Detalle de la vulnerabilidad
  • Estos dispositivos tienen un fallo a la hora de manejar los paquetes ModBus TCP, que puede ser explotado haciendo que el dispositivo no sea accesible dentro de la red en la que se encuentra. El único modo de volver a ponerlo en marcha es mediante un reinicio manual.
  • La denegación de servicio se consigue enviando un paquete TCP especialmente modificado al puerto 502 del PLC siempre y cuando los cortafuegos en la red en la que están conectados los dispositivos permitan este tipo de tráfico.
Recursos afectados
PLC's Nano-10 con versiones del firmware anteriores a la r81
Recomendación
Para solucionar este fallo de seguridad se debe contactar con el fabricante (TRI Inc.) en la siguiente dirección http://www.triplc.com/contactinfo.htm
Más información
Aviso del ICS-CERT
Fuente: INTECO

VARIAS VULNERABILIDADES EN PRODUCTOS QNX

El investigador independiente Luigi Auriemma identificó una vulnerabilidad de desbordamiento de búfer basado en la pila y una vulnerabilidad de copia de búfer sin comprobar el tamaño, en los productos QNX Phrelay, Phwindows y Phditto. Las vulnerabilidades han sido catalogadas con importancia Alta.
Impacto de las vulnerabilidades
  • Estas vulnerabilidades pueden ser explotadas remotamente y los exploits para aprovecharse de las mismas son públicos.
  • El impacto de las vulnerabilidades depende del entorno, la arquitectura y la implementación de cada producto, por lo que se recomienda evaluar el mismo a cada organización afectada con estos productos.
Recursos afectados
Los productos QNX que se ven afectados son los siguientes:
  1. Phrelay (todas las versiones).
  2. Phwindows (todas las versiones).
  3. Phditto (todas las versiones).
Recomendación
  • El fabricante QNX ha publicado un parche que mitiga estas vulnerabilidades. El parche es compatible con los productos que se están ejecutando QNX Neutrino versión 6.5.0 o versión 6.5.0 SP1.
  • El parche esta disponible en la pagina web de descargas de QNX.
Más información
Fuente: INTECO

YA ESTÀ DISPONIBLE LA VERSIÓN ‘beta 3 de iOS 7’

El iOS 7 beta 3, sólo disponible para desarrolladores, llega solo un mes más tarde de que se hubiese puesto a disposición la beta 2 del SO.
La nueva versión del sistema operativo ‘beta 3 de iOS 7’ es el siguiente paso antes que llegue a los dispositivos  de millones de dispositivos de todo el mundo. Hoy se ha hecho pública la tercera versión beta del SO para que los desarrolladores puedan descargarla y probar su funcionamiento de manera que puedan ajustar sus aplicaciones convenientemente.
Novedades de la nueva versión.
Según parece, las novedades no son muchas con respecto a la beta anterior, pero sí corrije fallos y errores detectados en la versión beta anterior con lo que podría mejorar algo el rendimiento del sistema operativo de iPhone/iPad.
También hay una lista bastante larga de pequeñas mejoras:
  • Aunque muchas de las cuales ya se conocían, algunas tienen que ver con la presencia de una barra de estado de mayor tamaño cuando la pantalla se encuentra bloqueada y mejoras en la visibilidad de las notificaciones.
  • Además se han modificado las carpetas, siendo ahora más transparentes.
  • Se han rediseñado los controles del reproductor musical, apareciendo el reloj en pantalla cuando se bloquea si estamos escuchando música.
  • Hay nuevos botones en la tienda de aplicaciones, diversos cambios en las fuentes, etc..
Más información
Fuente: The Inquirer

¿ CONDUCTOR TÉRMICO MEJOR QUE EL DIAMANTE ?

El diamante es el mejor conductor térmico que se conoce, aunque es muy caro. Un compuesto de boro y arsénico puede arrebatarle el puesto. 
Un equipo de investigadores ha desarrollado un nuevo material, compuesto de boro y arsénico, con una conductividad térmica tan buena como la del diamante pero mucho más barato. Esto abre nuevas posibilidades para la fabricación de los componentes electrónicos más exigentes en cuanto a capacidades y tamaño.
El diamante, que es una configuración particular de átomos de carbono –como el grafito o el grafeno–, tiene la cualidad de ser el mejor conductor térmico que se conoce. Es decir, en contacto con algún material a distinta temperatura, es capaz de absorber esta diferencia con rapidez. Esta propiedad lo convierte en un excelente, aunque caro, disipador de calor.
El equipo de investigadores descubrió que este material –que en una evaluación teórica inicial se pensaba que sería diez veces menos eficiente– era tan bueno como el diamante a temperatura ambiente, y aún mejor a altas temperaturas. David Broido, uno de los científicos responsables del descubrimiento, aseguró que usaron una aproximación teórica novedosa para calcular la conductividad térmica del material que les mostró sus verdades propiedades.

Fuente: Innova

MICROSOFT llevará OFFICE STORE y SHAREPOINT a 22 nuevos mercados y añadirá la herramienta ‘POWER BI’ a ‘OFFICE 365’

Microsoft anunció ayer en su Conferencia Mundial de Socios que llevará la tienda de Office y SharePoint a 22 nuevos mercados, y añadirá la nueva herramienta ‘Power BI’ de inteligencia de negocios para su servicio de Office 365. 
Mediante la ampliación de Office Store y de SharePoint a nuevos mercados, Microsoft está ampliando la base de usuarios potenciales para los desarrolladores que crean en esas plataformas. Dada la escala de Office y SharePoint tanto entre los clientes corporativos y consumidores, ofreciendo a los desarrolladores la oportunidad de llegar a todos ellos podrían alentar una mayor actividad de desarrollo.
Energía BI es un conjunto de herramientas, en gran parte construidas en lo alto de Excel, que ofrecen consulta de datos, la cartografía, la mejora de modelado de datos y gráficos interactivos. Consulta Alimentación y Mapa eran conocidos anteriormente con el explorador de datos y nombres clave Geoflow, si usted ha estado llevando la cuenta.
Energía BI también proporcionará lo que afirma Microsoft es "capacidades de consulta en lenguaje natural", por lo que los clientes pueden hacer ping datos y aprender de ella. Una de las características del sitio también se incluirá que incluirá "espacios de trabajo" para las personas que colaboren en los datos y resultados. También se proporcionarán aplicaciones para Windows 8, RT, y IPAD.
Power BI hace que el escritorio de Office sea más potente, y por lo tanto más importante dentro de las organizaciones que lo utilizan. Así, esta herramienta ayuda a sostener una fuente de ingresos clave para Microsoft, en un tiempo en que las soluciones móviles quitan relevancia cada día a los programas de escritorio
Power BI estará disponible como un add-on para Office 365, para los clientes actuales, y como producto independiente para las empresas que compraron su software de Office completo, según informa TNW. Microsoft no ha dado a conocer su precio inicial, pero sí se ha anunciado que saldrá una versión previa a finales de este verano

Fuente: TNW