6 de noviembre de 2013

MICROSOFT. Aviso de un 0-day en Office

Microsoft ha lanzado una alerta de una vulnerabilidad "0-day" que se está explotando activamente a través de documentos Word enviados por e-mail. También ha publicado un parche en forma de "Fix it" para bloquear el ataque mientras terminan la actualización definitiva. 
Microsoft informó que los ataques se han observado de manera muy limitada y de forma cuidadosamente realizada contra sistemas elegidos, principalmente en Oriente Medio y Asia del Sur. También se señala que el exploit que se está empleado necesita la interacción del usuario para que este abra un documento Word adjunto específicamente manipulado.
Recursos afectados
  1. Office 2003 y Office 2007.
  2. Debido a la forma en que Office 2010 emplea la librería gráfica vulnerable, esta versión solo se ve afectada si se ejecuta sobre sistemas antiguos como Windows XP o Windows Server 2003, pero Office 2010 no se ve afectado cuando corre sobre Windows 7, 8 y 8.1.
  3.  El ataque no afecta a Office 2013
Impacto en el sistema afectado
  • El ataque detectado trata de explotar la vulnerabilidad mediante una imagen (en formato TIFF) diseñada para ello e incrustada en el propio documento. El exploit ataca un fallo de seguridad sin corregir en versiones antiguas de Office (con CVE-2013-3906) y el procesamiento gráfico de imágenes en Windows.
Recomendaciones
  1. Microsoft ha publicado un parche que bloquea el ataque y aunque no corrige la vulnerabilidad, si que aplica cambios que bloquean el tratamiento de los gráficos que originan el problema. 
  2. Como otras contramedidas Microsoft recomienda la instalación de EMET (Enhanced Mitigation Experience Toolkit). 
  3. Otra posibilidad es el uso del Modo Vista Protegida y bloquear los controles ActiveX en documentos Office.
Más información:
Fuente: Hispasec

MICROSOFT GRAPHICS COMPONENT. Descubierta grave Vulnerabilidad

La vulnerabilidad catalogada de importancia alta, podría permitir que un archivo especialmente manipulado que hiciera uso del componente Microsoft Graphics Component, habilitase la ejecución remota de código por parte del atacante.
Recursos afectados
Windows Server 2008 Service Pack 2, cuando se utiliza con:
 Windows Server 2008 for Itanium-Based Systems
 Windows Server 2008 Datacenter
 Windows Server 2008 Enterprise
 Windows Server 2008 Standard
 Windows Web Server 2008
Windows Vista Service Pack 2, cuando se utiliza con:
 Windows Vista Business
 Windows Vista Enterprise
 Windows Vista Home Basic
 Windows Vista Home Premium
 Windows Vista Starter
 Windows Vista Ultimate
 Windows Vista Enterprise 64-bit Edition
 Windows Vista Home Basic 64-bit Edition
 Windows Vista Home Premium 64-bit Edition
 Windows Vista Ultimate 64-bit Edition
 Windows Vista Business 64-bit Edition
Microsoft Office 2003 Service Pack 3
 2007 Microsoft Office Suite Service Pack 3
 Microsoft Office 2010 Service Pack 1
 Microsoft Office 2010 Service Pack 2
 Microsoft Lync 2010
 Microsoft Lync 2010 Attendee
 Microsoft Lync 2013
 Microsoft Lync Basic 2013

Impacto en el sistema afectado
La vulnerabilidad permite ejecución remota de código al utilizar el componente afectado por archivos manipulados, especialmente archivos TIFF. Un atacante podría aprovechar esta vulnerabilidad al convencer a un usuario para:
  1. Realizar una vista previa o que abra un mensaje de correo electrónico especialmente diseñado.
  2. Abrir un archivo especialmente manipulado o que navegue una web con contenido malicioso.
Recomendación
Hasta que se publique una actualización de seguridad se recomienda aplicar el parche publicado por Microsoft. En la web de Microsoft se puede descargar y encontrar información para aplicarlo a varios equipos en red. https://support.microsoft.com/kb/2896666
Más información:
Fuente: Inteco

JOOMLA!. Múltiples vulnerabilidades en el núcleo del gestor de contenidos

Descubiertas varias vulnerabilidades de tipo Cross-Site Scripting (XSS) en el núcleo del CMS Joomla!
Recursos afectados
  • Joomla! 2.5.14 y anteriores (2.5.x) 
  • Joomla! 3.1.5 y anteriores (3.0.x).
Descripción e impacto de las vulnerabilidades
  • [20131101] Un filtrado de datos inadecuado provoca a una vulnerabilidad de tipo XSS en el componente com_contact.
  • [20131102]  Un filtrado de datos inadecuado provoca a una vulnerabilidad de tipo XSS en los componentes com_contact, com_weblinks, com_newsfeeds.
  • [20131103]  Un filtrado de datos inadecuado provoca a una vulnerabilidad de tipo XSS en el componente com_contact.
Recomendación
Se recomienda aplicar el correspondiente parche de actualización (upgrade package), versiones 2.5.15, 3.1.6 or 3.2.
Más información
Security Advisory  http://developer.joomla.org/security-center.html
Fuente: Inteco

ADOBE. Análisis de procedimientos de salvaguarda de credenciales

Después del robo del código fuente de varios de sus productos y de la información personal de casi tres millones de usuarios y clientes, se han ido haciendo públicos varios análisis que ponen en cuestión el procedimiento usado por Adobe para almacenar las credenciales.
Los datos extraídos alcanzan casi los 10Gb. Unos 130 millones de credenciales que Adobe ha ido almacenando a lo largo de varios años. Entre las cuentas robadas pueden observarse algunas que pertenecen a agencias del gobierno norteamericano tales como el FBI.
El problema hubiera sido "menor" si estas credenciales hubieran estado almacenadas en forma de hash. Este tipo de funciones son teóricamente irreversibles, es decir, una vez almacenado el hash debería ser imposible conocer qué cadena (la contraseña) lo originó. Es lo que se conoce como criptografía asimétrica.
Adobe, sin embargo, no optó por almacenar los hashes de las credenciales. En vez de ello las contraseñas eran cifradas con un algoritmo denominado TripleDES.
Una mala práctica elegir un cifrado simétrico para almacenar contraseñas cifradas y otra peor escoger un algoritmo con problemas conocidos y para terminar de empeorarlo la selección de una configuración débil en la aplicación de la función de cifrado.
¿Por qué Adobe cifró las credenciales con un cifrado simétrico en vez del hash? 
  • Esto, significa que Adobe tenía la llave para conocer las credenciales de sus usuarios y clientes. Por poner un ejempo es como si cuando compras un coche el anterior propietario se queda con una copia de la llave. 
  • Por supuesto los ataques contra el cifrado no se han hecho esperar y ya hay una lista con el top 100 de las contraseñas más usadas. http://stricture-group.com/files/adobe-top100.txt
Más información:
Una al día (5/11/2013)  http://unaaldia.hispasec.com/2013/11/adobe-la-tormenta-despues-de-la-tormenta.html
Fuente: Hispasec

APPLE. Describe solicitudes de información del gobierno de EEUU

Apple informó el martes del número de peticiones de información recibidas de gobiernos de todo el mundo, convirtiéndose en una de las últimas empresas tecnológicas en hacerlo.
En su informe, viene después de que  Microsoft Corp, Google Inc, Facebook Inc y otros,informaran al respecto. Apple indicó su oposición a las restricciones sobre el tipo de datos que puede reportar, y pidió más transparencia en el proceso.
Desde el 1 de enero al 30 de junio de este año, Apple dijo que recibió entre 1.000 y 2.000 solicitudes de información de cuentas desde organismos de la ley de Estados Unidos, que afectaron a entre 2.000 y 3.000 cuentas de Apple. Dijo que reveló datos de entre cero a 1.000 cuentas.
Apple, junto a otras compañías de tecnología, tiene permitido sólo reportar cifras en incrementos de 1.000 y debe combinar los pedidos de las agencias de la ley con los de seguridad nacional, lo que hace imposible saber exactamente cuántos de ellos se relacionan a temas de seguridad.
La compañía registró su oposición a esas restricciones el martes.

Fuente: Reuters

AVIRA. Lanza protección gratuita para OS X Mavericks

Avira Free Mac Security 2.0.1 es compatible con equipos Mac gobernados por OS X 10.8 “Mountain Lion” o numeraciones posteriores de la plataforma de Apple.
Avira ha lanzado esa versión con el fin de actualizar su solución antivirus gratuita para Mac, para hacerla compatible con OS X 10.9 además de con OS X 10.8 “Mountain Lion”.
Principales características del Avira Free Mac Security 2.0.1.
  • Entre otras características, el software de Avira está preparado para analizar directorios vulnerables incluso durante su instalación.
  • Esto significa que, si el equipo que se está intentando mantener a salvo ya ha caído víctima de un malware, éste no podrá impedir la ejecución del nuevo programa de seguridad.
Más información
Los interesados pueden hacerse con Avira Free Mac Security 2.0.1 desde el siguiente enlace: http://www.avira.com/en/for-business-avira-mac-b2b
Fuente: Silicon Week

AXA Drive. Nueva “app” ayuda a los automovilistas a mejorar su conducción

La innovadora app de AXA utiliza la tecnología instalada en smartphones, como acelerómetro, giroscopio y GPS, para analizar patrones de conducción y contribuir a mejorarla.
AXA Drive es una aplicación para iPhone y Android diseñada para mejorar la conducción mediante un análisis objetivo del recorrido. La aplicación ha sido lanzada el 4 de noviembre de manera simultánea en España, Suiza y Bélgica para, a continuación, implementarse en otros países de Europa y del resto del mundo.
El evento realizado la semana pasada en París sirvió para que AXA explicase que la iniciativa forma parte de su estrategia de prevención de riesgos y su voluntad de servir a sus clientes con servicios digitales diferentes e innovadores.
Más información
Diario TI  http://diarioti.com/nueva-app-ayuda-a-los-automovilistas-a-mejorar-su-conduccion/70286
Fuente: Diario Tecnológico

DEBIAN 8. El escritorio por defecto será Xfce

La próxima versión de Debian cambiará de escritorio, seleccionando por defecto Xfce. Así lo ha anunciado Joey Hess en un commit, aunque la decisión no es firme,  puesto que durante los próximos meses se evaluarán diferentes parámetros para saber si es necesario deshacer esa decisión.
¿Cuales son los motivos del cambio? 
  • Primero, el entorno de Xfce por defecto es más similar al de GNOME 2.
  • Además, Xfce incluye algunas características de accesibilidad (sobre todo para usuarios con dificultades visuales), especialmente útiles en una distribución de Linux que plantea estar disponible para todos.
  • Otra razón de peso es que hay restricciones de espacio en el primer CD usado para distribuir Debian.
El equipo de desarrollo tendrá en cuenta, entre otras cosas, los datos recabados por popcon (el recolector de estadísticas de Linux) para saber si esta decisión se mantiene o se vuelve a poner GNOME como entorno por defecto.
En agosto se volverá a evaluar esta decisión, teniendo en cuenta el feedback recogido por usuarios de Debian y de GNOME.
Más información
OMG! Ubuntu!  http://www.omgubuntu.co.uk/2013/11/debian-8-0-switches-xfce-default
Fuente: Genbeta

Vodafone presenta para España el HTC Desire 500

Vodafone España lanza en exclusiva junto con HTC, el nuevo HTC Desire 500 en color rojo y blanco disponible desde esta semana para actuales y nuevos Clientes de la operadora.
Vodafone lo ofertará en exclusiva hasta enero en rojo y blanco desde 0€ - con portabilidad y permanencia de 24 meses- con el plan de precios Base3 que por 32€ al mes incluye 1GB, 350 minutos y 1000 SMS.
Caracterñisticas técnicas del terminal
  1. Pantalla.- Es de 4’3 pulgadas de 480 x 800 píxeles que lo identifica como un terminal de gama media. 
  2. Procesador.- Del tipo  Snapdragon 200 de cuatro núcleos a 1’2 GHz
  3. Ram.-  1GB de memoria RAM y Adreno 203,
  4. Cámara trasera.- Es de 8 Mpx con procesador de HTC ImageChip para fotos y vídeos en HD,
  5. Cámara frontal de 1’6 Mpx y
  6. Alamcenamiento.- memoria interna de 8 GB con ranura para tarjetas microSD de hasta 64 GB.
  7. Sistema Operativo.- Android 4.2.2 Jelly Bean junto con la personalización de HTC Sense 5.
  8. Batería.- Es de 1.800mAh que nos ofrecerá 435h en stand-by bajo 3G y 12 horas de conversación también bajo 3G.
  9. Tamaño.- Es 131.8 x 66.9 x 9.9 mm y pesa 123g.
  10. Otros.- En pantalla principal veremos HTC BlinkFeed tal y como aparece en HTC ONE donde ofrece información en tiempo real de lo que nos interesa.
A pie de página se muestra el cuadro informativo que Vodafone ha presentado  con los planes de precios de sus tarifas junto con el precio del terminal

Fuente: Vodafone



APPLE. Concesión de la patente de la tecnología iBeacon

La Oficina de Patentes y Marcas Registradas de los Estados Unidos ha concedido hoy a Apple esa patente, titulada “Sistema y método para determinar la localización de los dispositivos de comunicación inalámbrica y las personas para controlar y ajustar las operaciones de los dispositivos basándose en su localización“.
En esencia el sistema describe un escenario en el que una localización monitorizada a través del iPhone o de cualquier dispositivo móvil permite activar acciones en dispositivos cercanos.
Por ejemplo, que se abra la puerta de nuestro garaje cuando estemos llegando con el coche, que se active el aire acondicionado cuando entremos en casa o que se apaguen las luces cuando salgamos de la oficina. 
La patente lo describe formalmente: 
  1. Uno o más servidores pueden acceder a datos recibidos desde uno o más dispositivos (por ejemplo, un teléfono, un tablet, un dispositivo de seguimiento de vehículos o un lector de tarjetas de identificación).
  2. El servidor puede agregar datos e inferir la ubicación de una persona.
  3. El servidor puede transmitir señales, incluyendo datos a uno o varios dispositivos secundarios (por ejemplo, sistemas de iluminación, de seguridad, aperturas de puertas de garaje, controladores de música, de aire acondicionado o electrodomésticos en la cocina), estando esos datos secundarios basados al menos en parte en la ubicación estimada.
La descripción de esa tecnología parece acercarnos cada vez a un mundo más conectado y mucho más automatizado en el que la movilidad, una vez más, será la absoluta protagonista.

Más información
CNET    http://news.cnet.com/8301-13579_3-57610849-37/apple-patents-location-based-technology-to-control-devices-remotely/
Fuente: Genbeta


SYNC. Pretende atraer a los desarrolladores con una API

Los responsables del almacenamiento descentralizado de BitTorrent,  han anunciado una API para que Sync se integre en servicios de terceros.
La idea de Bittorrent Sync, es que sus usuarios sincronicen datos entre sus propios ordenadores y sin pasar por un servidor externo. Lo cual implica tener siempre nuestras máquinas encendidas, pero a cambio garantizamos que nadie acceda a nuestros archivos. 
BitTorrent Sync ya ha sincronizado más de 30 Petabytes de datos.
  • En julio eran “sólo 8 Petabytes de datos", y un mes más tarde la cantidad subía a 14 Petabytes para llegar a 30 a la fecha actual.
  • Un buen punto de partida para que Sync pruebe suerte con la integración a terceros.
  • Clientes de correo, servicios de mensajería instantánea… las posibilidades son muchas y las técnicas de monetización ya están ahí para el futuro.
Más información
TechCrunch  http://techcrunch.com/2013/11/05/sync-bittorrents-server-less-dropbox-competitor-hits-1m-active-users-releases-api/
Fuente: Genbeta

EBAY Y PAYPAL. Estudian aceptar Bitcoin como moneda de pago.

La moneda digital más utilizada podría ser aceptada por eBay y por Paypal como su unidad de pagos a medio plazo. 
El CEO de eBay afirma que la empresa sigue muy de cerca la marcha de Bitcoin, ya que cree que la moneda virtual va a ser "algo muy poderoso" en los próximos años. Por su parte, el presidente de PayPal, David Marcus, también ha mostrado su fascinación por bitcoin y la idea de abrazar esta moneda no parece descabellada, como recoge Tech Crunch.
Sin embargo, esa incorporación de bitcoin en Ebay no va a ser inmediata. "Estamos construyendo el contenedor para que cualquier minorista pueda poner sus puntos de fidelidad en la cartera PayPal", dijo Donahoe. El CEO de una de las mayores tiendas de internet del mundo dijo que eBay no estaba expandiendo la cartera PayPal para incluir bitcoins, pero que "están viendo que esa misma tecnología puede aceptar otras monedas digitales", aseguró.
Algunos analistas argumentan que aceptar esta moneda digital podría provocar una reducción de los servicios de PayPal, mientras que otros aseguran que apoyar oficialmente a eBay significaría ampliar el sistema y facilitar las ventas de los que todavía son escépticos con esta divisa.
Más información
Fuente: Libertad Digital.com

Nokia Lumia prepara una tableta de 8 pulgadas para el 2014

Nokia que estaría preparando su próxima tablet Lumia basada en Windows ha sido confirmado por la filtración de la cuenta de Twitter de @evleaks y también en dicha cuenta dicen que dispondrá de una diagonal de 8 pulgadas y su nombre en clave de “Illusionist“. 
Además The Verge puede confirmar la finlandesa fabricante de teléfonos inteligentes está preparando para un lanzamiento a principios del próximo año.
Fuentes familiarizadas con los planes de Nokia han confirmado el nombre en clave ilusionista, al tiempo que revela que el dispositivo se venderá con RT de Windows 8.1 y un procesador Qualcomm.
Entendemos Nokia está planeando lanzar su tableta más pequeña por esa misma época de su 6 pulgadas Lumia 1320 debuta en algunos mercados el próximo año.
Fuente: The Verge