2 de febrero de 2016

MARVIN MINSKY. Fallece el padre de la Inteligencia Artificial

Marvin Minsky estaba convencido de que el cerebro humano no es más que «una máquina hecha de carne». Por eso, no tenía ninguna duda de que, antes o después, un ordenador sería capaz de replicar todos los mecanismos de nuestro cableado cerebral. «¿Qué somos las personas sino máquinas muy evolucionadas?», se preguntaba hace dos años en Madrid, cuando recibió el Premio Fronteras del Conocimiento de la Fundación BBVA, uno de los muchos prestigiosos galardones que recibió a lo largo de su carrera. El pasado domingo, la maquinaria corporal de este científico visionario, considerado el padre de la Inteligencia Artificial, se apagó para siempre a los 88 años a consecuencia de un derrame cerebral.
Minsky escribió "La sociedad de la mente",  libro que publicó en 1985 y que se sigue considerando una obra de referencia para comprender el funcionamiento del cerebro y la posibilidad de desarrollar máquinas pensantes. Según este gran pionero del Massachussetts Institute of Technology (MIT), la clave para lograr ordenadores que superasen en inteligencia al ser humano era descifrar nuestro cerebro para tratar de imitar los procesos neuronales de ese extraordinario «sentido común» que nos permite adquirir conocimiento basado en nuestra experiencia y realizar todas las tareas ordinarias de nuestra vida cotidiana, evitando que nos tiremos por la ventana o nos pinchemos el ojo con el tenedor.
Nacido en Nueva York en 1927, desde niño a Minsky siempre le fascinaron la ciencia y la electrónica. Sus padres -el cirujano Henry Minsky, jefe de Oftalmología del Hospital Monte Sinai, y la activista social Fannie Reiser- le educaron en un colegio privado de élite, el Ethical Culture School, donde también se formó Robert Oppenheimer, el creador de la primera bomba atómica. Tras servir en la Marina durante la II Guerra Mundial, se licenció en Matemáticas por la Universidad de Harvard en 1946. Posteriormente obtuvo su doctorado en Princeton, donde decía que se inspiró en la «gente brillante» que le rodeaba, hasta ingresar como profesor en el MIT de Boston en 1958. Allí conoció a su colega John McCarthy, con el que fundó el Laboratorio de Inteligencia Artificial, un centro de vanguardia que sentó las bases de este nuevo y revolucionario campo de investigación.
Minsky siempre tuvo claro que no existía ninguna diferencia fundamental entre los humanos y las máquinas. Por eso, desde su punto de vista la fabricación de un ordenador que realizara las mismas funciones que nuestro cerebro sólo era cuestión de tiempo y recursos. Ésta es precisamente la idea que le transmitió a Stanley Kubrick, cuando el cineasta recurrió a él para que le ayudara a diseñar el omnipotente ordenador HAL 9000 que aparece en 2001: una Odisea del Espacio, la mítica película de ciencia ficción estrenada en 1968.
Los trabajos pioneros que impulsó su Laboratorio de Inteligencia Artificial del MIT pusieron las semillas de muchos aspectos de los sistemas informáticos, el software y la robótica que disfrutamos en el siglo XXI. De hecho, fue el propio Minsky quien creó el primer prototipo de una máquina capaz de aprender de manera autónoma (Snarc), diseñó las primeras manos mecánicas con sensores táctiles, participó en la invención del primer cursor para ejecutar funciones en una pantalla de ordenador, y formó parte del equipo que diseñó ARPAnet, el primer embrión de Internet. En 1985, fue además unos de los fundadores del Media Lab del MIT, que hoy sigue siendo uno de los centros de innovación tecnológica más importantes del mundo.
«Marvin Minsky contribuyó a crear la Inteligencia Artificial tal y como entendemos hoy este concepto. Los desafíos que él planteó siguen impulsando nuestra búsqueda de máquinas inteligentes e inspirando a los investigadores a traspasar nuevas fronteras en las ciencias de la computación», decía ayer Daniela Rus, actual directora del Laboratorio de Inteligencia Artificial el MIT.
Sin embargo, a pesar de todos sus éxitos, Minsky se quejaba de que la Inteligencia Artificial no hubiera logrado llegar todo lo lejos que le hubiera gustado, por falta de dinero. Cuando hace dos años en Madrid, se le preguntó cuándo llegaría el día en que existieran máquinas realmente capaces de pensar como un ser humano en una jornada de debate organizada por la Fundación BBVA, se lamentó de que «ahora mismo no hay ni recursos ni investigadores suficientes, porque la financiación se enfoca más en aplicaciones de corto plazo que en ciencia básica».
Pero en todo caso, pese a que Minsky admitía que la ciencia aún estaba muy lejos de poder fabricar ordenadores inteligentes como el rebelde HAL que él mismo había ayudado a concebir, siempre insistió en que la idea no era descabellada. «Hoy por hoy», aseguró al recibir el Premio Fronteras, «sólo hay una cosa cierta: todo el que diga que hay diferencias básicas entre la mente de los hombres y de las máquinas del futuro se equivoca. Si no se ha logrado ya, esto únicamente se debe a la falta de medios económicos y humanos».
Fuente: El Mundo.es

SANDERS. El candidato demócrata no se fía de Microsoft

Tal como nos adelantan en The Verge, Bernie Sanders y su equipo están preocupados por la participación de Microsoft en el Caucus de Iowa, el primer gran evento electoral del proceso de nominación para presidente de los Estados Unidos y que tiende a marcar el tono de las primarias.
Los de Redmond han creado una plataforma basada en su nube con diferentes aplicaciones para el Partido Democrata y el Republicano, que permiten gestionar el caucus y recoger los votos de los diferentes distritos del estado.
El Jefe de Campaña de Sanders -un outsider en la política estadounidense, que le está poniendo las cosas difíciles a H. Clinton en su lucha por la nominación demócrata– sospecha de las intenciones de Microsoft después de que se descubriera donaciones de varios cientos de miles de dólares, por parte de sus empleados a Hillary.
Tanto el Partido Demócrata como Microsoft defienden la fiabilidad de su aplicación, que ha estado en desarrollo durante un más de un año, pero eso no convence a Sanders. que ha basado parte de su campaña en denunciar el poder de las corporaciones y la influencia que tiene una determinada élite de multimillonarios a la hora de pervertir la democracia, por lo que han decidido desarrollar su propio sistema, para controlar los resultados de las votaciones y confrontarlos con los que proporcione Microsoft.
Fuente: La Mirada del replicante

USA y UK. Utilizaron software libre para interceptar drones israelíes

Una operación de alto secreto con nombre en clave “anarchist” desarrollada por los servicios secretos británicos (GCHQ) en colaboración con los estadounidenses (NSA), habría monitorizado en secreto drones militares israelitas, con el fin de supervisar los movimientos de su aliado en Oriente Próximo –especialmente en la franja de Gaza–, incluida cualquier posible acción contra Iran y de paso evaluar la tecnología de Israel en esta materia.
La operación de vigilancia, tal como nos comentan en The Intercept a partir de unos documentados revelados por Edward Snowden, se habría dirigido desde los cuarteles generales del GCHQ en Cheltenham y se habría llevado a cabo desde una base aérea británica en la isla de Chipre.
Lo curioso del asunto, es que esa interceptación de comunicaciones entre los drones y los satélites que reciben sus comunicaciones, no se habría producido con complicados y secretos programas, sino con herramientas open source disponibles para el gran público.
Se trataría de ImageMagick un conjunto de utilidades que nos sirven para el procesamiento de imágenes al permitir crear, convertir, editar y visualizar imágenes en más de un centenar de formatos. y AntiSky una veterana aplicación (1994) creada por un desarrollador alemán llamado Markus Kuhn, que mediante técnicas de fuerza bruta permite reconstruir el contenido codificado VideoCrypt, un protocolo utilizado para cifrar imágenes vía satélite.
No se especifica si el descifrado de imágenes se llegó a hacer en tiempo real, algo que requeriría una gran capacidad de cálculo, según se señala en los documentos.
Vídeos, fotos y datos de GPS de drones habrían sido interceptados desde el 2008, aunque la técnica ya se habría puesto en funcionamiento en este tipo de señales codificadas diez años antes, y utilizada contra otros agentes como Siria, Irán y Hezbola.
Más información
Fuente: Ars Technica

REDES INFORMÁTICAS. Gigamon presenta panorama de seguridad en las mismas

Gigamon Inc. (NYSE: GIMO), proveedor de soluciones de visibilidad de tráfico de red, dio a conocer el 18 de enero datos comprobados sobre la situación de la seguridad en las redes informáticas, las condiciones actuales a las que estas enfrentan los retos, así como los diversos escenarios constantemente en cambio, que aprovechan actores maliciosos para infiltrarse y sustraer información.
La empresa recalca que las amenazas informáticas no sólo han crecido año tras año de manera sostenida, sino también han variado su diseño para adaptarse a las diferentes configuraciones de la infraestructura de red. En tal sentido, indica que sólo en 2015 se incrementó en 38% el número de incidentes de seguridad detectados, en comparación con lo registrado en 2014. Gigamon considera alarmante la cantidad y especialización de los ataques. En 2015, el robo de propiedad intelectual se incrementó en 56%. “Actualmente, toma a una organización aproximadamente 86 días, detectar una violación a su red”, observa Gigamon.
De acuerdo con datos publicados por la consultora Gartner, el gasto global en seguridad TI superará los 101 mil millones de dólares para 2018. En este mismo sentido, la entidad indica que para el año 2020, el mercado negro de sensores apócrifos e información en video para facilitar la actividad criminal rebasará los 5 mil millones de dólares.
En 2015, 317 millones de nuevas piezas de malware fueron creadas a nivel mundial. Esto representa un 26% más con respecto a 2014. En este sentido, 23% de los destinatarios de correo electrónico abre mensajes con Phishing y 11%, hace clic en los archivos adjuntos.
Gigamon, proveedor de soluciones de visibilidad de tráfico de red, concluye que una de las tendencias que más estará cobrando importancia será la de la visibilidad omnipresente; la integración y orquestación de las diferentes soluciones y aplicaciones de seguridad para incrementar la visibilidad de la red.
Fuente: Diarioti.com

NSA. El Director dice: “El cifrado es fundamental para el futuro”

"Estamos perdiendo el tiempo al discutir si el cifrado es bueno o malo. El cifrado es fundamental, por lo que cabe preguntarse como podemos manejar el tema de la mejor forma posible", declaró Michael S. Rogers, Director de la NSA.
Diversos países discuten actualmente la posibilidad de prohibir el cifrado de datos carente de puertas traseras instaladas de fábrica. En Estados Unidos, uno de los principales defensores de las puertas traseras gubernamentales, instaladas en hardware y software para civiles, ha sido el director del FBI, James Comey, quien entre otras cosas ha propuesto prohibir el cifrado end-to-end en teléfonos móviles.
La semana pasada, el estado federado de California comenzó a tramitar un proyecto de ley orientado a prohibir las ventas de smartphones que no puedan ser vulnerados por el propio fabricante a petición de las autoridades. Durante el Foro Económico Mundial, realizado la semana pasada en Davos, Suiza, la Secretaria de Justicia de Estados Unidos, Loretta Lynch, comentó que el gobierno de su país no pide al sector tecnológico la instalación de puertas traseras, sino asegurar a las autoridades judiciales las mismas posibilidades con que cuentan actualmente; es decir, requerir la entrega de información mediante órdenes judiciales.
Lo anterior presupone, indudablemente, que las empresas tecnológicas tengan la capacidad de descifrar la información generada por sus usuarios. Sin embargo, esto no siempre es posible, debido a que los fabricantes no tienen permanentemente acceso a las claves de cifrado utilizadas para cifrar dispositivos o servicios de comunicación.
Diversas grandes empresas TI, entre ellas Apple, se han opuesto a tales planteamientos gubernamentales. En esta oportunidad, su postura ha sido respaldada desde un sector en principio improbable: la Agencia Nacional de seguridad, NSA, en palabras de su director, Mike Rogers.
Durante un evento organizado por el Consejo Atlántico en Washington, D.C. la semana pasada Rogers declaró que, a su juicio, este debate carece de sentido. “El cifrado es fundamental para el futuro”, declaró el director de la NSA, a cuyo juicio es una pérdida de tiempo discutir en qué medida el cifrado es perjudicial y que, por lo tanto, debería ser eliminado. “Lo que cabe preguntarse es como podemos manejar el tema de la mejor forma posible, desde distintas perspectivas”, dijo el almirante.
Rogers puso de relieve que la organización que lidera no sólo tiene un cometido ofensivo, sino también defensivo, en el sentido que debe contribuir a proteger los intereses estadounidenses contra ataques cibernéticos y espionaje electrónico, entre otras cosas.
Protección de la privacidad
  • El director de la NSA apuntó que las preocupaciones sobre la privacidad y protección de datos nunca habían sido mayores, lo que se suma a las amenazas de actores como el denominado Estado islámico, que se producen de manera paralela a una cierta desconfianza del público frente a sus autoridades.
  • “En nuestros esfuerzos por conseguir lo anterior; es decir lograr un equilibrio que lo reúna todo, vemos que no se trata necesariamente de elegir lo uno o lo otro. Yo no argumento en el sentido que el único imperativo sea la seguridad, y que todo debe estar supeditado a ella. Tampoco digo que la protección de la privacidad es el único imperativo, y que todo debe estar supeditado a ella”, dijo Rogers en el encuentro. En lugar de ello, indicó que es necesario tener presente ambos elementos, y determinar cuál es el mejor procedimiento posible en el mundo actual, donde los grandes avances tecnológicos conllevan considerables ventajas, pero también una mayor vulnerabilidad: “Tenemos un período difícil frente a nosotros”, observó.
  • Cabe señalar que el almirante Mike Rogers no es el único que se ha manifestado reticente a prohibir el cifrado invulnerable. Michael Hayden, quien fuera director de la NSA en el período 2005 a 2006, y director de la CIA entre 2006 y 2009, manifestó recientemente un apoyo irrestricto frente al cifrado. Citado por la publicación The Intercept, Hayden habría dicho en el marco de una conferencia de seguridad realizada en Florida, Estados Unidos: “estoy en desacuerdo con [el director del FBI] Jim Corney. Considero que el cifrado end-to-end es beneficioso para Estados Unidos”. Agregó: “estoy seguro que el cifrado constituye un reto especial para el FBI. Pero, a fin de cuentas, estimó que el cifrado proporciona una mayor seguridad para Estados Unidos, que la alternativa: una puerta trasera”.
Fuente: Diarioti.com

NSA. Alto funcionario dice: “Conocemos las redes mejor que quienes las diseñan”

 La ultra secreta unidad TAO (Tailored Access Operations, u Operaciones de Acceso a la Medida), de la NSA, rompe el silencio y explica procedimientos de hackeo estatal, y cómo evitarlos.
TAO es un grupo de hackers de élite que, bajo la denominación S32, ha estado rodeado de un halo de misticismo incluso al interior de la NSA. Esta situación cambió cuando Edward Snowden filtró en junio de 2013 un gran número de documentos clasificados sobre la vigilancia electrónica global que realiza el gobierno estadounidense. Parte de los documentos filtrados por Snowden permitieron concluir que la sección TAO estaba a cargo de infiltrar las redes informáticas de otros países.
En un hecho que indudablemente es curioso, el director de TAO, Robert E. Joyce, hizo la semana pasada una presentación en la conferencia de seguridad Enigma, realizada en San Francisco, California. La charla de Joyce ha sido publicada íntegramente en YouTube.
El tema cubierto por el jefe de TAO fueron las prácticas de seguridad y cómo dificultar la labor de los hackers gubernamentales; es decir, la labor a la que él mismo se dedica. “Si usted realmente quiere proteger su red, es necesario que la conozca por dentro y por fuera, incluyendo todos los dispositivos conectados a esta. En muchos casos, conocemos las redes mejor que las personas que las diseñaron, y quienes las operan”, explicó Joyce.
 El propio Joyce admitió que era algo inusual subirse a un escenario para referirse a su trabajo. “Lo que quiero contarles hoy, en mi condición de hacker estatal, es lo que ustedes pueden hacer para protegerse, y cómo dificultar mi propio trabajo”. Luego, describe un proceso de 6 pasos, aplicado por su agencia al infiltrar sistemas informáticos: reconocimiento, intrusión, instalación de resistencia, instalación de herramientas, procedimientos paralelos. Éste último implica la recolección, clasificación y aprovechamiento de datos extraídos.
 “Hay razones para que esto sea denominado una amenaza sostenida; buscamos, probamos e intentamos, esperamos y esperamos, hasta que logramos entrar”. Con ello, se refería a que la NSA debe ser considerado un actor APT (Advanced Persistent Threat), al igual que otros actores de otros países, frente a los cuales no sólo se defienden, sino también atacan.
“Usted debe presuponer que ha sido hackeado”
  • Joyce describió su trabajo como riguroso y laborioso, donde el factor decisivo puede ser pequeñas fisuras en la defensa de los sistemas informáticos. “No suponga que un agujero de seguridad es demasiado pequeño como para ser detectado, o demasiado pequeño como para ser aprovechado. Usted debe suponer, desde ya, que su sistema ha sido intervenido”.
  • Por otra parte, Joyce restó importancia al aprovechamiento de las vulnerabilidades zero day; es decir, vulnerabilidades para las cuales aún no existe un parche diseñado por el fabricante. Aunque la NSA aprovecha tales vulnerabilidades, lo cierto es que prefiere otros métodos, probablemente porque son menos arriesgados, y porque es más fácil vulnerarlos simplemente esperando que los propietarios del sistema olviden, o simplemente no tengan tiempo de instalar actualizaciones de seguridad.
  • “¿Por qué tenemos éxito? Dedicamos el tiempo que sea necesario para entrar a la red. Dedicamos tiempo a conocer la red mejor que quienes la diseñaron, y quienes están encargados de asegurarla”, concluyó señalando el jefe de TAO.
Fuente: Diarioti.com

CISCO. Denegación de servicio en Cisco Wide Area Application Service CIFS

Una vulnerabilidad en la optimización de CIFS en Cisco Wide Area Application Service puede causar una denegación de servicio, catalogada de Importancia: 4 - Alta
Recursos afectados
La vulnerabilidad afecta a los siguientes productos Cisco WAAS, desde la versión de Cisco WAAS 5.1.1d hasta la 5.5:
  1. Cisco WAAS appliances
  2. Cisco Virtual WAAS (vWAAS)
  3. Módulos Cisco WAAS
Detalle e Impacto de la vulnerabilidad
  • La vulnerabilidad es debida a un tratamiento insuficiente del tráfico CIFS en Cisco Wide Area Application Service.
  • Un atacante remoto puede explotar esta vulnerabilidad generando tráfico malicioso para desbordar los recursos de búfer del sistema y provocar su reinicio.
Recomendación
Instalar la actualización correspondiente, según la rama de versión afectada:
  1. Versiones Cisco WAAS 5.1 (desde 5.1.1.d) -> Actualizar a 5.3.5d
  2. Versiones Cisco WAAS 5.2 y 5.3 -> Actualizar a 5.3.5d
  3. Versiones Cisco WAAS 5.4 y 5.5 -> Actualizar a 5.5.3
Alternativamente, este problema puede evitarse desactivando el proceso de optimización cifs-ao, aunque repercute en el rendimiento del sistema. Para ello puede ejecutarse el comando:
# accelerator cifs expert RxCIFS IOCTLHandling true
Fuente: INCIBE

Vulnerabilidades en OpenSSL

Se han publicado nuevas vulnerabilidades en OpenSSL, una de ellas permite fuga de información, catalogada de Importancia: 4 - Alta
Recursos afectados
  • OpenSSL versiones 1.0.2 y 1.0.1
Recomendación
  • OpenSSL 1.0.2: Actualizar a 1.0.2f
  • OpenSSL 1.0.1: Actualizar a 1.0.1r
Detalle e Impacto de la vulnerabilidad
Posible obtención del exponente DH del servidor
  • Lo primos generados con archivos de parámetros X9.42 pueden ser inseguros. Si la aplicación utiliza DH configurado con primos inseguros, un atacante podría obtener el exponente DH privado.
  • Si la opción SSL_OP_SINGLE_DH_USE para DH efímero (DHE) no esta activada (no lo está por defecto), el servidor reutiliza el mismo exponente privado para DH durante todo el tiempo de vida del proceso del servidor OpenSSL.
  • Se ha asignado el identificador CVE-2016-0701 a esta vulnerabilidad.
Los cifrados deshabilitados no son bloqueados con SSLv2
  • Un cliente puede negociar cifrados SSLv2 que han sido deshabilitados en el servidor y completar handshakes SSLv2 aunque esos cifrados hayan sido deshabilitados si el protocolo SSLv2 no ha sido tambien deshabilitado con SSL_OP_SSLv2
  • Se ha asignado el identificador CVE-2015-3197 a esta vulnerabilidad.
Más información
Fuente: INCIBE

CPANEL . Intrusión y múltiples vulnerabilidades

cPanel ha publicado un aviso en el que reconocen haber sufrido una intrusión en su sitio oficial que ha podido exponer información de una base de datos de usuarios. Poco después de esta intrusión la compañía confirma hasta 20 vulnerabilidades en cPanel, que podrían explotarse por usuarios para manipular datos, elevar privilegios, insertar scripts, inyección SQL, obtener información sensible o realizar ataques de cross-site scripting.
CPanel es un conocido panel de control para empresas de alojamiento web, que a través de una sencilla interfaz web permite a usuarios de miles de compañías realizar de forma sencilla tareas como crear subdominios, añadir cuentas de correo, instalar scripts, proteger directorios, crear bases de datos. La administración de estas acciones puede realizarse por los propios usuarios sin necesidad de la intervención del personal técnico. CPanel está disponible para Linux y FreeBSD.
 El pasado fin de semana cPanel confirmó un ataque sobre una de sus bases de datos y aunque había detenido la intrusión, anunciaba la posibilidad de que determinada información hubiera quedado expuesta. Según la compañía la información comprometida estaba limitada a nombres, información de contacto y el hash (con salt) de las contraseñas.
En cualquier caso confirmaba que la información de las tarjetas de crédito se encuentra almacenada en un sistema independiente diseñado para guardar las tarjetas de crédito y no se ve afectada por este ataque. cPanel anuncia un cambio a un sistema de cifrado de contraseñas más robusto y forzará a todos los usuarios a cambiar su contraseña.
 Por otra parte, pocos días después de este anuncio la compañía publica un aviso en el que se corrigen un total de 20 vulnerabilidades. aunque no está confirmada ninguna relación entre la intrusión y estas vulnerabilidades.
Los problemas residen en ejecución de comandos arbitrarios debido a que no se filtra adecuadamente el directorio de trabajo actual ('.') de rutas cargadas desde la librería de módulos Perl, modificación de archivos arbitrarios durante la modificación de cuentas mediante enlace simbólico, lectura arbitraria de archivos a través de script bin/fmq y scripts/fixmailboxpath, inyección SQL en bin/horde_update_usernames, ejecución de código arbitrario a través de manipulación de archivos temporales o revelación de hashes de contraseñas por los scripts bin/mkvhostspasswd y chcpass.
 También se han corregido problemas como que llamadas JSON-API permiten a cuentas cPanel y Webmail la ejecución de código mientras se ejecutan con privilegios de cuentas de usuario compartidas, lectura de archivos arbitrarios a través de bin/setup_global_spam_filter.pl y scripts/quotacheck, sobreescritura de archivos arbitrarios a través de scripts/check_system_storable y cambios arbitrarios de permisos de archivos (chown/chmod) durante el proceso de conversión de bases de datos para Roundcube.
Más vulnerabilidades corregidas podrían permitir la ejecución de código arbitrario a través de scripts/synccpaddonswithsqlhost, cambios de permisos de archivos a través de scripts/secureit y cross-site scriptings en WHM y en X3 y ejecución de código arbitrario sin necesidad de autenticación a través de cpsrvd.
 Todas estas vulnerabilidades se han corregido en las versiones de cPanel:
  • 11.54.0.4
  • 11.52.2.4
  • 11.50.4.3
  • 11.48.5.2
Más información:
Fuente: Hispasec

Vulnerabilidades en Ruby on Rails

Se han publicado las versiones Rails 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1 y 3.2.22.1 de Ruby on Rails, que corrigen nueve vulnerabilidades que podría permitir a atacantes remotos evitar restricciones de seguridad, conseguir información sensible, construir ataques de cross-site scripting o provocar condiciones de denegación de servicio.
Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).
 El primero de los problemas, con CVE-2015-7576, reside en un ataque de temporización en el soporte de autenticación básica en Action Controller. Con CVE-2016-0751 una posible fuga de objetos y ataque de denegación de servicio en Action Pack. Otra vulnerabilidad, con CVE-2015-7577, en la característica de atributos anidados en el Active Record al tratar actualizaciones en combinación con destrucción de banderas cuando la destrucción de archivos está desactivada. 
Por otra parte, con CVE-2016-0752, una posible fuga de información en Action View. Con CVE-2016-0753 una evasion de la validación de entradas en Active Model y por último, con CVE-2015-7581, una fuga de objetos para controladores comodín en Action Pack.
 También se ha publicado rails-html-sanitizer versión 1.0.3, que contiene la corrección de tres vulnerabilidades de cross-site scripting (del CVE-2015-7578 al CVE-2015-7580).
Más información:
Fuente: Hispasec

ISC. Denegación de servicio en DHCP

El Internet Systems Consortium (ISC) ha publicado actualizaciones para DHCP destinadas a evitar una denegación de servicio que afecta prácticamente a todos los clientes, relays y servidores DHCP.
El protocolo DHCP (Dynamic Host Configuration Protocol) tiene como objetivo la asignación automática de direcciones IP y otros parámetros de la configuración de red en los sistemas clientes.
 El problema, con CVE-2015-8605, reside en que un paquete IPv4 mal construido, con una longitud de campo UDP no válida, puede provocar condiciones de denegación de servicio en clientes, relays y servidores DHCP.
Las versiones afectadas serían las 4.0.x, 4.1.x, 4.2.x, 4.1-ESV a 4.1-ESV-R12 y 4.3.0 a 4.3.3.Las versiones 3.x también pueden verse afectadas.
 El ISC recomienda actualizar a DHCP versión 4.1-ESV-R12-P1 o 4.3.3-P1 que puede ser descargada desde http://www.isc.org/downloads/
Más información:
Fuente: Hispasec

ADVANTECH WEBACCESS. Descubiertas varias Vulnerabilidades

Desde Advantech WebAccess han sido reportadas varias vulnerabilidades por Ilya Karpov de Positive Technologies, Ivan Sanchez, Andrea Micalizzi, Ariele Caltabiano, Fritz Sands y Steven Seeley entre otros que podrían permitir a un atacante remoto, subir, crear o borrar archivos arbitrarios en el sistema de la víctima; denegar acceso a usuarios válidos y potencialmente ejecutar código arbitrario de forma remota.
 Advantech WebAccess es un paquete de software basado en html5 para interfaces HMI (human-machine interfaces) y SCADA. Todas las características comunes de estos dos sistemas son accesibles desde un navegador web estándar. Presenta características como soporte y sistema de ingeniería remota a través de la nube, interface modulable con widgets y APIs, además de soporte para PC, Macs, tablets y otros dispositivos inteligentes.
Recursos afectados
  • Estos problemas afectan a versiones anteriores a WebAccess 8.1. Se recomienda actualizar a dicha versión o superior.
 Resumen de los problemas resueltos, por CVE e importancia:
  • CVE-2016-0851: Un atacante remoto podría valerse de un error de falta de comprobación, lo que podría causar un acceso (lectura o escritura) a memoria fuera de límites. Esto podría ser aprovechado por dicho atacante para provocar una denegación de servicio.
  • CVE-2016-0854: Existe un error de validación de restricciones que podría permitir a un atacante remoto subir y sobrescribir ficheros arbitrarios en el sistema.
  • CVE-2016-0855: Un atacante remoto podría realizar un ataque de directorio transversal, permitiendo que el directorio virtual pueda ser accesible anónimamente.
  • CVE-2016-0856: Un atacante remoto podría ejecutar código arbitrario debido a múltiples errores que podrían provocar desbordamientos de memoria basada en pila.
  • CVE-2016-0857: Múltiples errores que podrían provocar desbordamientos de memoria basada en heap, que permitirían a un atacante remoto ejecutar código arbitrario.
  • CVE-2016-0858: Existe un error de condición de carrera que podría causar un desbordamiento de memoria. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de peticiones especialmente manipuladas.
  • CVE-2016-0859: Existe un error que podría causar un desbordamiento de enteros en el servicio Kernel. Un atacante remoto podría causar una denegación de servicio o potencialmente ejecutar código arbitrario a través de peticiones RPC especialmente manipuladas.
  • CVE-2016-0860: Un atacante remoto podría valerse de un error de desbordamiento de memoria en el subsistema 'BwpAlarm' para causar una denegación de servicio a través de peticiones RPC especialmente manipuladas.
  • El resto de problemas, con un impacto de seguridad inferior a las anteriores, se deben a varias vulnerabilidades que permiten ataques de tipo cross-site scripting, cross-site request forgery, inyección SQL, etc. Los CVEs son los siguientes: CVE-2016-0852, CVE-2016-0853, CVE-2015-3948, CVE-2015-3947, CVE-2015-3946, CVE-2015-6467, CVE-2015-3943.
Más información:
Fuente: Hispasec

MOODLE. Corregidas dos vulnerabilidades

Moodle ha publicado dos alertas de seguridad en las que se corrigen otras tantas vulnerabilidades, que podrían permitir realizar ataques de cross-site scripting o acceder a cursos ocultos para el usuario. Se ven afectadas las ramas 3.0, 2.9, 2.8 y 2.7.
Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
El anuncio de seguridad MSA-16-0001, con gravedad menor y CVE-2016-0724, reside en que los servicios web "core_enrol_get_course_enrolment_methods" y "enrol_self_get_instance_info" no comprueban los permisos de usuario para acceder a cursos ocultos.
Por otra parte, el boletín MSA-16-0002 se refiere a una vulnerabilidad de cross-site scripting, considerada como seria y con CVE-2016-0725, en la cadena de búsqueda en la interfaz de administración de cursos.
Las versiones 3.0.2, 2.9.4, 2.8.10 y 2.7.12 solucionan ambas vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.
Más información:
Fuente: Hispasec

APPLE. Lanza actualizaciones para OS X El Capitan, Safari e iOS

Apple ha publicado actualizaciones de algunos sus productos más destacados: una nueva versión de OS X (OS X El Capitan 10.11.3) y Security Update 2016-001, Safari 9.0.3 e iOS 9.2.1. En total se solucionan 28 nuevas vulnerabilidades.
 Resumen de las actualizaciones publicadas y problemas solucionados.
  • Se ha publicado OS X El Capitan 10.11.3 y Security Update 2016-001 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 a v10.11.2; destinado a corregir nueve vulnerabilidades que podrían llegar a permitir la ejecución de código arbitrario. Afectan a los componentes AppleGraphicsPowerManagement, Disk Images, IOAcceleratorFamily, IOHIDFamily, IOKit, Kernel, libxslt, OSA Scripts y syslog. Con identificadores CVE-2016-1716 al CVE-2016-1722, CVE-2015-7995 y CVE-2016-1729.
  • Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 9.0.3 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.x. Se solucionan seis vulnerabilidades relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario al visitar una página web específicamente creada. Con identificadores CVE-2016-1723 al CVE-2016-1728.
  • Por último, iOS se actualiza a la versión 9.2.1 que incluye la corrección de diversos problemas no relacionados directamente con la seguridad (incluyendo un problema que impedía completar la instalación de aplicaciones al utilizar un servidor MDM) y soluciona 13 nuevas vulnerabilidades. Gran parte de los fallos podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes LDisk Images, IOHIDFamily, OKit, Kernel, libxslt, syslog, WebKit, WebKit CSS y WebSheet. Con identificadores CVE-2016-1717, CVE-2016-1719 al CVE-2016-1728, CVE-2016-1730 y CVE-2015-7995.
Más información:
Fuente: Hipasec

ORACLE. Solventa 248 vulnerabilidades en su actualización de seguridad de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 248 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
Recursos afectados
Los fallos se dan en varios componentes de los productos:
  1. Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
  2. Oracle GoldenGate, versiones 11.2 y 12.1.2
  3. Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  4. Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0 y 11.1.1.9.0
  5. Oracle Endeca Server, versiones 7.3.0.0, 7.4.0.0, 7.5.0.0 y 7.6.0.0
  6. Oracle Fusion Middleware, versiones 10.1.3.5, 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.2.0, 12.1.3.0 y 12.2.1
  7. Oracle GlassFish Server, versión 3.1.2
  8. Oracle Identity Federation, versiones 11.1.1.7 y 11.1.2.2
  9. Oracle Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
  10. Oracle Tuxedo, versión 12.1.1.0
  11. Oracle Web Cache, versiones 11.1.1.7.0 y 11.1.1.9.0
  12. Oracle WebCenter Sites, versiones 7.6.2 y 11.1.1.8.0
  13. Oracle WebLogic Portal, versión 10.3.6
  14. Oracle WebLogic Server, versiones 10.3.6, 12.1.2, 12.1.3 y 12.2.1
  15. Enterprise Manager Base Platform, versiones 11.1.0.1, 11.2.0.4, 12.1.0.4 y 12.1.0.5
  16. Enterprise Manager Ops Center, versiones prior to 12.1.4, 12.2.0, 12.2.1 y 12.3.0
  17. Oracle Application Testing Suite, versiones 12.4.0.2 y 12.5.0.2
  18. Application Mgmt Pack for E-Business Suite, versión 12.1, 12.2
  19. Oracle E-Business Suite, versiones 11.5.10.2, 12.1, 12.1.1, 12.1.2, 12.1.3, 12.2, 12.2.3, 12.2.4 y 12.2.5
  20. Oracle Agile Engineering Data Management, versiones 6.1.2.2, 6.1.3.0 y 6.2.0.0
  21. Oracle Agile PLM, versiones 9.3.1.1, 9.3.1.2, 9.3.2 y 9.3.3
  22. Oracle Configurator, versiones 11.5.10.2, 12.1 y 12.2
  23. PeopleSoft Enterprise HCM Global Payroll Switzerland, versiones 9.1 y 9.2
  24. PeopleSoft Enterprise PeopleTools, versiones 8.53, 8.54 y 8.55
  25. PeopleSoft Enterprise SCM eProcurement, versiones 9.1 y 9.2
  26. PeopleSoft Enterprise SCM Order Management, versiones 9.1 y 9.2
  27. PeopleSoft Enterprise SCM Purchasing, versiones 9.1 y 9.2
  28. JD Edwards EnterpriseOne Tools, versiones 9.1 y 9.2
  29. Oracle iLearning, versiones 6.0 y 6.1
  30. Oracle Fusion Applications, versiones 11.1.2 a 11.1.10
  31. Oracle Communications Converged Application Server - Service Controller, versión 6.1
  32. Oracle Communications EAGLE LNP Application Processor, versión 10.0
  33. Oracle Communications Online Mediation Controller, versión 6.1
  34. Oracle Communications Service Broker, versiones 6.0 y 6.1
  35. Oracle Communications Service Broker Engineered System Edition, versión 6.0
  36. MICROS CWDirect, versiones 12.5, 13.0, 14.0, 15.0, 16.0, 17.0 y 18.0
  37. Oracle Retail Open Commerce Platform Cloud Service, versiones 3.5, 4.5, 4.7 y 5.0
  38. Oracle Retail Order Broker Cloud Service, versiones 4.0 y 4.1.
  39. Oracle Retail Order Management System Cloud Service, versiones 3.5, 4.5, 4.7, 5.0 y 15.0
  40. Oracle Retail Point-of-Service, versiones 13.4, 14.0 y 14.1
  41. Oracle Java SE, versiones 6u105, 7u91 y 8u66
  42. Oracle Java SE Embedded, versión 8u65
  43. Oracle JRockit, versión R28.3.8
  44. Oracle Switch ES1-24, versiones anteriores a 1.3.1.13
  45. Solaris, versiones 10 y 11
  46. Solaris Cluster, versiones 3.3, 4 y 4.2
  47. Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versiones anteriores a 1.2.2.13
  48. Sun Network 10GE Switch 72p, versiones anteriores a 1.2.2.15
  49. Oracle Secure Global Desktop, versiones 4.63, 4.71 y 5.2
  50. Oracle VM VirtualBox, versiones anteriores a 4.0.36, anteriores a 4.1.44, anteriores a 4.2.36, anteriores a 4.3.36 y anteriores a 5.0.14
  51. MySQL Server, versiones 5.5.46 y anteriores, 5.6.27 y anteriores y 5.7.9
Relación de productos y del número de vulnerabilidades corregidas:
  • Siete nuevas vulnerabilidades corregidas en Oracle Database Server, ninguna explotable remotamente sin autenticación. Afectan a los componentes: Java VM, Workspace Manager, XDB - XML Database, Database Vault, Security, XDB - XML Database y XML Developer's Kit for C. Otras tres vulnerabilidades afectan a Oracle GoldenGate (todas ellas explotables remotamente sin autenticación).
  • Otras 27 vulnerabilidades afectan a Oracle Fusion Middleware. 17 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle WebCenter Sites, Oracle WebLogic Portal, Oracle WebLogic Server, Oracle GlassFish Server, Oracle Business Intelligence Enterprise Edition, Oracle Endeca Server, Oracle Tuxedo, Oracle BI Publisher, Web Cache, Oracle Identity Federation y Oracle Outside In Technology.    
  • Esta actualización contiene 33 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, 23 de ellas explotables remotamente sin autenticación.
  • Dentro de Oracle Applications, 78 parches son para Oracle E-Business Suite, cinco parches son para la suite de productos Oracle Supply Chain, 11 para productos Oracle PeopleSoft, 7 para Oracle JD Edwards Products y uno para Oracle iLearning.
  • De forma similar dentro de la gama de aplicaciones Oracle Industry, cinco para Oracle Industry Applications y nueve para Oracle Retail Applications.
  • En lo referente a Oracle Java SE se incluyen ocho nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
  • Para la suite de productos Oracle Sun Systems se incluyen 23 nuevas actualizaciones, siete de ellas afectan a Solaris.
  • 22 nuevas vulnerabilidades afectan a MySQL Server (solo una de ellas podría ser explotada por un atacante remoto sin autenticar).
  • Esta actualización también contiene un parche para para Oracle Virtualization.
Más información:
Fuente: Hispasec

BIND 9 . Vulnerabilidades de denegación de servicio

ISC ha liberado nuevas versiones del servidor DNS BIND. Esta versión corrige dos vulnerabilidades en versiones de BIND 9, que podrían causar condiciones de denegación de servicio a través de consultas especialmente manipuladas.
 El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
 El primer problema, considerado de gravedad alta con CVE-2015-8704, reside en un problema en las verificaciones del tamaño de búfer para proteger contra desbordamientos que puede provocar la caída de named con un fallo INSIST en apl_42.c. Afecta a versiones 9.3.0 a 9.8.8, 9.9.x, 9.9.3-S1 a 9.9.8-S3 y 9.10.x.
 Pueden ser vulnerables esclavos que utilicen archivos de bases de datos en formato de texto si reciben un registro mal construido en una trasferencia de zona desde el maestro, maestros que también usen archivos de bases de datos en formato de texto si aceptan un registro mal construido en un mensaje de actualización DDNS, servidores recursivos al depurar archivos de registro si de forma deliberada han recibido un registro mal construido desde un servidor malicioso o servidores que hayan almacenado en caché un registro específicamente construido al realizar 'rndc dumpdb'.
 Una segunda vulnerabilidad, de gravedad media y CVE-2015-8705, se produce cuando opciones ECS o registros de recursos OPT se formatean como texto, lo que puede provocar condiciones de denegación de servicio. Afecta a versiones de BIND 9.10.
 Se recomienda actualizar a las versiones publicadas
  1.  BIND 9 versión 9.9.8-P3
  2.  BIND 9 versión 9.10.3-P3
  3.  BIND 9 versión 9.9.8-S4
 Disponibles desde http://www.isc.org/downloads
Más información:
Fuente: Hispasec

GOOGLE. Publica Chrome 48 y corrige 37 vulnerabilidades

En esta ocasión, aunque se han solucionado 37 nuevas vulnerabilidades, solo se facilita información de ocho de ellas (dos de gravedad alta y seis de importancia media).
Se corrigen vulnerabilidades por un casting incorrecto en V8, por uso de memoria después de liberarla en PDFium y una fuga de información en Blink. También problemas por confusión de origen en Omnibox, falsificación de URLs, espionaje del historial con HSTS y CSP, debilidad en el generador de números aleatorios en Blink y una lectura fuera de límites en PDFium. Se han asignado los CVE-2016-1612 al CVE-2016-1619.
También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-1620). Así como múltiples vulnerabilidades en V8 en la rama 4.8 (actualmente 4.8.271.17).
Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de casi 10.500 dólares en recompensas a los descubridores de los problemas.
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente:Hispasec

CISCO. Vulnerabilidades críticas en algunos de sus productos

Cisco ha publicado dos alertas para informar de sendas vulnerabilidades críticas en productos con software Cisco Modular Encoding Platform D9036, Cisco UCS Manager y FX-OS para Firepower 9000 que podrían permitir a atacantes remotos tomar el control de los sistemas afectados.
El primero de los problemas (CVE-2015-6412) afecta a todos los productos con software Cisco Modular Encoding Platform D9036 con versiones anteriores a la 02.04.70. Una vez más reside en la existencia de una cuenta root configurada con una contraseña estática. Esta cuenta se crea en el momento de la instalación y no puede cambiarse ni eliminarse sin afectar a la funcionalidad del sistema. Un atacante podría aprovechar esta cuenta para acceder al dispositivo a través de SSH con privilegios de root.
Además de la cuenta root, también existe la cuenta "guest" (invitado) con contraseña estática aunque con privilegios limitados y que igualmente tampoco puede ser cambiada ni eliminada.
 Una vez más, Cisco y el recurrente problema de las credenciales estáticas por defecto. Hace menos de una semana ya actualizó los puntos de acceso Cisco Aironet 1830e, 1830i, 1850e y 1850i por un problema similar. Otros productos como Cisco TelePresence Recording Server, Cisco NetFlow Collection Engine o Cisco Wireless Location Appliances también incluyeron cuentas administrativas con contraseñas por defecto. Es un problema que lleva persiguiendo a Cisco desde hace más de 10 años. Solo queda por pensar, qué más productos de Cisco incluyen alguna contraseña por defecto.
Por otra parte, una vulnerabilidad (CVE-2015-6435) en un script CGI del Cisco Unified Computing System (UCS) Manager y en los dispositivos Cisco Firepower 9000 Series podría permitir a un atacante remoto sin autenticar ejecutar comandos en los dispositivos afectados. El problema se debe a que no está protegida la llamada a comandos shell en el script CGI. Un atacante podrá explotar el problema a través de peticiones http específicamente construidas.
Cisco ha publicado las siguientes actualizaciones para todos los dispositivos afectados, disponibles desde Cisco Software Central:
  1. Cisco Modular Encoding Platform D9036 versión 02.04.70
  2. Cisco UCS Manager 2.2(4b), 2.2(5a) y 3.0(2e)
  3. Cisco Firepower 9000 Series 1.1.2
Tras la actualización será necesario modificar las contraseñas de las cuentas afectadas con los comandos set-root-password y set-guest-password.
Más información:
Fuente: Hispasec

SAMSUNG. Vulnerabilidades descubiertas en Samsung SRN-1670D camera

Se han reportado varias vulnerabilidades en Samsung SRN-1670D camera (Web Viewer 1.0.0.193) que podrían permitir a un atacante remoto, leer archivos arbitrarios en el sistema de la víctima, saltar restricciones de seguridad y potencialmente obtener información de credenciales de usuario.
Los dispositivos Samsung SRN-1670D, son grabadores de alta calidad que permiten grabar o reproducir contenido (video y audio) dentro de una red local o también de forma remota. Estos dispositivos cuentan con capacidad de grabación en tiempo real a 4CIF (704 x 480) / 1.3M (1280 x 1024) / 2M (1920 x 1080 ) / 3M (2048 x 1536), además permiten compresión de video en diferentes formatos como H.264, MPEG-4 y MJPEG.
Las vulnerabilidades reportadas por Aristide Fattori, Luca Giancane y Roberto Paleari, tienen asignados los identificadores CVE-2015-8279, CVE-2015-8280 y CVE-2015-8281.
  • En el primero de los problemas (CVE-2015-8279), un atacante remoto podría leer archivos arbitrarios del sistema a través de un script PHP especialmente manipulado.
  • La siguiente vulnerabilidad (CVE-2015-8280), se debe a un fallo en el interface del sistema al dar demasiada información en determinados mensajes de error. Esto podría ser aprovechado por un atacante remoto para obtener información de credenciales de usuarios.
  •  Por último, con CVE-2015-8281, un atacante remoto, a través de operaciones XOR, podría saltar restricciones de seguridad debido al débil cifrado del firmware del sistema.
Estos problemas afectan a la versión de Samsung SRN-1670D (Web Viewer Version 1,0,0,193). Este dispositivo no está actualmente en producción, por lo que no se espera que el fabricante libere actualizaciones o parches de seguridad.
 Se recomienda tomar las siguientes medidas de seguridad:
  1. Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
  2. Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
  3. Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).
Más información:
Fuente: Hispasec

IBM. Cross-Site scripting en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir una vulnerabilidad en IBM WebSphere Application Server que podrían permitir la realización ataques de Cross-Site Scripting.
 IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
 El problema (con CVE-2015-7417) podría permitir a un atacante remoto realizar ataques de cross-site scripting cuando se utilizan contraseñas OAuth debido a una validación inadecuada de las entradas del usuario. Se podría utilizar esta vulnerabilidad para robar las cookies de las credenciales de autenticación de la víctima.
Recursos afectados
  • Se ven afectadas las versiones de IBM WebSphere Application Server 7.0, 8.0, 8.5 y 8.5.5.
Recomendación
Más información:
Fuente: Hispasec

MOZILLA. Publica Firefox 44 y corrige 17 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 44 de Firefox, junto con 12 boletines de seguridad destinados a solucionar 17 nuevas vulnerabilidades en el navegador.
 Hace poco más de un mes que Mozilla publicó la versión 43 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. Entre las novedades cabe señalar la eliminación del soporte del cifrado RC4, y el uso de certificados firmados SHA-256 de acuerdo a los nuevos requisitos de cifrado. También publica Firefox ESR 38.6 (versión de soporte extendido) destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.
 Por otra parte, se han publicado los primeros 12 boletines de seguridad del año (del MSFA-2015-001 al MSFA-2015-012). Tres de ellos están considerados críticos, dos de gravedad alta, seis moderados y uno de nivel bajo. En total se corrigen 17 nuevas vulnerabilidades en Firefox.
 Las vulnerabilidades críticas residen en dos problemas (CVE-2016-1930 y CVE-2016-1931) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Otro fallo por un desbordamiento de búfer en WebGL (CVE-2016-1935) y tres problemas debido a manipulaciones inseguras de memoria encontradas a través de revisión de código (CVE-2016-1944, CVE-2016-1945 y CVE-2016-1946).
 Además, también se han corregido otras vulnerabilidades de gravedad alta como un problema en cálculos con mp_div y mp_exptmod en Network Security Services (NSS) que puede producir resultados erróneos en diversas circunstancias. Como estas funciones se emplean en cálculos criptográficos pueden dar lugar a debilidades criptográficas (CVE-2016-1938). Dos vulnerabilidades (CVE-2016-1943 y CVE-2016-1942) que podrían permitir la falsificación de la barra de direcciones.
 Otros problemas corregidos consisten en una denegación de servicio en el tratamiento de imágenes GIF específicamente creadas (CVE-2016-1933), debido a un problema introducido en Firefox 43 quedaba desactivado el servicio Application Reputation por lo que no se alertaba de descargas potencialmente maliciosas (CVE-2016-1947), una falsificación de la barra de direcciones en Firefox para Android (CVE-2016-1940) y un fallo en OS X debido a un retardo insuficiente entre los diálogos de descarga (CVE-2016-1941).
Recomendación
Más información:
Fuente: Hispasec