19 de octubre de 2014

SAMSUNG EXYNOS 7. Lanza su nuevo procesador octa-core con más potencia ysoporte 64 bits

Samsung ha presentado su nuevo procesador móvil, el Samsung Exynos 7, que se une a su catálogo de SoCs móviles y renueva la apuesta por los chips octa-core. Este nuevo desarrollo se compone de cuatro procesadores Cortex-A57 y cuatro Cortex-A53 (soporte de 64 bits) y hace uso de la arquitectura big.LITTLE.
La solución de Samsung está fabricada en escala de integración de 20 nanómetros y ofrece soporte para resoluciones de imagen de 2.560 x 1.440 y de 2.560 x 1.600 píxeles, lo que lo prepara tanto para smartphones como para tablets con este tipo de pantallas. Y no solo eso: su potencia es superior a la de anteriores modelos.
De hecho en Samsung aseguran que estos nuevos chips son un 57% más potentes que los anteriores modelos. No solo eso: también nos hablan de la nueva GPU Mali T-760, una versión mejorada de la que ya se había ofrecido en el Exynos 5,, y que según indican sus ingenieros mejora en un 74% el rendimiento gráfico.
Entre las opciones que ofrece este nuevo SoC están la grabación simultánea de vídeo de la cámara frontal y trasera gracias a un nuevo Procesador de Señal de Imagen (ISP) dual, aprovechando el modo en hasta 16 Mpíxeles y 30 FPS para la cámara posterior y hasta 5 Mpíxeles y 30 FPS en la cámara frontal.
Aunque Samsung no lo dejó claro en la presentación del Samsung Galaxy Note 4, parece evidente que este Samsung Exynos 7 es el Samsung Exynos 5433 que integra la versión asiática de este phablet -la europea cuenta con el Qualcomm Snapdragon 805-. Las diferencias con sus antecesores son interesantes, sobre todo por su soporte de 64 bits -los Exynos 5 eran chips de 32 bits- que sin duda se convertirá en algo interesante ahora que Android 5.0 Lollipop está al fin con nosotros. Y sin embargo, no queda claro que de momento vayan a funcionar en 64 bits, y parece que Samsung ha preferido "capar" esas opciones y forzar al nuevo chip a funcionar en modo de 32 bits en los nuevos dispositivos, al menos hasta que tengan lista la actualización a Android 5.0. Esperamos poder confirmar esta información pronto.
Más información
Fuente: Xtaka

CENSURA. China bloquea el acceso a la BBC por su cobertura de las protestas en Hong Kong

China han bloqueado la página web de la cadena británica BBC por su cobertura de las protestas en Hong Kong, según ha informado el propio medio de comunicación en la noche de este miércoles, a través de un comunicado.
   La emisora señala que parece ser un caso de "censura deliberada" aunque dice desconocer cuál podría ser el motivo para que Pekín haya tomado esta decisión, en un país donde también se ha bloqueado al periódico estadounidense The New York Times o el portal web de noticias de la BBC en idioma chino, entre otros.
   "La BBC condena enérgicamente cualquier intento de restringir el libre acceso a noticias e información", ha dicho el director del Grupo de Servicio Mundial de la BBC, Peter Horrocks, quién añade que están protestando ante las autoridades chinas. "Este parece ser un caso de censura deliberada", ha reiterado.
   Un funcionario chino pidió este mismo miércoles a los corresponsales de los medios de comunicación extranjeros que se encuentran trabajando en Hong Kong que informen de manera "objetiva" sobre los sucesos que acontecen en la ex colonia británica, donde se suceden los enfrentamientos entre manifestantes prodemocracia y la Policía.
   A principios de este mes, un tribunal chino emitió nuevas resoluciones drásticas contra lo que los "internautas" pueden decir y hacer 'online', un reflejo del deseo de Pekín de influir en la opinión popular, tanto en Internet como fuera de la Red.
   Esta no es la primera vez que la BBC ha sido bloqueada en China. En 2010, el portal web de la cadena fue bloqueado durante varios días, lo que coincidió con la ceremonia de entrega del Premio Nobel de la Paz al disidente chino Liu Xiaobo.
   "La BBC ofrece noticias imparciales, en las que confían millones de personas en todo el mundo", ha agregado Horrocks, quien sentencia que los intentos de censurar estos servicios muestran lo importante que es el papel de los periodistas en este tipo de acontecimientos.
Fuente: Europa Press

¿ CONTROL O VIGILANCIA ?. Los países árabes proponen que los gobiernos tengan mayor control sobre internet

Ventidos estados árabes han presentado un documento ante la Unión Internacional de Comunicaciones (ITU) reclamando que los gobiernos tengan mayor control sobre Internet.
Los países árabes desean cambios sobre el control de internet y han pedido a la Unión Internacional de Telecomunicaciones (ITU) que los gobiernos tengan mayor poder de decisión sobre ese medio de comunicación e información.
Lo han hecho a través de un documento sobre los temas que desean debatir en la próxima conferencia plenipotenciaria de la ITU, un evento que tendrá lugar en Corea del Sur, del 20 de octubre al 7 de noviembre.
El punto más destacado indica que los estados soberanos deben ser los que tengan la autoridad para fijar las políticas referentes a internet a nivel internacional.
Según la propuesta de los estados árabes, aunque otros grupos podrán aconsejar o decidir sobre temas como los protocolos técnicos, las decisiones importantes en lo referente a la legislación serían un apartado exclusivo de los gobiernos.
El modelo árabe colisiona con el actual en el que también intervienen las empresas, la comunidad de técnicos informáticos y también está representada la sociedad civil.
Asimismo, el documento denuncia que no haya políticas internacionales sobre la protección de datos privados e información privada, y pide iniciar un debate en torno a la recopilación de información personal de sus ciudadanos a nivel internacional.
Fuente: Silicon News.es

DEMANDAS. Denuncian al Gobierno español en Europa por "ocultar" la 'tasa Google'

   La Asociación de Usuarios de Internet (AUI) ha denunciado al Gobierno español ante la Comisión Europea al entender que ha "ocultado" el artículo de la reforma de la Ley de Propiedad Intelectual que habilita la conocida como 'tasa Google' de pago de los agregadores por contenidos.
    El mismo día en que el Pleno del Senado tramita la reforma de la LPI, AUI ha interpuesto una denuncia en la que, además de la falta de notificación del citado artículo, pone en cuestión la limitación de la competencia y la incompatibilidad con diferentes directivas y tratados europeos.
   Según esta asociación, el artículo 32.2 referente a la 'tasa Google' no fue notificado a la Comisión Europea al tratarse "de un proyecto de reglamentación técnica", por lo que entiende que su aprobación deberá ser aplazada hasta que se cuente con la efectiva aprobación de la comisión.
   "El hecho de que España notificara a la comisión una versión inicial del Proyecto de Ley no exime de la obligación de notificar la modificación concreta del artículo 32.2 de la LPI, que se propuso a posteriori dada su importancia y relevancia", ha alertado.
   Así, ha recordado que el incumplimiento por parte de las autoridades españolas de su obligación de notificación constituiría una infracción de una directiva europea y del artículo 4.3 TUE. Además, puede implicar que la tasa no se pueda hacer valer contra las empresas que tienen que pagar la compensación, de acuerdo con la jurisprudencia del Tribunal Europeo de Justicia.
   "Hemos decidido interponer esta denuncia para frenar esta incomprensible reforma de la LPI, consideramos que toda ella es un ataque a los derechos de los usuarios, a la libertad de información y a la innovación en Internet", ha explicado MIguel Pérez Subías, presidente de AUI.
   La Asociación de Usuarios de Internet es miembro activo de la plataforma 'todoscontraelcanon.org', compuesta por 34 organizaciones. Desde su creación en contra del Canon Digital ha recogido más de un millón de firmas individuales y 4.368 firmas colectivas que representan a otro millón de ciudadanos.
   Por otra parte, Google se está planteando cerrar su servicio de noticias Google News en España si finalmente se aprueba la 'tasa Google'. Sería la primera vez que esto ocurre en un país democrático.
Fuente: Europa Press

MICROSOFT. Publicados los boletines de seguridad de octubre de 2014

Consta de 8 boletines de seguridad, clasificados como 3 críticos y 5 importantes, y referentes a múltiples CVEs en Microsoft Windows, Microsoft .NET Framework, Microsoft Office, ASP.NET MVC y Microsoft Internet Explorer. La actualiación ha sido catalogada con Importancia: 5 - Crítica
Recursos afectados
·         Internet Explorer 6,7,8,9,10 y 11
·         Windows Vista, 8 y  8.1
·         Windows Server 2008, 2008 R2, 2012 y 2012 R2
·         ASP.NET MVC 2.0, 3.0, 4.0, 5.0 y 5.1
·         Microsoft Office 2007 y 2010
·         Microsoft Office para Mac
Detalle de los boletines de seguridad
1)   MS14-056: (Crítica) El parche para Internet Explorer resuelve un total de 14 vulnerabilidades. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada.
2)   MS14-057: (Crítica) El parche para Microsoft .NET Framework resuelve 3 vulnerabilidades. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante envía un URI especialmente diseñado que contenga caracteres internacionales a una aplicación web .NET.
3) MS14-058: (Crítica) El parche para Microsoft Windows resuelve 2 vulnerabilidades. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante convence a un usuario para que abra un documento especialmente diseñado o para que visite un sitio web que no es de confianza y que contenga fuentes TrueType insertadas.
4)   MS14-059: (Importante) La vulnerabilidad en ASP.NET MVC, podría permitir la omisión de la característica de seguridad si un atacante convence a un usuario para que haga clic en un vínculo especialmente diseñado o visite una página web que incluye contenido especialmente diseñado para aprovechar la vulnerabilidad.
5)   MS14-060: (Importante) La vulnerabilidad en Microsoft Windows, podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office que contiene un objeto OLE especialmente diseñado.
6) MS14-061: (Importante) La vulnerabilidad en Microsoft Office, podría permitir la ejecución remota de código si un atacante convence a un usuario para que abra un archivo de Microsoft Word especialmente diseñado.
7)   MS14-062: (Importante) La vulnerabilidad en Microsoft Windows, podría permitir la elevación de privilegios si un atacante envía una solicitud de control entrada/salida (IOCTL) especialmente diseñada al servicio de Message Queue Server.
8)   MS14-063: (Importante) La vulnerabilidad en Microsoft Windows, podría permitir elevación de privilegios en la forma en que el controlador del sistema FASTFAT de Windows interactúa con las particiones de disco FAT32.
Recomendación
  • Instalar la actualización. En el resumen de los boletines de seguridad de Microsoft, se informa de los distintos métodos de actualización dentro de cada boletín en el apartado "Información sobre la actualización".
Más información
Fuente: INTECO

VULNERABILIDADES. Detectadas en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir dos vulnerabilidades en IBM WebSphere Application Server que podrían permitir la realización ataques de Cross-Site Request Forgery y de Cross-Site Scripting.
 IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
Detalle e impacto de las vulnerabilidades corregidas
  • La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de Cross-Site Request Forgery (CSRF) y de Cross-Site Scripting. Las vulnerabilidades tienen asignados los CVE CVE-2014-4816 y CVE-2014-4770 respectivamente. Ambos problemas residen en una validación inadecuada de las entradas sobre la interfaz de administración del servidor.
  • Los ataques podrían emplearse por atacantes remotos para realizar acciones no autorizadas sobre la consola de administración, acceder a las cookies (incluyendo las de autenticación) o a información recientemente enviada.
Recursos afectados
  •  Se ven afectadas las versiones de IBM WebSphere Application Server 6.0.2, 6.1, 7.0, 8.0, 8.5 y 8.5.5.
Recomendación
Se debe actualizar al último Fix Pack disponible y luego aplicar esta actualización.
Más información
Fuente: Hispasec

LINUX. Actualización del kernel de UBUNTU

Se han publicado nuevas versiones del kernel del Linux para las distribuciones Ubuntu 12 y 14 que corrigen un total de nueve vulnerabilidades, que podrían permitir ataques de denegación de servicio o la ejecución de código arbitrario.
Detalle de la actualización
  • Los problemas residen en desbordamientos de búfer en el controlador magicmouse HID (CVE-2014-3181), en el controlador USB Whiteheat (CVE-2014-3185), en el controlador HID PicoLCD (CVE-2014-3186) y en el sistema de archivos Ceph (CVE-2014-6416). También se han corregido errores "off by one" en la pila HID del kernel (CVE-2014-3184), un fallo en la implementación de la colección de basura en lib/assoc_array.c (CVE-2014-3631), un error en el sistema de archivos UDF (CVE-2014-6410) y dos vulnerabilidades en el sistema de archivos Ceph (CVE-2014-6417 y CVE-2014-6418).
Recomendación
Ubuntu ha publicado las siguientes actualizaciones para corregir los problemas:
Ubuntu 12.04 LTS:
  1. linux-image-3.13.0-37-generic-lpae    3.13.0-37.64~precise1
  2. linux-image-3.13.0-37-generic    3.13.0-37.64~precise1
 Ubuntu 14.04 LTS:
  1. linux-image-3.13.0-37-generic-lpae    3.13.0-37.64
  2. linux-image-3.13.0-37-lowlatency    3.13.0-37.64
  3. linux-image-3.13.0-37-generic    3.13.0-37.64
  4. linux-image-3.13.0-37-powerpc64-emb    3.13.0-37.64
  5. linux-image-3.13.0-37-powerpc-smp    3.13.0-37.64
  6. linux-image-3.13.0-37-powerpc-e500    3.13.0-37.64
  7. linux-image-3.13.0-37-powerpc64-smp    3.13.0-37.64
  8. linux-image-3.13.0-37-powerpc-e500mc    3.13.0-37.64
 Para actualizar los sistemas se recomienda seguir las instrucciones disponibles en: https://wiki.ubuntu.com/Security/Upgrades
Más información
Fuente: INTECO

ORACLE. Actualización crítica de octubre 2014

 Oracle ha lanzado múltiples actualizaciones de seguridad sobre varios de sus productos, resolviendo un total de 154 vulnerabilidades.  La actualización tiene asignada una Importancia: 5 - Crítica
Recursos afectados
1)   Oracle Database Server
2)   Oracle Fusion Middleware
3)   Oracle Enterprise Manager Grid Control
4)   Oracle E-Business Suite
5)   Oracle Supply Chain Products Suite
6)   Oracle PeopleSoft Products
7)   Oracle JD Edwards Products
8)   Oracle Communications Applications
9)   Oracle Retail Applications
10)               Oracle Health Sciences Applications
11)               Oracle Primavera Products Suite
12)               Oracle Java SE
13)               Oracle Sun Systems Products Suite
14)               Oracle Linux and Virtualization
15)               Oracle MySQL
Detalle e impacto de las vulnerabilidades corregidas
  • Treinta y una vulnerabilidades afectan a Oracle Database Server, seis de ellas con criticidad alta. De estas vulnerabilidades, dos pueden ser explotables de forma remota y sin autenticación.
  • Dieciocho vulnerabilidades afectan a Oracle Fusion Middleware, cuatro de ellas con criticidad alta. De estas vulnerabilidades, catorce pueden ser explotables de forma remota y sin autenticación.
  • Dos vulnerabilidades afectan a Oracle Enterprise Manager Grid Control, ninguna de ellas con criticidad alta ni explotable de forma remota y sin autenticación.
  • Diez vulnerabilidades afectan a Oracle E-Business Suite, una de ellas con criticidad alta. De estas vulnerabilidades, ocho pueden ser explotables de forma remota y sin autenticación.
  • Cinco vulnerabilidades afectan a Oracle Supply Chain Products Suite, ninguna de ellas con criticidad alta. Dos de estas vulnerabilidades pueden ser explotables de forma remota y sin autenticación.
  • Cinco vulnerabilidades afectan a Oracle PeopleSoft Products, ninguna de ellas con criticidad alta. Una de estas vulnerabilidades puede ser explotable de forma remota y sin autenticación.
  • Una vulnerabilidad afecta a Oracle JD Edwards Products. Esta vulnerabilidad tiene criticidad media y no es explotable de forma remota y sin atuenticación.
  • Dos vulnerabilidades afectan a Oracle Communications Applications, una de ellas con criticidad alta. Una de estas vulnerabilidades puede ser explotable de forma remota y sin autenticación.
  • Cuatro vulnerabilidades afectan a Oracle Retail Applications. Todas estas vulnerabilidades tienen criticidad alta y pueden ser explotables de forma remota y sin autenticación.
  • Tres vulnerabilidades afectan a Oracle Health Sciences Applications, ninguna de ellas con criticidad alta. Todas estas vulnerabilidades pueden ser explotables de forma remota y sin autenticación.
  • Dos vulnerabilidades afectan a Oracle Primavera Products Suite. Ninguna de ellas tiene criticidad alta ni es explotable de forma remota y sin autenticación.
  • Veinticinco vulnerabilidades afectan a Oracle Java SE, nueve de ellas con criticidad alta. Veintidós de estas vulnerabilidades pueden ser explotables de forma remota y sin autenticación.
  • Quince vulnerabilidades afectan a Oracle Sun Systems Products Suite, cuatro de ellas con criticidad alta. Seis de estas vulnerabilidades pueden ser explotables de forma remota y sin autenticación.
  • Siete vulnerabilidades afectan a Oracle Virtualization, ninguna de ellas con criticidad alta. Seis de estas vulnerabilidades pueden ser explotables de forma remota y sin autenticación.
  • Veinticuatro vulnerabilidades afectan a Oracle MySQL, tres de ellas con crticidad alta. Nueve de estas vulnerabilidades pueden ser explotable de forma remota y sin autenticación.
Recomendación
  • En la página Web de Oracle se pueden encontrar enlaces a las actualizaciones para cada familia de productos.
Más información
Fuente: INTECO

POODLE. Vulnerabilidad en el protocolo SSL 3.0

 SSL 3.0 es un protocolo obsoleto e inseguro. Aprovechando la compatibilidad hacia atrás que soportan muchas implementaciones TLS, es posible forzar su uso y romper el cifrado de la comunicación si se dispone de cierto control sobre la red entre el cliente y el servidor. La vulnerabilidad se ha catalogado con Importancia: 4 - Alta
Recursos afectados
  •  Todos los sistemas que soporten el protocolo SSL 3.0.
Detalle impacto de la vulnerabilidad
  • Este ataque, llamado POODLE (Padding Oracle On Downgraded Legacy Encryption), permite a un atacante "calcular" el texto plano de tokens o cookies HTTPS, forzando un fallback a SSL 3.0.
  • Esto permitiría realizar acciones como secuestrar sesiones o loguearse como otros usuarios.
Recomendación
  • Deshabilitar SSL 3.0 o cifradores en modo CBC con SSL 3.0, aunque se recomienda habilitar TLS_FALLBACK_SCSV para evitar problemas de compatibilidad.
Más información
Fuente: INTECO

OPENSSL. Actualizaciones de seguridad

OpenSSL ha publicado actualizaciones que resuelven varias vulnerabilidades, entre ellas POODLE . La actualización de ha catlogado  de Importancia: 4 - Alta
Recursos afectados
·     OpenSSL, versiones 1.0.1, 1.0.0 y 0.9.8.
Recomendación
1)   OpenSSL 1.0.1: actualizar a 1.0.1j.
2)   OpenSSL 1.0.0: actualizar a 1.0.0o.
3)   OpenSSL 0.9.8: actualizar a 0.9.8zc.
Detalle e Impacto de las vulnerabilidades detectadas
1)   Fuga de memoria SRTP.- Una debilidad en la extension DTLS SRTP permite a un atacante causar una fuga de memoria enviando un mensaje de handshake modificado. Se ha reservado el identificador CVE-2014-3513 para esta vulnerabilidad.
2)   Fuga de memoria con ticket de sesion.- Cuando el servidor recibe un ticket de sesion, este verifica su integridad, y si esta verificación falla se produce una fuga de memoria. Es posible causar una denegación de servicio enviando múltiples tickets inválidos. Se ha reservado el identificador CVE-2014-3567 para esta vulnerabilidad.
3)SSL 3.0 Fallback protection.- Se añade soporte para TLS_FALLBACK_SCSV.
4)   La opción no-ssl3 es incompleta.- Cuando se compila OpenSSL con no-ssl3, los servidores podrían aceptar y completar un handshake SSL 3.0. Se ha reservado el identificador CVE-2014-3568 para esta vulnerabilidad.
Más información
·         OpenSSL Security Advisory [15 Oct 2014] https://www.openssl.org/news/secadv_20141015.txt
Fuente: INTECO

CISCO TELEPRESENCE. Múltiples vulnerabilidades en productos de la firma

 Cisco ha publicado parches que resuelven varias vulnerabilidades en productos Telepresence MCU, TelePresence Video Communication Server y Cisco Expressway Software. Catalogadas con Importancia: 4 - Alta
Recursos afectados
1)   Cisco TelePresence MCU 4200 Series
2)   Cisco TelePresence MCU 4500 Series
3)   Cisco TelePresence MCU MSE 8420
4)   Cisco TelePresence VCS Control
5)   Cisco TelePresence VCS Expressway
6)   Cisco TelePresence VCS Starter Pack Expressway
7)   Cisco Expressway Core
8)   Cisco Expressway Edge
Detalle e Impacto de las vulnerabilidades detectadas
·       En Cisco Telepresence MCU, debido a un incorrecto procesado de paquetes TCP, un atacante podría utilizar paquetes especialmente manipulados para causar inestabilidad y recarga del sistema afectado. Esta vulnerabilidad es explotable de forma remota y sin autenticación, y se ha reservado el identificador CVE-2014-3397 para esta vulnerabilidad.
·       En productos TelePresence VCS and Cisco Expressway se podría provocar una denegación de servicio debido a un incorrecto procesado de paquetes IP. Un atacante remoto no autenticado podría utilizar paquetes IP especialmente manipulados para provocar una caída del kernel y recarga del sistema. Se ha reservado el identificador CVE-2014-3368 para esta vulnerabilidad.
·         En productos Cisco TelePresence VCS and Cisco Expressway SIP, debido a un incorrecto procesamiento de paquetes SDP, un atacante remoto y no autenticado podría provocar una denegación de servicio cuando el filtro IX está activo. Se ha reservado el identificador CVE-2014-3369 para esta vulnerabilidad.
·         En productos Cisco TelePresence VCS and Cisco Expressway SIP, debido a un incorrecto procesamiento de paquetes SIP, un atacante remoto y no autenticado podría provocar una denegación de servicio mediante paquetes SIP manipulados. Se ha reservado el identificador CVE-2014-3370 para esta vulnerabilidad.
Recomendación
·     La vulnerabilidad CVE-2014-3397 en productos Cisco TelePresence MCU se resuelve en las versiones 4.3(2.30) y posteriores.
·     La vulnerabilidad CVE-2014-3368 en productos Cisco TelePresence VCS and Cisco Expressway se resuelve en las versiones X8.2 y posteriores.
·   La vulnerabilidad CVE-2014-3369 en los filtros IX de los productos Cisco TelePresence VCS and Cisco Expressway SIP se resuelve en las versiones X8.1.1 y posteriores.
·     La vulnerabilidad CVE-2014-3370 en productos Cisco TelePresence VCS and Cisco Expressway SIP se resuelve en las versiones X.8.1.1 y posteriores.
·  No obstante, para los productos Cisco TelePresence VCS and Cisco Expressway, Cisco recomienda las versiones X8.2 y posteriores.
Más información
·         Cisco TelePresence MCU Software Memory Exhaustion Vulnerability  http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141015-mcu
·         Multiple Vulnerabilities in Cisco TelePresence Video Communication Server and Cisco Expressway Software http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141015-vcs
Fuente: INTECO

DRUPAL 7.X. Detectada grave vulnerabilidad de inyección SQL

Se ha descubierto una vulnerabilidad en la API que verifica y parsea las consultas a la base de datos de Drupal y ha sido catlogada de Importancia: 5 - Crítica
Recursos afectados
·         La vulnerabilidad afecta al versiones de Drupal 7.x anteriores a 7.32.
Detalle e impacto de la vulnerabilidad
·       La API de Drupal que verifica la correcta construción de las consultas hacia su base de datos con objeto de evitar inyecciones de código, tiene una vulnerabilidad que permite esquivar ese control. Esta vulnerabilidad utilizada bajo un contexto de consultas específico puede conseguir elevación de privilegios, ejecución arbitraria de código PHP y otros ataques.
Recomendación
·         Actualizar urgentemente a versión 7.32 de Drupal para corregir el problema. La actualización puede obtenerse en el siguiente enlace: https://www.drupal.org/drupal-7.32-release-notes
·       En caso de imposibilidad actualizar inmediatamente a Drupal 7.32, se recomienda utilizar el parche temporal para el fichero database.inc que corrige la vulnerabilidad hasta que la actualización necesaria a Drupal 7.32 pueda ser acometida.
·       Este parche temporal puede obtenerse aqui:  https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
·         Se recomienda consultar los detalles del problema proporcionado por el fabricante indicado en la sección siguiente de  "más información"
Más información
·         SA-CORE-2014-005 - Drupal core - SQL injection https://www.drupal.org/SA-CORE-2014-005
Fuente: INTECO

CAREFUSION’S PYXIS SUPPLYSTATION . Fallo de autenticación

El investigador Billy Rios ha informado de varias vulnerabilidades en CareFusion’s Pyxis SupplyStation que podrían permitir a un atacante comprometer el sistema de forma remota, catalogadas de Importancia: 5 - Crítica
Recursos afectados
·    Pyxis SupplyStation system 8.1 (software de la herramienta de prueba de hardware versión 1.0.15 y anteriores)
Detalle e impacto de la vulnerabilidades
Se han reportado las siguientes vulnerabilidades:
1)   El sistema Pyxis SupplyStation contiene una contraseña embebida que otorga privilegios de administrador, lo que podría provocar que un atacante remoto comprometiera el dispositivo. Se ha reservado el identificador CVE-2014-5422.
2)   Debido a que el sistema Pyxis SupplyStation utiliza una contraseña embebida para el acceso a la base de datos que captura las transacciones, y que los procesos de la base de datos se ejecutan con permisos de usuario con privilegios, un atacante con acceso físico al sistema podría comprometerlo y eliminar todo el contenido. Se ha reservado el identificador CVE-2014-5421.
3)   El sistema Pyxis SupplyStation utiliza una cuenta embebida que otorga el acceso a ficheros de la aplicación. Se ha reservado el identificador CVE-2014-5420.
4)  El sistema Pyxis SupplyStation incluye ficheros de debug y otros de desarrollo que pueden facilitar información acerca del código de la aplicación y exponer vulnerabilidades del sistema. Se ha reservado el identificador CVE-2014-5423.
Recomendación
·   CareFusion ha publicado una nueva versión (1.0.16) del software de la herramienta de prueba de hardware que soluciona tres de las cuatro vulnerabilidades, y que ha sido instalada remotamente en los sistemas afectados de acuerdo al contrato de servicio de soporte remoto.
·     La vulnerabilidad CVE-2014-5421 no ha sido corregida ya que requiere acceso físico al dispositivo.
Más información
·         Advisory (ICSA-14-288-01) https://ics-cert.us-cert.gov/advisories/ICSA-14-288-01
Fuente: INTECO

ANDROID. Descubierto el nuevo malware Selfmite.b que se distribuye po SMS

Recientemente la empresa de seguridad AdaptiveMobile ha descubierto un nuevo malware que afecta a dispositivos Android (identificado como Selfmite.b por los antivirus). Este malware usa los SMS para propagarse e infectar otros dispositivos.
Malware que se propaga por SMS
·    El Samsapo.a fue descubierto en abril 2014 por ESET. Para propagarse e infectar otros dispositivos, envía un SMS a los contactos con el mensaje "Это твои фото?" ("Es ésta tu foto?") y un enlace a un APK malicioso. Cuando el usuario hace un clic sobre el enlace, el dispositivo descarga el APK y ofrece al usuario instalarlo. Si el usuario acepta, el malware se instala en su dispositivo. Este malware puede robar datos personales como números de teléfonos de los contactos, SMS, bloquear llamadas, etc.
·    El Android/XShenqi.A fue descubierto en agosto de 2014 y llegó a afectar a más de 500. 000 móviles. Fue diseminado durante el día de Santa Valentina en China. Cuando se ejecuta, recoge la lista de contactos y envía un SMS con el mensage "" ("Mira eso" en chino) y un enlace a un APK malicioso (http://.../down/4279193/XXshenqi.apk). Además de eso, el malware graba todos los SMS recibidos por el dispositivo y los reenvía al atacante.
·         El Selfmite.b es el malware que se propaga a través de SMS descubierto más recientemente. Se trata de una actualización de otro malware similar detectado en junio (Selfmite.a). Este tipo de malware usa los SMS para propagarse, con el mensaje "Look The Self-time" en la primera versión y "Hi buddy, try this, its amazing u know" ("Hola amigo, prueba esto, es increíble") para la segunda versión y acompañado de un enlace a un APK malicioso. Este malware anuncia aplicaciones Android para instalar. Cada vez que el usuario infectado instala alguna de esas aplicaciones el atacante es remunerado (pago por instalación). El atacante puede cambiar las aplicaciones a anunciar cambiando la configuración que se descarga el malware.
Malware que se propaga por Bluetooth
·   El Backdoor.AndroidOS.Obad.a es un malware que usa el Bluetooth para propagarse. Va a escanear todos los dispositivos en su entorno que tengan el Bluetooth activado y se envía. Si el usuario acepta recibir el archivo (el malware) e instalarlo, quedará infectado. El malware tiene la posibilidad de enviar SMS premium, recibir comandos del servidor del atacante para descargar archivos, enviar la lista de aplicaciones instaladas, enviar los contactos de la víctima, etc.
Malware que se propaga por Whatsapp
·         El priyanka fue descubierto en julio de 2013. Recoge la lista de contactos de Whatsapp y envía una aplicación (el propio malware) a los contactos. Si el contacto lo acepta y lo instala, vera que el nombre de sus contactos ha cambiado por la cadena "Priyanka".
·  Todavía, no hemos visto ningún malware que haga uso del Near Field Communication (NFC) para propagarse e infectar otros dispositivos. Aunque el correo electrónico se usa habitualmente para diseminar malware Android directamente por un atacante, en la actualidad no hemos visto ningún malware que haga uso del correo electrónico para infectar otros dispositivos Android.
·  El usuario puede protegerse desactivando la instalación de los APK que provengan de fuentes no oficiales. En efecto, la mayoría de las infecciones usan la ingeniería social para instalarse en un dispositivo. Por ejemplo, el atacante envía un SMS con un enlace que redireccione a un APK. Cuando el usuario hace un clic sobre el enlace, el dispositivo descarga el APK y propone al usuario de instalar ese mismo APK (es decir la aplicación maliciosa).
Más información:
·         Una al día (17/10/2014) http://unaaldia.hispasec.com/2014/10/android-y-su-malware.html
Fuente: Hispasec

ADOBE. Nueva actualización para Flash Player

Adobe ha publicado una actualización para Adobe Flash Player para evitar tres nuevas vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.
Recursos afectados
1)  Las vulnerabilidades afectan a las versiones de Adobe Flash Player 15.0.0.167 (y anteriores) para Windows y Macintosh,
2)   Adobe Flash Player 13.0.0.244 (y 13.x anteriores) para Windows y Macintosh
3)   Adobe Flash Player 11.2.202.406 (y anteriores) para Linux.
Detalle de la actualización
· Esta actualización, publicada bajo el boletín APSB14-22, (http://helpx.adobe.com/security/products/flash-player/apsb14-22.html)  soluciona dos vulnerabilidades de corrupción de memoria (CVE-2014-0564 y CVE-2014-0558), y otra de desbordamiento de entero (CVE-2014-0569). En todos los casos estos problemas podrían permitir la ejecución remota de código arbitrario.
Recomendación
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
1)   Flash Player Desktop Runtime 15.0.0.189
2)   Flash Player Extended Support Release 13.0.0.250
3)   Flash Player para Linux 11.2.202.411
 Igualmente se ha publicado la versión 15.0.0.189 de Flash Player para el IE y Chrome.
Más información:
·         Security updates available for Adobe Flash Player http://helpx.adobe.com/security/products/flash-player/apsb14-22.html
Fuente: Hispasec