27 de diciembre de 2013

VMWARE. Salto de restricciones en VMWare ESX/ESXi

VMWare ha publicado el boletín de seguridad VMSA-2013-0016 donde soluciona una vulnerabilidad en los productos VMWare ESX y ESXi que podría permitir el salto de restricciones y potencialmente la ejecución de código arbitrario. La importancia asignada a la vulnerabilidad es alta.
 VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. VMWare ESX permite asignar recursos de procesador, memoria, almacenamiento de información y redes en múltiples máquinas virtuales.
Recursos afectados
  1. VMware ESXi 5.5 without patch ESXi550-201312001
  2. VMware ESXi 5.1 without patch ESXi510-201310001
  3. VMware ESXi 5.0 without patch update-from-esxi5.0-5.0_update03
  4. VMware ESXi 4.1 without patch ESXi410-201312001
  5. VMware ESXi 4.0 without patch ESXi400-201310001
  6. VMware ESX 4.1 without patch ESX410-201312001
  7. VMware ESX 4.0 without patch ESX400-201310001
Detalles e Impacto potencial de la vulnerabilidad corregida
  • El error, identificado con CVE-2013-5973 se debe al manejo incorrecto de archivos de descripción de máquinas virtuales. Un usuario sin privilegios de vCenter Server podría obtener acceso de lectura y escritura a archivos arbitrarios del sistema, según que archivos modifique podría incluso lograr ejecutar código después de un reinicio del equipo.
  • Solo los usuarios de vCenter Server con el privilegio “Add Existing Disk” podrían aprovechar este fallo, decir que usuarios o grupos que tengan el rol "Virtual Machine Power User" o "Resource Pool Administrator" tienen este privilegio.
Recomendación
  • En https://www.vmware.com/patchmgr/download.portal se encuentran disponibles los parches para su descarga.
  • VMware ha puesto disponibles parches para las versiones afectadas. No obstante, estos parches no solucionan el problema para usuarios que hayan modificado manualmente el fichero /etc/vmware/configrules, que tendrán que aplicar lo expuesto en el artículo 2066856 de la VMware Knowledge Base después de aplicar el parche.
  • Para mitigar los efectos de la vulnerabilidad, en una instalación por defecto del vCenter Server, no asignar los roles predefinidos "Virtual Machine Power User" o "Resource Pool Administrator" a ningún usuario no privilegiado. Restringir también el número de usuarios de vCenter Server con privilegio "Add Existing Disk".
Más información:
 VMSA-2013-0016 http://www.vmware.com/security/advisories/VMSA-2013-0016.html
Fuente: Hispasec e Inteco

NAGIOS Vulnerabilidad de denegación de servicio

Se ha solucionado un error en el núcleo de Nagios que podría ser aprovechado por un atacante remoto para causar una denegación de servicio.
 Nagios es un sistema de monitorización redes, que mantiene una vigilancia tanto del hardware de los equipos como del software instalado en ellos, avisando ante cualquier cambio, intrusión, escasez de recursos, etc. a través de diferentes medios como pueden ser el email y los SMS.

 La vulnerabilidad, identificada con CVE-2013-7108, está causada por un error de tipo off-by-one (OBOE) en la función process_cgivars(). En algunos CGIs al encontrar un valor de clave largo se incrementaba un contador por el doble lo que podría causar lectura una fuera de límites en la lista de variables CGI.

 Se puede encontrar el parche que soluciona la vulnerabilidad en el repositorio de código oficial de Nagios.

Más información:
CGIs: Fixed minor vulnerability where a custom query could crash the CGI. http://sourceforge.net/p/nagios/nagioscore/ci/d97e03f32741a7d851826b03ed73ff4c9612a866/
Fuente: Hispasec

SNAPCHAT. Descubiertos fallos de seguridad.

Según un documento elaborado por investigadores de Gibson Security, es posible averiguar que números de teléfono están asociados a diferentes cuentas de Snapchat.
Tras anunciar hace varios meses la existencia de vulnerabilidades reales de seguridad en la plataforma, la firma Gibson Security vuelve a insistir con un nuevo informe que revela que “nada ha cambiado” en términos de seguridad de la plataforma. Según el documento, es posible averiguar que números de teléfono están asociados a diferentes cuentas de Snapchat. “Con una única petición a ph/find_friends” y, de forma bastante veloz”, detalla el informe que destaca asimismo que la única modificación realizada en términos de privacidad se refiere a una “transición de AES/ECB al protocolo AES/CBC”. 

Es más, teniendo en cuenta las pruebas realizadas por los investigadores estos pudieron identificar hasta 10.000 números de teléfono en tan sólo 7 minutos sin el permiso de su propietario debido a este fallo de seguridad. El ‘gap’ de seguridad afectaría usuarios de móviles Android e iOS, según detalla el informe, que añade otra cuestión importante. “Teniendo en cuenta algunas optimizaciones asíncronas, creemos que podrían calcularse los números, potencialmente, en minuto y medio o, en el peor caso, dos minutos”, subrayan los investigadores.

El informe va más allá y adelanta que si todos los números de teléfono registrados en la plataforma tuviesen “el formato americano”, se podría “averiguar la información de los 8 millones de usuarios de Snapchat en un plazo de entre 20 y 26,6 horas”, revela Gibson Security en su informe.

Fuente: ITespresso

SAMSUNG GALAXY S4. Fallo en la plataforma de seguridad Knox.

 Un investigador de la Universidad de Ben-Gurion en Israel ha descubierto una importante brecha de seguridad en la plataforma de seguridad de Samsung para los Galaxy S4, Knox. El fallo podría permitir que programas maliciosos rastrearan correos electrónicos y recopilaran datos de comunicaciones.
   Así lo ha anunciado un estudio del investigador Mordechai Guri, del laboratorio de ciberseguridad en la Universidad de Ben-Gurion, que recoge Wall Street Journal. Los resultados de la investigación se han publicado cuando Samsung presentaba Knox a clientes potenciales en el departamento de defensa estadounidense y otras entidades gubernamentales en una apuesta por competir con BlackBerry, cuyos dispositivos se consideran los más seguros.

   Samsung está examinando el supuesto fallo y un representante ya ha aclarado que las alegaciones "no son tan serias como puede parecer". Sin embargo, los investigadores israelíes han asegurado que esta vulnerabilidad permitiría que un hacker "interceptara fácilmente" datos de un 'smartphone' Galaxy equipado con Knox e incluso introducir un código hostil que desbaratara toda la red de seguridad.

   "La vulnerabilidad representa una seria amenaza para todos los usuarios de terminales basados en esta arquitectura", ha explicado el jefe del laboratorio, Dudu Mimran. Por su parte, Samsung ha asegurado que la compañía "se toma muy en serio todas las denuncias de seguridad" y ha prometido investigar esta posibilidad. Sin embargo, ha añadido que el estudio de la universidad israelí se realizó sobre un dispositivo que no estaba equipado con el software que un cliente corporativo utilizaría realmente.

Más información:
Wall Street Journal  http://online.wsj.com/news/articles/SB10001424052702304244904579276191788427198
Fuente: Portaltic/EP

Las averías de los 'smartphones' proceden del 'software' en un 20% de los casos

El 20% de las averías de los 'smartphones' se producen en el 'software' y casi el 100%  de estos fallos son causados por manipulaciones inadecuadas de los usuarios. Por tanto, no sólo los daños estéticos o de conexión suponen un problema para los usuarios de los teléfonos de nueva generación.
   Así lo ha demostrado un estudio reciente llevado a cabo por MovilQuick, el cual ha asegurado, además, que el 83% de las averías en el software obedecen a actualizaciones erróneas de los distintos sistemas operativos por diversos motivos; baterías agotadas en mitad del proceso, reinicios del terminal a lo largo de la actualización sin necesidad o el simple desconocimiento de cómo actualizarlo correctamente. Todas estas son las principales razones por las que se acude al servicio técnico con problemas no relacionados con el hardware.

   Paralelamente, cerca del 12% de los 'smartphones' reparados provienen de cambios mal realizados en el 'firmware' y que obligan a recargar el sistema completo. Modificar el contenido programable del terminal es una acción muy delicada que desde MovilQuick desaconsejan a quienes no tienen conocimientos avanzados en esta materia.

   Por último, apenas un 5% de los problemas con los que se acude al servicio técnico obedecen a 'malwares' alojados en el terminal y que provienen, en algunos casos, de 'apps' instaladas fuera de las tiendas oficiales. Estos 'malwares' afectan a la velocidad de ejecución de procesos provocando que se ralentice la respuesta del smartphone.

Fuente: Portaltic/EP

AMAZON. Logra un millón de nuevos suscriptores

La empresa norteamericana Amazon ha comunicado las ventas de estas fechas. Las cifras demuestran que la camapaña que va desde el Ciber Monday hasta Navidad,  ha sido la mejor de la historia de la compañía desde su fundación tanto en número de envíos como en número de nuevos suscriptores.
   Tan sólo en la tercera semana de diciembre, Amazon ha conseguido un millón de nuevos usuarios registrados que podrán hacer uso de dos días de envíos gratis al año. Los intentos de registros alrededor del mundo eran tan altos, que Amazon se vio obligada a restringirlos durante las horas puntas.

   La comodidad a la hora de comprar cualquier cosa en esta página web es una de las características de esta empresa. Así, los usuarios que hicieron sus compras a través de su teléfono móvil gastaron una media de ochenta y cinco dólares y diez dólares más los usuarios de tablets.

   Entre los regalos estrella de esta temporada de fiestas se encuentran los libros electrónicos de Amazon Kindle y Kindle Fire. El día de mayores ventas de estos productos tuvo lugar durante el dos de diciembre, coincidiendo con el Ciber Monday.

   Como curiosidad, Amazon envió un total de 115.226.802 productos durante estas fechas, lo que equivaldría a casi un regalo por cada casa construida en Estados Unidos.

Fuente: Portaltic/EP

APPLE. Multada en Taiwán por fijar los precios de los iPhones de contrato

   Apple deberá pagar casi medio millón de euros en Taiwán por fijar los precios de los iPhones de contrato para las operadoras. Esta práctica está prohibida en el país asiático por limitar la competencia en perjuicio de los fabricantes.
   Según ha informado Wall Street Journal, hasta ahora, si un usuario en Taiwán quería comprar un iPhone 5S bajo contrato de permanencia, el precio era el dictado por el organismo de competencia, que a su vez lo recibía de Apple. Esto dejaba sin margen de maniobra a las tres principales operadoras -Chunghwa Telecom, FarEasTone Telecommunications y Taiwan Mobile-, que debían enviar los precios a la compañía de Cupertino para su aprobación.

   Sin embargo, según las leyes del país las empresas no deberían encontrar ninguna interferencia una vez que hayan adquirido los derechos de distribución de los terminales.

   La sentencia ha dictaminado que las operadoras deben ser las que fijen el precio para los consumidores en última instancia sin que la empresa norteamericana pueda reclamar o presionarlas para decidir un precio. Asimismo, Apple deberá pagar una multa de 20 millones de dólares taiwaneses -unos 490.000 euros.

   La empresa de la manzana puede apelar la decisión pero de momento no ha hecho ninguna declaración al respecto.

   Por su parte, la Comisión Europea está investigando los acuerdos y negociaciones de Apple con las operadoras europeas para comprobar que los precios y la manera de distribuir los terminales no atentan contra la libre competencia.

Más información:
Wall Street Journal http://online.wsj.com/news/articles/SB10001424052702304475004579279523694907870
Fuente: Portaltic/EP

SAMSUNG. Fabricante de smartphones B2B más completo

La consultora ABI Research sitúa a Samsung como el mejor fabricante de teléfonos inteligentes para empresas, seguida muy de cerca por Apple y BlackBerry.
Según su análisis, la mejor productora de teléfonos inteligentes B2B es Samsung. La coreana se aúpa al primer puesto por sus soluciones para la gestión del espacio de trabajo, los acuerdos y la adopción de clientes de negocios. Además, Samsung cuenta con una gran y diversificada red de socios y se sitúa como el primer fabricante de equipos originales Android en ofrecer una solución empresarial integrada. 

Muy cerca de Samsung se sitúa Apple. La coreana solo le saca un punto de ventaja a la empresa de la manzana. Los de Cupertino obtienen muy buena nota en el apartado de la Implementación e debido a la alta adopción de iOS como plataforma entre los usuarios de negocios y porque los iPhone son los dispositivos más activados en cuanto a plataformas EMM Enterprise Mobility Management) y MDM (Mobile Device Management).

BlackBerry, se queda con el tercer puesto. Su puntuación en el apartado de Implementación ha caído, pero ha recibido un marcaje muy alto en cuanto a Innovación. Pese a que la compañía canadiense ha estado a la deriva en los últimos meses, sus soluciones siguen considerándose como el estándar de oro en cuanto a seguridad en el ámbito corporativo. ABI Research destaca las mejoras en la gestión de multiOS y el uso de los dispositivos para dual-persona. Por su parte, Nokia se haría con la cuarta plaza.

La consultora destaca que hay dos batallas abiertas. La primera es entre Samsung y Apple y aquí la coreana ha “aprendido rápido y le ha robado el papel innovador a Apple”. Por su parte, existe otra dura pugna entre BlackBerry y Nokia. Mientras la canadiense cuenta con más “experiencia de movilidad empresarial, Nokia dispone ahora del respaldo de Microsoft”. ABI espera que se amplié la oferta de smartphones B2B con la maduración del sector.

Más información
TgDaily http://www.tgdaily.com/mobility-features/83766-analysts-say-samsung-edges-apple-for-1-ranking
Fuente: ITespresso

ADESPRESSO. Rentabiliza la publicidad a las pymes

La firma ofrece a este tipo de empresas una serie de herramientas de publicidad basadas en la red social Facebook que permite a las pequeñas y medianas empresas optimizar sus anuncios.  La firma asegura que pueden ahorrar a sus empresas clientes hasta un 40% en inversión publicitaria gracias a su combinación de textos e imágenes.
AdEspresso es una start-up que ofrece a las pymes la combinación entre los textos e imágenes más eficaz para poder rentabilizar la inversión publicitaria en Internet. Concretamente, la firma ofrece a este tipo de empresas una serie de herramientas de publicidad basadas en la red social Facebook que permite a estas pequeñas y medianas empresas optimizar sus anuncios en la Red.

En la práctica, la start-up posibilita la comprobación online del impacto entre los consumidores de los anuncios publicitados por las pymes en Internet. Para ello, una vez la compañía ha insertado los textos e imágenes que forman parte del anuncio, la plataforma implementa herramientas de medición para poner a prueba diferentes combinaciones posibles y a lo que añade el seguimiento del impacto del anuncio en al audiencia a través de diferentes métricas, así como una lista con clientes potenciales.

“La idea es probar y optimizar diferentes herramientas de la red social para ver como pueden ayudar a optimizar el impacto y los resultados del anuncio. Nuestra valor diferencial es que nos dirigimos a las pequeñas empresas que quieren sacar provecho de las herramientas de Facebook para anunciar su marca”, destaca su CEO, Massimo Chieruzzi a la web Techcrunch. Desde su nacimiento hace un año AdEspresso ha logrado que 5.000 anunciantes se registren en su página web para promocionar sus productos. Su inversión en publicidad ronda los 900.000 dólares durante 2013 y cuenta con una sede operativa en uno de los epicentros tecnlógicos mundiales, Mountain View.

Más información
Techcrunch http://techcrunch.com/2013/12/25/adespresso-seed-funding/
Fuente: ITespresso

BSkyB. Invierte 350.000 dólares en Jaunt, start-up especialista en vídeo

Jaunt es una una start-up en fase inicial, con sede en Palo Alto, que trabaja en la captación y presentación de contenidos de vídeo en 360 ​​grados.
La compañía de televisión British Sky Broadcasting Group (BSkyB) ha realizado una inversión de 350.000 dólares en Jaunt, una start-up en fase inicial que trabaja en la captación y presentación  de contenidos de vídeo en 360 ​​grados. BSkyB dijo que la nueva asociación le dará “información adicional sobre los desarrollos en este campo”.

El perfil de Jaunt en LinkedIn afirma que su tecnología “combina la fotografía computacional, los algoritmos estadísticos, el procesamiento masivo paralelo, el hardware de vanguardia y la realidad virtual”.
Para BSkyB, la operación encaja con una serie de inversiones que ha hecho recientemente en start-ups relacionadas con el mundo del vídeo. Por ejemplo, en mayo de 2013, la compañía británica invirtió 1,9 millones de dólares en la plataforma de televisión en streaming Roku, un año después de unirse a otros inversores, como News Corporation, Menlo Ventures y Globespan Capital Partners, en una ronda de 45 millones de dólares.

Según TechCrunch, otras inversiones de BSkyB incluyen la plataforma de medios digitales 1 Mainstream, en una asociación que Sky dijo que podría ampliar su alcance potencial a 18 millones de espectadores de todo el mundo, así como el especialista en medios de comunicación social Zeebox, del que Sky posee una participación del 10%.

Más información
Techcrunch http://techcrunch.com/2013/12/24/bskyb-invests-350000-in-early-stage-immersive-video-startup-jaunt/
Fuente: ITespresso

APPLE . Patenta un asistente virtual para etiquetar fotos con la voz

La nueva herramienta permitiría asignar etiquetas a fotografías utilizando comandos de voz basados en los lugares, personas y actividades que tienen relación con la imagen.
Según revela la web TNW la solicitud de la patente se hizo por primera vez en marzo y en un principio se concibió como un sistema que serviría para etiquetar y buscar imágenes a través de un asistente digital basado en la voz humana. Concretamente, la nueva herramienta permitiría, según sus responsables “asignar etiquetas”, utilizando comandos de voz, basandose en los “lugares, personas y actividades que tienen relación con la fotografía, empleando los mismos términos para su posterior recuperación”, detallan desde la página web. 

En la práctica, en lugar de etiquetar las fotografías manualmente y empleando el teclado del dispositivo, el usuario podrá utilizar su voz y decir a su teléfono móvil las órdenes precisas a través de su voz para localizar su fotografía. “El usuario podrá decir: ¡Aquí estamos en la playa! y al aplicación se encargará de etiquetarle junto con la localización registrada por la cámara del móvil”, revela el documento presentado por la compañía.

Junto a esta ventaja la plataforma ideada por Apple también tendría la potestad de reconocer a la gente que aparezca en las imágenes y las escenas inmortalizadas por el terminal, lo que serviría para “agilizar más si cabe la tarea de etiquetado del sistema”, subrayan desde la web. Con este nuevo invento la compañía californiana logra darle una nueva aplicación a su asistente multitarea Siri.

Más información
TNW http://thenextweb.com/apple/2013/12/26/apple-patents-system-siri-search-tag-photos-using-natural-speech-input/?fromcat=all#!qJtnv
Fuente: ITespresso