23 de septiembre de 2015

GOOGLE PLAY. Camuflan troyano en actualizaciones ilícitas de Candy Crush o Plants vs Zombies

Candy Crush, Plants vs Zombies o Super Hero Adventure son solo algunos de los juegos que tienen versiones ilícitas, a modo de actualizaciones, que pueden descargarse también desde la propia Google Play e instalar un troyano en el dispositivo móvil, como han alertado desde ESET.
   La compañía ha explicado en un comunicado que el troyano se instala de forma oculta en los dispositivos de los usuarios que descargan las 'apps' ilícitas sin darse cuenta desde la tienda de aplicaciones de Google.
   El 'malware', Android/TrojanDropper.Mapin, toma el control del dispositivo y lo convierte en un dispositivo zombie controlado por el delincuente. Para hacer más complicada su detección, el troyano incluye un temporizador que ejecuta el 'malware' de forma retardada, de manera que el jugador no se da cuenta en el momento de que su dispositivo está infectado, sino posteriormente.
   "Algunas variantes de Android/Mapin necesitan un mínimo de tres días para obtener todas las funcionalidades del troyano. Tal vez sea por esa razón por lo que este 'malware' sorteó los sistemas de prevención de amenazas de Google", ha asegurado el investigador de malware en ESET, Lukas Stefanko. "Es muy probable que esta amenaza siga ampliándose con nuevas funcionalidades en el futuro, ya que hemos comprobado que no se han desarrollado todas las capacidades que permite", ha añadido.
   El troyano ha sido capaz de introducirse tanto en Google Play como en otras tiendas alternativas de Android en diferentes ocasiones camuflándose como una actualización del repositorio de Google o como una aplicación denominada "Manage Settings" en los siguientes juegos: Plants vs zombies, Plants vs Zombies 2, Subway suffers, Traffic Racer, Temple Run 2 Zombies, Super Hero Adventure, Candy Crush, Jewel Crush, Racing Rivals, entre otros.
Fuente: Europa Press

EMC DOCUMENTUM. Detectadas varias vulnerabilidades

Publicadas múltiples vulnerabilidades en varios productos de la familia EMC Documentum. Estas vulnerabilidades incluyen elevación de privilegios o ejecución de código remota, catlogadas de Importancia: 5 - Crítica
Recursos afectados
  1. EMC Documentum D2 4.2
  2. EMC Documentum eRoom 7.4
  3. EMC Documentum Content Server 7.2 y anteriores
  4. EMC Documentum Content Server 6.7
  5. EMC Documentum Digital Asset Manager 6.5
  6. EMC Documentum Foundation Services 6.7
Recomendación
  • El fabricante ha publicado diversos parches que solucionan las correspondientes vulnerabilidades. Consulte la web del fabricante para más información.
Detalle e Impacto de las vulnerabilidades
Algunas de las vulnerabilidades mas significativas son:
  1. Elevación de privilegios a superusuario debido a verificaciones insuficentes de autorización para usuarios autenticados
  2. Ejecución de código remota por usuarios autenticados sin privilegios debido a verificaciones insuficientes sobre tipos de objetos a través de comandos RPC
  3. Ejecución privilegiada de código a través scripts personalizados por parte de usuarios autenticados debido a verificación incorrecta de autorizacion.
  4. Fallo en la aplicación Java Method Server (JMS) al verificar firmas digitales permite a un atacante ejecutar código bajo el contexto JMS en el servidor Content Server.
  5. Fallo en el control de tickets de login por la aplicación Java Method Server (JMS)permite el obtener tickets y privilegios de superusuario.
  6. En el modo de depuración RPC passwords de usuarios son escritos en el log del servidor en texto plano, lo que permite obtener credenciales de usuario accediendo a los ficheros de log.
Más información
Fuente: Incibe.es 

APACHE ACTIVEMQ. Ejecución remota de código

Se ha descubierto una vulnerabilidad de recorrido de directorios que permite ejecución de código remota en Apache ActiveMQ, catalogada de Importancia: 4 - Alta
Recursos afectados
  • Apache ActiveMQ 5.0.0 - 5.11.1
Detalle e Impacto de la vulnerabilidad
  • La aplicación web del servidor de archivos de ActiveMQ puede ser manipulada con peticiones maliciosas, lo que permite crear archivos en el servidor, cuyo contenido esta bajo el control del atacante.
Más información
Recomendación
  • Actualizar a Apache ActiveMQ 5.12.0 ó 5.11.2
Fuente: Incibe.es 

VULNERABILIDAD. Denegación de servicio en Cisco Integrated Management Controller y Cisco UCS Director

Se ha identificado una vulnerabilidad de sobreescritura de ficheros en Cisco Integrated Management Controller (IMC) Supervisor y Cisco UCS Director que puede ser aprovechada para provocar la denegación del servicio,  catalogada de Importancia: 4 - Alta
Recursos afectados
Los productos afectados son:
  1. Cisco IMC Supervisor anterior a versión 1.0.0.1
  2. Cisco UCS Director anterior a versión 5.2.0.1
Recomendación
A continuación se indican los pasos a seguir dependiendo del producto afectado.
Cisco IMC Supervisor:
Cisco UCS Director:
Detalle e Impacto de la vulnerabilidad
  • El fallo, explotable remotamente, permite a un usuario no autenticado sobreescribir ficheros arbitrarios del sistema, lo que puede provocar la inestabilidad del mismo o incluso la denegación del servicio.
Más información
Fuente: Incibe.es 

INSTAGRAM. Actualmente tiene más de 400 millones de usuarios registrados

 Instagram tiene actualmente más de 400 millones de usuarios, anunció el martes la compañía, 100 millones más que su rival Twitter Inc.
La aplicación para compartir fotografías ha crecido con rapidez en los últimos tres años, más que cualquiera de sus rivales en el sector de las redes sociales, incluidos Twitter y Snapchat.
La unidad de Facebook ha lanzado una serie de productos y características este año con el objetivo de lograr que los usuarios pasen más tiempo en su aplicación.
Más de un 75 por ciento de los usuarios de Instagram viven fuera de Estados Unidos, dijo la compañía en una publicación en su blog. Más de la mitad de los 100 millones de usuarios más recientes están en Europa y Asia, pero Brasil, Japón e Indonesia son los países que han aportado el mayor número de cuentas nuevas.
Facebook compró a Instagram en el 2012 por 1.000 millones de dólares y tardó en rentabilizar la aplicación. Recientemente amplió su plataforma para todos los anunciantes, en lugar de sólo unos pocos, y se espera que obtenga hasta 2.800 millones de dólares en ventas por publicidad en el 2017, dijo la firma de análisis eMarketer.
Facebook actualmente es dueña de varias de las aplicaciones más populares en el sector de las redes sociales, incluida WhatsApp, con 900 millones de usuarios, y su plataforma Messenger, con 700 millones de usuarios.
Fuente: Reuters

GROUPON. Despedirá a 1.100 empleados a nivel mundial

Groupon Inc, el operador del sitio web de ofertas diarias groupon.com, dijo que recortará unos 1.100 puestos de trabajo en todo el mundo como parte de una reestructuración fuera de América del Norte.
Groupon está cerrando sus operaciones en Uruguay, Marruecos, Panamá, Filipinas, Puerto Rico, Taiwán y Tailandia después de haberlo hecho en Grecia y Turquía, informó la compañía a través de una publicación separada en su blog.
La compañía, que contaba con unos 11.800 empleados a nivel global a fines de diciembre, dijo el martes que espera completar el recorte para septiembre del 2016.
Un dólar más fuerte ha dañado a las compañías con una gran presencia en mercados fuera de Estados Unidos.
Los mercados fuera de América del Norte representaron alrededor del 43 por ciento de los ingresos de Groupon en 2014.
La compañía dijo en abril que venderá una participación del 46 por ciento del negocio surcoreano como parte de sus intentos por sanear sus operaciones.
Groupon dijo que espera incurrir en cargos antes de impuestos de hasta 35 millones de dólares, incluidos entre 22 y 24 millones en el tercer trimestre vinculados al recorte laboral.
Groupon, otrora líder del mercado de cupones online, ha tenido problemas para atraer clientes e impulsar sus ventas debido a una dura competencia de compañías más pequeñas
Fuente: Reuters

MICROSOFT. Inicia el lanzamiento mundial del Office 2016

Microsoft Corp dijo que comenzó el martes el lanzamiento a nivel mundial del Office 2016, la última incorporación a su servicio de suscripción basado en la nube Office 365.
    Microsoft dijo que el Office 2016 trae nuevas versiones de las aplicaciones de escritorio para Windows que incluyen Word, PowerPoint, Excel, Outlook y Access y que permite a las personas colaborar y trabajar en equipo.
    "Estas últimas innovaciones dan otro gran paso hacia la transformación de Office desde un conjunto familiar de aplicaciones de productividad personal a un conjunto conectado de aplicaciones y servicios diseñados para el trabajo moderno", dijo el presidente ejecutivo del gigante tecnológico, Satya Nadella, en un comunicado.
    Microsoft lanzó en julio su muy esperado sistema operativo Windows 10 -diseñado para trabajar en computadoras portátiles, de escritorio y teléfonos inteligentes- como parte de los intentos de Nadella de ganar el terreno perdido por la irrupción de las tabletas y la telefonía móvil.
    La nueva aplicación del Office 2016 está disponible en 40 idiomas y requiere de Windows 7 o versiones posteriores. A partir del martes, los suscriptores del Office 365 pueden tener la opción de descargar la nueva aplicación Office 2016 como parte de su suscripción, dijo Microsoft.
Fuente: Reuters

SKYPE. Reporta que algunos usuarios tienen problemas para realizar llamadas

Skype, el servicio de telefonía y video a través de Internet de Microsoft, dijo el lunes que algunos de sus usuarios tenían dificultades para realizar llamadas debido a que sus ajustes los muestran a ellos y a sus contactos como si no estuvieran conectados, cuando sí lo están.
En una publicación actualizada en su blog, Skype reportó además que algunos mensajes a chats grupales no han podido ser entregados y que los usuarios que intenten conectarse podrían tener dificultades para acceder a sus cuentas.
Skype agregó que algunos podrían experimentar retrasos en ver los cambios que hicieron a sus cuentas, como detalles del perfil o estado del crédito.
Los usuarios podrían enfrentar además dificultades para cargar páginas de Internet en la Skype Community, dijo la firma.
En una publicación inicial, Skype había dicho que sus servicios de mensajería instantánea y Skype a través de Internet no tenían problemas técnicos.
Fuente: Reuters

APPLE. Pretende tener automóvil eléctrico en 2019

Apple Inc dijo que la construcción de un automóvil eléctrico es un proyecto obligado y estableció como objetivo de fecha de entrega de los primeras vehículos el 2019, informó el lunes el diario Wall Street Journal.
El proyecto lleva el nombre de "Titán" y sus líderes obtuvieron permiso para triplicar el equipo de 600 personas, publicó el WSJ citando a fuentes familiarizadas con el tema. (on.wsj.com/1NPb7Xr)
Para Apple una "fecha de entrega" no quiere decir necesariamente la fecha en que los clientes recibirán un nuevo producto. Puede ser también el momento en que los ingenieros finalizan las principales características del artículo, agregó el diario.
Apple pasó más de un año investigando la viabilidad de fabricar un automóvil con su marca, proceso que incluyó reuniones con dos grupos de funcionarios del Gobierno en California, según el periódico.
Fuentes dijeron a Reuters en agosto que Apple estaba desarrollando un automóvil y estudiando tecnologías de conducción inteligente, pero no estaba claro si el fabricante de los iPhone está diseñando un vehículo que no necesitara conductor.
Apple no estaba disponible de inmediato para realizar comentarios.
La compañía con sede en Cupertino (California) no planea fabricar su primer automóvil eléctrico totalmente autónomo, dijo el WSJ.
Las acciones de Apple, que en el último tiempo contrató varios expertos del sector automotriz con el fin de constituir un equipo especializado en el tema, subieron un 1,55 por ciento a 115,21 dólares en el Nasdaq.
Fuente: Reuters

APPLE. Tienda de aplicaciones sufre primer ataque a gran escala

Apple dijo el domingo que está limpiando su App Store para eliminar programas maliciosos para iPhones y iPads, en el primer ataque a gran escala a esa popular tienda de aplicaciones.
La empresa reveló sus esfuerzos después de que varias firmas de seguridad cibernética reportaron el hallazgo de un programa llamado XcodeGhost que se infiltró en cientos de aplicaciones legítimas.
Es el primer caso reportado de programas para hacer software falsificado abriéndose paso en el estricto proceso de revisión de aplicaciones de Apple.
Antes de este ataque, se había encontrado sólo cinco aplicaciones maliciosas en la App Store, según la firma de seguridad informática Palo Alto Networks Inc.
Los piratas informáticos infiltraron el código malicioso al convencer a desarrolladores de software legítimo de usar una versión falsificada del software de Apple para la creación de aplicaciones para iOS y Mac, que es conocido como Xcode, dijo la firma.
"Hemos eliminado las aplicaciones de la App Store que sabemos se han creado con este software falsificado", dijo la portavoz de Apple, Christine Monaghan, en un correo electrónico.
"Estamos trabajando con los desarrolladores para asegurar de que están utilizando la versión correcta de Xcode para reconstruir sus aplicaciones", agregó.
No dijo qué tendrían que hacer los usuarios de iPhones y iPads para determinar si sus dispositivos se infectaron.
El director de Amenazas de Palo Alto Networks, Ryan Olson, dijo que el malware tenía una funcionalidad limitada y su firma no tenía ejemplos de robo de datos u otros daños como resultado del ataque.
Fuente: Reuters

APPLE. Promete donaciones para aliviar crisis migratoria en Europa

Apple está intensificando la ayuda a los miles de migrantes que huye a Europa desde países devastados por la guerra, dijo el presidente ejecutivo de la compañía, Tim Cook, a los empleados en un mensaje interno difundido el viernes.
Cook escribió en un mensaje en la intranet de la empresa diciendo que Apple hará una "donación sustancial" a los organismos de ayuda a los migrantes y donará el doble de las donaciones realizadas por los empleados.
La compañía con sede en Cupertino, California, también está ofreciendo a los clientes la opción de donar a la Cruz Roja a través de sus tiendas App Store y iTunes Store.
"Apple está dedicada a promover los derechos humanos en todo el mundo", escribió Cook en el mensaje al que tuvo acceso Reuters. "Esperamos que las medidas que estamos realizando ayuden a hacer menos desesperada la situación para algunos y alivie las dificultades por las que muchos están pasando".
A medida que Europa se enfrenta con la peor crisis migratoria desde la Segunda Guerra Mundial, otros gigantes de Silicon Valley también se han comprometido a ayudar.
A principios de esta semana, Google lanzó una campaña para ayudar a los refugiados con la que recaudó 10 millones de dólares. (here)
La crisis en Europa ha empeorado con cientos de miles civiles tratando de escapar de cuatro años de guerra civil en Siria, además de los que huyen de los conflictos en Afganistán, Yemen, Irak y Libia.
Fuente: Reuters

VULNERABILIDAD. Descubierta en SIEMENS SIMATIC S7-1200

Ralf Spenneberg, Hendrik Schwartke y Maik Brüggeman de OpenSource Training han reportado una vulnerabilidad que afecta a productos de la familia SIMATIC S7-1200, que podría permitir a un atacante remoto realizar ataques de cross-site request forgery (CSRF).
 Los productos de la familia SIMATIC S7-1200 se han diseñado específicamente para aplicaciones de control en entornos industriales, admitiendo configuraciones modulares y ahorrando en costes de mantenimiento. Cuenta con un diseño escalable y flexible, ideal para comunicaciones industriales.
Detalle de la vulnerabilidad
  • La vulnerabilidad con CVE-2015-5698, por la que un atacante remoto podría valerse del servidor web integrado (Port 80/TCP y Port 443/TCP) para realizar determinadas acciones con los mismos permisos que el usuario que ha sido víctima del ataque. Generalmente, CSRF es una técnica que permite a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web.
Recursos afectados
  •  Afectan a todas las versiones de la familia SIMATIC S7-1200.
Recomendandación
 Se recomienda actualizar a versión V4.1.3.
 El fabricante también recomienda seguir las siguientes acciones de seguridad:
Más información:
Fuente: Hispasec.com

GOOGLE. Publica Chrome 45 y corrige 29 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 45. Se publica la versión 45.0.2454.85 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 29 nuevas vulnerabilidades.
Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 29 nuevas vulnerabilidades, solo se facilita información de 10 de ellas (seis de gravedad alta y cuatro clasificados como media).
Detalle de la actualización
  • Se corrigen vulnerabilidades por violación de la política de mismo origen en DOM y ServiceWorker. Falsificación de caracteres en omnibox, un error de permisos en WebRequest y un error de validación de URLs en extensiones. También múltiples problemas por uso de memoria después de liberarla en Skia, Printing y Blink. Por último una fuga de información en Blink. Los CVE asignados van del CVE-2015-1291 al CVE-2015-1300.
  • También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1301). Así como múltiples vulnerabilidades en V8 en la rama 4.5 (actualmente 4.5.103.29).
  • Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de casi 40.500 dólares en recompensas a los descubridores de los problemas.
Recomendación
  • Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec.com

OS X . Nueva vulnerabilidad permite el robo de contraseñas

Los investigadores Antoine Vincent Jebara y Raja Rahbani, de la compañía de gestión de identidad MyKi, han descubierto una vulnerabilidad en el sistema de administración de contraseñas (keychain o llavero) que podría permitir a un atacante obtener las credenciales almacenadas.
 Lo que resulta preocupante de esta vulnerabilidad es que prácticamente no requiere ninguna interacción por parte de la víctima y resulta muy sencillo de llevar a cabo. Se emplean pulsaciones simuladas del ratón para pulsar botones ocultos y conseguir permisos para acceder al keychain. Apple fue informado del problema, pero todavía se espera la publicación de una corrección. En esta ocasión el ataque se ha bautizado como Brokenchain.
 Los investigadores descubrieron el problema mientras trabajaban con el administrador de contraseñas para su propio producto. Detectaron que si enviaban determinados comandos de terminal, el llavero desvelaba las contraseñas sin mayor interacción del usuario.
 A través de los comandos se crea una situación en la que, en lugar de pedir un usuario la contraseña de Keychain, le pedirá que pulse un botón para permitir. Los dos investigadores desarrollaron una prueba de concepto que lanza los comandos y simula una pulsación del ratón en el lugar donde aparece el botón permitir. De esta forma se puede conseguir la contraseña del usuario y enviarla al atacante a través de un SMS o cualquier otra vía.
 Todo el proceso lleva menos de un segundo y es lo suficientemente sigiloso para pasar desapercibido por la mayoría de antivirus, ya que su comportamiento no es el habitual de cualquier otro malware.
 Según los investigadores el problema también podría llegar a afectar a las contraseñas de los dispositivos iOS que tenga el usuario, en el caso de que se haya optado por usar el llavero de iCloud, ya que entonces todas las contraseñas guardadas el el dispositivo iOS también podrán ser extraídas por el exploit. Aunque el exploit solo puede ejecutarse en sistemas Mac OS X.
Más información:
Fuente: Hispasec.com

Vulnerabilidades en BIND 9

ISC ha publicado actualizaciones del servidor DNS BIND, destinadas a solucionar dos vulnerabilidades que podrían causar denegaciones de servicio a través de consultas especialmente manipuladas.
 El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
 El primer fallo, con CVE-2015-5722, reside en el tratamiento incorrecto de llaves DNSSEC mal construidas que puede provocar una caída de debido a un fallo en "buffer.c". Un atacante remoto podría provocar esta condición mediante consultas especialmente manipuladas que requieran una respuesta desde una zona remota que deliberadamente contenga una llave maliciosa. Afecta a las versiones BIND 9.0.0 a 9.8.8, BIND 9.9.0 a 9.9.7-P2 y BIND 9.10.0 a 9.10.2-P3
Por otra parte, con CVE-2015-5986, el tratamiento inadecuado de respuestas específicamente manipuladas puede provocar un fallo de comprobación de límites en "openpgpkey_61.c" que causará la caída de named. Se ven afectadas las versiones BIND 9.9.7 a 9.9.7-P2 y 9.10.2 a 9.10.2-P3.
Recomendaciones
Más información:
Fuente: Hispasec.com

BIND 9 . Nuevas versiones

ISC ha publicado nuevas versiones del servidor DNS BIND 9.9.8 y 9.10.3, destinadas a solucionar cuatro vulnerabilidades que podrían causar denegaciones de servicio a través de consultas especialmente manipuladas.
 El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
 El primer fallo, con CVE-2015-5722, reside en el tratamiento incorrecto de llaves DNSSEC mal construidas que puede provocar una caída de debido a un fallo en "buffer.c". Un atacante remoto podría provocar esta condición mediante consultas especialmente manipuladas que requieran una respuesta desde una zona remota que deliberadamente contenga una llave maliciosa.
 Por otra parte, con CVE-2015-5986, el tratamiento inadecuado de respuestas específicamente manipuladas puede provocar un fallo de comprobación de límites en "openpgpkey_61.c" que causará la caída de named.
 También se soluciona una vulnerabilidad, con CVE-2015-5477, en el tratamiento incorrecto de consultas que podría provocar un fallo en message.c. Por último, en servidores configurados para realizar validación DNSSEC, se podría provocar un fallo en respuestas desde un servidor específicamente configurado (CVE-2015-4620).
 Estas versiones también incluyen nuevas características, cambios en funcionalidades y múltiples correcciones de fallos no relacionados directamente con la seguridad.
Recomendación
  • Se recomienda actualizar a las versiones más recientes BIND 9.9.8 y BIND 9.10.3 disponibles en  http://www.isc.org/downloads
  • Hay que señalar que la rama 9.9 de BIND ya se encuentra bajo soporte extendido que finalizará en junio del año que viene.
Más información:
Fuente: Hispasec.com

MICROSOFT. Lanza 12 boletines de seguridad

Microsoft ha publicado 12 boletines de seguridad (del MS15-094 al MS15-105) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico" mientras que los siete restantes son "importantes". En total se han solucionado 56 vulnerabilidades.
  1. MS15-094: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 17 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente creada (CVE-2015-2483 al CVE-2015-2487, CVE-2015-2489 al CVE-2015-2494, CVE-2015-2498 al CVE-2015-2501, CVE-2015-2541 y CVE-2015-2542).
  2. MS15-095: Boletín "crítico" que incluye la igualmente habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan cuatro vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si un usuario visita una página web especialmente creada con Microsoft Edge. (CVE-2015-2485, CVE-2015-2486, CVE-2015-2494 y CVE-2015-2542).
  3. MS15-096: Boletín "importante" que resuelve una vulnerabilidad de denegación de servicio en Directorio Activo (CVE-2015-2535). Afecta a Windows Server 2008 y 2012.
  4. MS15-097: Boletín considerado "crítico" que resuelve 11 vulnerabilidades en el componente gráfico de Microsoft. La más grave podría permitir la ejecución de código remoto si el usuario abre un documento o una página web específicamente creada que contenga fuentes OpenType incrustadas (CVE-2015-2506 al CVE-2015-2508, CVE-2015-2510 al CVE-2015-2512, CVE-2015-2517, CVE-2015-2518, CVE-2015-2527, CVE-2015-2529 y CVE-2015-2546).
  5. MS15-098: Boletín considerado "crítico" que resuelve cinco vulnerabilidades de ejecución remota de código en Windows Journal (con CVE-2015-2513, CVE-2015-2514, CVE-2015-2516, CVE-2015-2519 y CVE-2015-2530).
  6. MS15-099: Destinado a corregir cinco vulnerabilidades "críticas" que podrían permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office 2007, 2010 y 2013 (CVE-2015-2520 al CVE-2015-2523 y CVE-2015-2545).
  7. MS15-100: Boletín de carácter "importante" destinado a corregir una vulnerabilidad de ejecución remota de código si Windows Media Center abre un archivo de enlace Media Center (.mcl) que referencie código malicioso (CVE-2015-2509).
  8. MS15-101: Boletín considerado "importante" que resuelve dos vulnerabilidades, una de elevación de privilegios y otra de denegación de servicio, en Microsoft .NET Framework (CVE-2015-2504 y CVE-2015-2526).
  9. MS15-102: Destinado a corregir tres vulnerabilidades "importantes" en el administrador de tareas de Windows (CVE-2015-2524, CVE-2015-2525 y CVE-2015-2528). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  10. MS15-103: Boletín de carácter "importante" destinado a corregir una vulnerabilidad que podría permitir la obtención de información sensible y dos vulnerabilidades de falsificación en Microsoft Exchange Server 2013 (CVE-2015-2505, CVE-2015-2543 y CVE-2015-2544).
  11. MS15-104: Boletín considerado "importante" que soluciona tres vulnerabilidades (la más grave de elevación de privilegios) en Skype for Business Server y Microsoft Lync Server (CVE-2015-2531, CVE-2015-2532 y CVE-2015-2536).
  12. MS15-105: Destinado a corregir una vulnerabilidad "importante" que podría permitir evitar funcionalidades de seguridad en Windows Hyper-V (CVE-2015-2534).
Recomendación
  •  Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información
Fuente: Hispasec.com

WHATSAPP. Corrige grave vulnerabilidad en su cliente web

WhatsApp ha actualizado el cliente web de su popular aplicación de mensajería debido a una grave vulnerabilidad que podría permitir a atacantes remotos la instalación de cualquier tipo de malware o archivo malicioso.
El problema, descubierto porCheck Point, podría permitir a un atacante ejecutar código arbitrario en el sistema de la víctima. Para aprovechar la vulnerabilidad, el atacante tan solo debe enviar, a través del cliente web de WhatsApp, una vCard aparentemente inocente pero con el código malicioso incluido. Una vez que el usuario abre el archivo, se revela como un ejecutable que puede permitir el compromiso total del sistema. Lo único que necesita conocer el atacante es el número de teléfono asociado a la cuenta.
 El cliente web de WhatsApp permite usar WhatsApp en un ordenador, replicando el contenido de la conversación establecida en el smartphone en el navegador. Se estima que más de 200 millones de usuarios hacen uso de esta aplicación.
 El 21 de agosto de 2015 Check Point comunicó el problema a WhatsApp, que comprobó y reconoció la vulnerabilidad. Pocos días después (el 27 de agosto) implementó la solución en su cliente web (en todas las versiones superiores a 0.1.4481).
 WhatsApp Web permite visualizar cualquier tipo de archivo multimedia que pueda enviarse a través de la aplicación móvil. Esto incluye imágenes, vídeos, archivos de audio o tarjetas vCard.
 La vulnerabilidad reside en un tratamiento inadecuado de las tarjetas vCard, utilizadas habitualmente para compartir la información de un contacto. En cualquier caso la tarjeta recibida parece totalmente normal, como cualquier otra tarjeta de contacto, sin embargo una vez que el usuario descargue el archivo el código malicioso se ejecutará en el sistema de la víctima.
 El informe de Check Point, altamente instructivo, primero muestra como interceptando y manipulando peticiones XMPP (Extensible Messaging and Presence Protocol) a los servidores WhatsApp, era posible controlar la extensión de la tarjeta de contacto. En primer lugar consiguió cambiar la extensión a .bat. Para ejecutar código malicioso el atacante simplemente debía inyectar un comando en el atributo "nombre" de la vCard, separado por el carácter "&". Al abrirlo, Windows ejecutaba todas las líneas del archivo, incluyendo los comandos inyectados.
 Pero aun consiguieron llevar su investigación más lejos, examinaron los protocolos empleados por WhatsApp y comprobaron que usa una versión adaptada del estándar XMPP. Tal y como describen se sorprendieron al descubrir que WhatsApp fallaba al realizar cualquier tipo de validación sobre el formato de la vCard o los contenidos del archivo. Lo que les permitió incluir un archivo .exe en la petición.
"We were surprised to find that WhatsApp fails to perform any validation on the vCard format or the contents of the file, and indeed when we crafted an exe file into this request, the WhatsApp web client happily let us download the PE file in all its glory."
Más información:
Fuente: Hispasec.com

ADOBE. Actualización de seguridad para Shockwave Player

Adobe ha publicado un nuevo boletín de seguridad (APSB15-22) para  solucionar dos vulnerabilidades críticas en Shockwave Player.
 Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash. En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran.
 Las dos vulnerabilidades (con CVE-2015-6680 y CVE-2015-6681) están relacionadas con problemas de corrupción de memoria que podrían permitir a un atacante la ejecución remota de código arbitrario. El problema afecta las versiones de Adobe Shockwave Player 12.1.9.160 y anteriores para plataformas Windows y Macintosh.
Recomendación
Más información:
Fuente: Hispasec.com

LOCKERPIN. Ransomware para Android que cambia el PIN del dispositivo

Los investigadores de ESET han descubierto un nuevo malware para Android que cambia el PIN del dispositivo, lo bloquea y pide rescate a cambio de su recuperación.
 Todos recordamos el famoso "Virus de la policía", claro ejemplo de ransomware, un tipo de malware que secuestra recursos de un sistema informático y pide un rescate por su liberación. En esta ocasión, Lockerpin actúa de una forma mucho más radical para conseguir el control del dispositivo e impedir que el usuario recupere su control.
 Lockerpin modifica el PIN de acceso al dispositivo, lo que impedirá a los usuarios retomar el acceso a sus dispositivos, a no ser que esté rooteado o dispongan de de algún otro método de gestión de la seguridad instalado o se dispone de una solución MDM capaz de reiniciar el PIN establecido. En caso contrario será necesario efectuar un reinicio a los valores de fábrica.
 Según confirma ESET en todos los casos que han analizado el malware se camufla como una aplicación pornográfica, con un nombre tan sugerente y recurrente como "Porn Droid". Lo cual no quiere decir que pueda aparecer bajo cualquier otro disfraz.
 Generalmente al instalar una aplicación de este tipo solía pedir permisos para convertirse en administrador del sistema y bloquear la pantalla de nuestro dispositivo. Nuevamente reseñar la importancia de comprobar los permisos que solicita una aplicación antes de instalarla. Pero en este caso el malware trata de conseguir los permisos de administrador en el dispositivo de una forma mucho más sigilosa. Superpone una ventana sobre la de instalación, para simular la instalación de una actualización. De forma que cuando el usuario pulsa continuar sobre unas "inocentes” ventanas está activando sin saberlo los privilegios del administrador del dispositivo en la ventana que no se ve.
 Tras acabar de pulsar los botones el malware queda instalado con todo el control sobre el dispositivo. Al disponer de permisos de administración puede bloquear y cambiar el PIN de la pantalla de bloqueo.
 Al igual que ocurre en todos los malware de este tipo, se presenta al usuario una pantalla con un aviso (en este caso del FBI) para que pague un rescate de 500 dólares por, supuestamente, visualizar contenido pornográfico ilegal en su dispositivo. Señalar que el PIN se genera de forma aleatoria y no se envía al atacante, por lo que ni siquiera el atacante podría recuperar el dispositivo.
 Según señala ESET, la aplicación maliciosa no se encuentra disponible en Google Play, lo que limita bastante el alcance de esta amenaza. Solo puede descargarse desde sitios no oficiales. Una vez más se recomienda evitar sitios de descarga alternativos y emplear únicamente los oficiales.
Más información:
Fuente: Hispasec.com

BUGZILLA. Corregida vulnerabilidad

Se han publicado nuevas versiones de Bugzilla para solucionar una nueva vulnerabilidad que podría permitir a atacantes remotos conseguir crear cuentas de usuario sin autorización.
 Bugzilla es una herramienta de seguimiento de errores de código abierto, basada en web, y muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallos y vulnerabilidades, también permite determinar la prioridad y severidad de los mismos, agregar comentarios y propuestas de solución, designar responsables para cada uno de ellos, enviar mensajes de correo para informar de un error, etc.
 El problema (CVE-2015-4499) reside en que los nombres de usuario (habitualmente una dirección de correo) de más de 127 caracteres pueden corromperse al grabarse. Esto podría permitir a un atacante crear una cuenta con una cuenta de correo diferente a la solicitada originalmente. De esta forma, la cuenta de usuario puede añadirse de forma automática a grupos para los que el usuario no esté autorizado, basándose en la configuración de expresiones regulares del grupo.
Recomendación
Más información:
Fuente: Hispasec.com

PHP. Descubiertas múltiples vulnerabilidades

Recientemente el equipo de desarrollo de PHP hapublicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.
Las actualización incluye la corrección de múltiples problemas y vulnerabilidades, entre las que se incluyen vulnerabilidades de uso después de liberar en unserialize() en el núcleo de PHP (CVE-2015-6834 y 2015-6835), en GMP y en SPL (CVE-2015-6834). Problemas de referencia a puntero nulo en SPL y XSLT (CVE-2015-6837, CVE-2015-6838), múltiples vulnerabilidades relacionadas con funciones PCRE, una confusión de tipos en SOAP y escalada de directorios en el servidor CLI y en ZIP cuando se crean directorios al extraer archivos.
Recomendación
Más información:
Fuente: Hispasec.com

WORDPRESS. Actualización de seguridad

Se ha publicado la versión 4.3.1 de WordPress que soluciona dos nuevas vulnerabilidades de cross-site scripting y una de escalada de privilegios.
 Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
 Esta actualización incluye la corrección de dos vulnerabilidades de cross-site scripting; una al procesar etiquetas shortcode (CVE-2015-5714) y otra en la tabla de listado de usuarios. Por otra parte, en determinados casos, usuarios sin permisos adecuados podrían realizar publicaciones privadas y hacerlas pegajosas ("sticky") (CVE-2015-5715).
 Además está versión contiene la corrección de otros 26 fallos no relacionados directamente con problemas de seguridad.
Recomendación
  • Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.3.1 disponible desde https://wordpress.org/download/
  • bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.3.1.
Más información:
Fuente: Hispasec.com

APPLE. Publica iOS 9 y actualizaciones para OS X Server, iTunes y xCode

Apple acaba de publicar iOS 9 una nueva versión del sistema operativo para sus dispositivos móviles (iPhone, iPad, iPod… ) que además de grandes novedades incluye mejoras y correcciones de múltiples vulnerabilidades. Además ha publicado las versiones actualizadas OS X Server 5.0.3, iTunes 12.3 y Xcode 7.0.
 Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.
 iOS 9 es la nueva versión del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir múltiples novedades y mejoras (también en temas relacionados con la seguridad) además soluciona 101 nuevas vulnerabilidades. Los problemas corregidos incluyen al propio kernel, Mail, Safari, WebKit, etc… Una parte importante de los problemas podrían permitir a un atacante lograr ejecutar código arbitrario en los sistemas afectados.
Entre las novedades incluidas en iOS 9 relacionadas con seguridad cabe destacar la inclusión de una nueva interfaz para la autenticación de doble factor en iCloud, nuevas posibilidades para introducir un código de desbloqueo más largo o que Safari en iOS 9 dice adiós definitivamente a SSLv3.
 También hay que destacar la actualización de OS X Server 5.0.3 que soluciona 20 nuevas vulnerabilidades en Apache, BIND, PostgreSQL y WikiServer. Apache se ha actualizado a la versión 2.4.16, BIND a la versión 9.9.7 y PostgreSQL a 9.3.9. Cabe señalar que coincidiendo con la publicación de esta nueva versión de OS X Server, se ha publicado la versión 9.9.8 de BIND, que corrige 4 nuevas vulnerabilidades. En este caso, no se puede culpar a Apple de no incluir esta nueva versión, ya que se han publicado ambas el mismo día. Si bien ISC por su parte recomienda el uso de la rama 9.10 ya que la rama 9.9 se encuentra ya bajo soporte extendido.
 Por otra parte se ha publicado la versión 12.3 de iTunes que soluciona 66 vulnerabilidades, la mayor parte de ellas podrían permitir la ejecución de código arbitrario.
 Por último, Apple también ha publicado Xcode 7.0, el entorno de desarrollo de Apple, que corrige 10 vulnerabilidades en DevTools, IDE Xcode Server y Subversion. Apple confirma la actualización de svn a la versión 1.7.20. Aunque la última versión oficial de la rama 1.7 distribuida por Apache es la 1.7.22.
Más información:
Fuente: Hispasec.com