22 de enero de 2017

DAVOS. El impacto de los robots en el empleo, una creciente preocupación en Davos

La apertura de los mercados y el comercio mundial han sido acusados de provocar masivas pérdidas de empleos durante la última década, pero altos ejecutivos internacionales miran a las máquinas como las verdaderas culpables.
Y aunque los líderes empresariales reunidos en el Foro Económico Mundial (WEF) en Davos saborean la ganancia de productividad que puede aportar la tecnología, también advirtieron esta semana de que los daños colaterales en el empleo deben abordarse más seriamente.
Tecnologías como la robótica, coches sin conductor, inteligencia artificial y la impresión tridimensional hacen que cada vez más trabajos estén en riesgo.
Adidas, por ejemplo, pretende utilizar la impresión tridimensional en la fabricación de algunas zapatillas deportivas.
"Se perderán empleos, se desarrollarán empleos y esta revolución va a ser eterna, no va a tener en cuenta las clases y va a afectar a todos", dijo Meg Whitman, presidenta ejecutiva de Hewlett Packard Enterprise.
Así, mientras que algunos partidarios de Donald Trump y el Brexit confían en que las nuevas políticas gubernamentales recuperen para el país empleos perdidos, economistas estiman que el 86 por ciento de las pérdidas de trabajos manufactureros en Estados Unidos se deben a la caída de la productividad, según el informe anual de riesgos del WEF.
"La tecnología es el gran problema y no lo reconocemos", dijo el jueves Mark Weinberger, presidente de la consultora EY, señalando que había una tendencia a culpar siempre a los socios comerciales.
El telón de fondo político está llevando a los CEOs a tomarse más en serio el reto de la formación continua de la mano de obra para mantenerse al día ante el crecimiento exponencial de los avances tecnológicos.  
Fuente: Reuters

APPLE. Demanda por 1.000 millones de dólares al fabricante de semiconductores Qualcomm

Apple presentó el viernes una demanda por 1.000 millones de dólares contra su proveedor Qualcomm, días después de que el Gobierno estadounidense acusara al fabricante de semiconductores de recurrir a tácticas anticompetitivas para preservar su monopolio sobre la venta de chips para teléfonos móviles.
Qualcomm es el principal proveedor para Apple Inc y Samsung de semiconductores "módem" que ayudan a los teléfonos a conectarse a redes inalámbricas. Las dos compañías juntas representaron el 40 por ciento de los ingresos de Qualcomm por 23.500 millones de dólares reportados en el último año fiscal.
En la demanda presentada en una corte distrital de California, Apple acusó a Qualcomm de cobrar excesivamente por sus semiconductores y de rehusarse a pagar unos 1.000 millones de dólares en reembolsos pendientes por compras de chips.
Apple dijo que Qualcomm detuvo los reembolsos por las discusiones que el fabricante del iPhone sostuvo con reguladores antimonopolio de Corea del Sur.
"Como si eso no fuera suficiente, Qualcomm intentó extorsionar a Apple para que cambiara sus respuestas y provea información falsa a la comisión reguladora a cambio de la liberación del dinero retenido en reembolsos. Apple se rehusó", dijo la compañía en la demanda.
Qualcomm no respondió de inmediato al pedido para emitir comentarios.
En diciembre, los reguladores surcoreanos multaron a Qualcomm Inc con 1,03 billones de wones (854 millones de dólares) por lo que consideraron como prácticas injustas en licencias de patentes, una decisión a la que la fabricante de semiconductores dijo que apelará.
El martes, la Comisión Federal de Comercio de Estados Unidos presentó una demanda contra Qualcomm, acusándola de usar su posición dominante como proveedor de ciertos chips de teléfonos para imponer "onerosos" términos de licencias y suministros a los fabricantes de móviles como Apple, a fin de debilitar a sus rivales.
Fuente: Reuters

TECNOLOGIA. Empresa tecnológica crea monitor Trump para mercados bursátiles

Justo a tiempo para su toma de mando, la empresa de tecnología financiera Trading.co.uk, con sede en Londres, está lanzando una aplicación que generará alertas para acciones basadas en comentarios de Donald Trump en redes sociales.
Mantener un ojo en la cuenta personal de Twitter del presidente electo se ha vuelto un pasatiempo regular para administradores de fondos y operadores que invierten miles de millones de dólares diariamente en mercados bursátiles, cambiarios y de materias primas de todo el mundo.
Trump provocó una caída de varios miles de millones de dólares en el valor de títulos farmacéuticos hace una semana al decir que "se estaban saliendo con la suya" con sus precios.
Comentarios previos esta semana sobre China hicieron que se moviera el dólar y un par de tuits en diciembre provocaron una baja de las cotizaciones de los papeles de Lockheed Martin y Boeing.
La iniciativa se enmarca en el creciente grupo de nuevas empresas tecnológicas que usan el poder de la computación para procesar millones de mensajes subidos online todos los días y generan advertencias anticipadas respecto a cuándo podría haber movimientos de acciones.
El jefe de Trading.co.uk, Gareth Mann, afirmó que el generador de señales de Trump usa tecnología de inteligencia artificial para diferenciar entre tuits y otros mensajes que, por ejemplo, sólo mencionen a Boeing y aquellos que podrían mover mercados.
"Es un análisis de impacto", afirmó. "Podemos informar cuando 'tuitea' Trump. Podemos informar cuando menciona a una acción en particular o cuando menciona una acción y un país. Pero si sólo dice que está viajando en un Boeing 747, el sistema no hace nada", explicó.
Fuente: Reuters

NOVEDAD. SUSE y openSUSE en Windows 10?

Por si no había suficiente con Ubuntu en Windows 10, los interesados en sacarle partido al subsistema Linux en Windows 10, léase Windows Subsystem for Linux (WSL), tienen ahora una nueva posibilidad: SUSE y openSUSE en Windows 10.
Como quien no quiere la cosa, el camaleón se ha colado en el sistema operativo de Microsoft por sus propios medios, “porque lo vale”, y no lo decimos nosotros, lo dice Hannes Kühnemund, gerente senior de producto de SUSE Linux Enterprise. “Es realmente desafortunado que Microsoft habilitase el Linux equivocado (en mi opinión) por defecto dentro de WSL y es hora de cambiar a lo bueno“, menciona en un artículo en SUSE Blog en el que además de discutir el asunto, enseña el proceso de instalación paso a paso de SUSE y openSUSE en Windows 10.
Pero el deseo de Kühnemund por make Windows green again (bien traído, pero el chiste se acaba este viernes) no ha terminado, y es que esta es solo la primera parte del viaje. En los próximos días lo completará con una segunda entrega con más información de interés para quienes prefieran SUSE/openSUSE en Windows 10 a lo ya disponible. En concreto, SUSE Enterprise Linux 12 SP2 y openSUSE Leap 42.2. Kühnemund, desde luego, lo tiene claro: este y no otro es “el Linux adecuado para WSL“.
SUSE WSL
  • No conviene tomarse las palabras del directivo de SUSE muy a pecho, pues es lógico que barra para casa. Además, por el nivel de calidad de SUSE y openSUSE Leap, será sin duda una opción bienvenida para los administradores de sistemas ya acostumbrados a la idiosincrasia de estas distribuciones.
  • Con todo, recordar al lector despistado que aunque se pueden ejecutar entornos de escritorio e incluso aplicaciones de Linux en Windows 10, lo que está soportado oficialmente son utilidades de consola relacionadas con Bash. Muy poca cosa en comparación a lo que ofrece una distribución GNU/Linux de verdad, pero una herramienta a tener en consideración para los profesionales que usan Windows.
  • Desde que se anunció y más tarde lanzó WSL como parte de Windows 10 Anniversary Update, han sido varias las iniciativas que han surgido intentando llevar más Linux a Windows 10, pero al margen de la implementación oficial con Ubuntu, esta de SUSE es la más destacada hasta la fecha por venir del propio proyecto.
Fuente: Muy Linux.com

EUROPOL. Identificación de 'malware' contra cajeros automáticos sin utilizar tarjetas de crédito

Investigadores de seguridad de Trend Micro y el grupo EC3, perteneciente a Europol, han descubierto un nuevo 'software' bautizado como 'Alice' que permite a los criminales robar en cajeros automáticos sin hacer uso de tarjetas de crédito y cuya sencillez ha puesto en alerta a autoridades y bancos.
   Este 'software' no es el primero que permite robar en cajeros, pero su simplicidad resulta especialmente preocupante, según revela la investigación, publicada el 13 de enero en la web de seguridad 'S21 SEC'. 'Alice' permite sustraer el dinero de cualquier tipo de cajero automático hasta que este se queda sin fondos sin necesidad de robar datos personales de los clientes ni de copiar tarjetas de crédito o débito.
   Para utilizar este 'malware', los criminales simplemente fuerzan el cajero para acceder a la CPU, y a través de puertos USB o la unidad CD-ROM instalan el 'malware'. El programa toma control del dispensador de billetes y permite a los ladrones extraer todo el efectivo del cajero. Tras esto, 'Alice' se desinstala y oculta su rastro con un sistema de limpieza, casi sin dejar huella, ya que, como explican, el proceso de desinstalación no elimina el archivo de registro de errores.
    El 'software' Alice es un ejemplo de ataque más tradicional basado en el acceso físico, si bien los investigadores han recordado casos anteriores de ataques a cajeros con programas informáticos como 'RIPPER' o 'Cobalt', ataques basados en red.
   El 'jackpotting', como se denomina al funcionamiento de este tipo de ataque, es sólo uno de los métodos de que disponen los criminales para atacar cajeros automáticos. Los más frecuentes, según 'S21 SEC', son los ataques que afectan a la red, en vez de al acceso físico.
Fuente: Europa Press

UNIVERSIDAD DE HARVARD. Desarrollan exoesqueleto ligero para enfermos y ancianos

   Científicos de la Universidad de Harvard trabajan en un exoesqueleto ligero que se engancha a la cadera y el tobillo con el fin de aligera rel esfuerzo para caminar. Este avance podría beneficiar a enfermos y ancianos y, además, prevenir la pérdida de movilidad.
   En la investigación, que ha contado con la participación de siete personas sanas, el equipo pudo comprobar que el prototipo del aparato ofrece una reducción del 23% en el esfuerzo para caminar. Según Connor Walsh, director del Instituto Wyss y de la investigación, se trata de "la mayor reducción de energía observada hasta la fecha con un exoesqueleto" de este tipo. Los resultados de la investigación se han publicado este miércoles en la revista 'Science Robotics'.
   El sistema que se empleó en el estudio consta de una funda que se coloca sobre los tobillos y otra en la cadera, unidas por un entramado de correas que transmiten el movimiento, todo ello conectado al dispositivo que gestiona el exoesqueleto. Se trata de un modelo distinto a los aparatos habituales de este tipo, ya que utiliza materiales ligeros, frente a los exoesqueletos con materiales rígidos y pesadas baterías.
   Este descubrimiento acarrea importantes implicaciones que podrían beneficiar a una amplia variedad de personas con problemas motrices como enfermos de Parkinson, ancianos con movilidad reducida o incluso aquellos que trabajan cargando objetos pesados. Aunque la cuestión aún está apenas avanzada, mediante el ahorro de esfuerzo para el cuerpo, sistemas como este podrían incluso conseguir ralentizar la pérdida de facultades asociada a la edad.
Fuente: Europa Press

SUPERORDENADOR. China comenzará a construir el más potente del mundo en 2017

   China ha anunciado que iniciará la construcción del 'superordenador' más potente del mundo en este 2017, y está previsto que se termine en 2020 y que supere ampliamente al más eficiente en la actualidad, también de fabricación china.
El nuevo superordenador será el primero capaz de superar la barrera del 'exaflop', es decir, del trillón de cálculos por segundo, como ha explicado Zhang Ting, ingeniero del Centro Nacional de Superordenadores de Tianjin, en una rueda de prensa del Partido Comunista chino en la ciudad de Tianjin, al norte del país
   Aunque la construcción del superordenador comenzará este 2017, tardará unos tres años en concluirse. Según declaraciones de Zhang recogidas por la agencia china Xinhua, tanto el ordenador como el sistema "pueden esperarse no antes de 2020". "Será 200 veces más potente que el ordenador Tianhe-1, reconocido como el ordenador más potente del mundo en 2010", añade.
   Con este nuevo equipo, China busca consolidar su posición como principal potencia mundial en superordenadores. El país asiático ya posee el modelo más potente del mundo en la actualidad: el Sunway TaihuLight, con una potencia de 93 petaflops por segundo. China es el líder en este tipo de computadores, con 167 del Top 500 mundial, según recoge el 'ranking' internacional de junio de 2016, y entre ellos los dos más potentes. Estados Unidos cuenta con 165 superordenadores entre los primeros 500.
América Latina también cuenta con superordenadores. Argentina, México, Chile o Brasil son ejemplo de ello, si bien en este último caso, debido a la falta de financiación tuvo que ser apagado al no poder hacer frente al coste energético.
Fuente: Europa Press

LINUX. Actualización del kernel para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización (considerada importante) del kernel para toda la familia Red Hat Enterprise Linux 6 que solventa tres nuevas vulnerabilidades que podrían ser aprovechadas por atacantes remotos para ejecutar código arbitrario, provocar denegaciones de servicio o reiniciar conexiones.
El primer problema, con CVE-2016-7117, reside en un uso de memoria después de liberarla en el subsistema de sockets recvmmsg del kernel, que podría permitir a un atacante remoto ejecutar código arbitrario. Un acceso a memoria fuera de límites en setsockopt() que podría permitir provocar condiciones de denegación de servicio o divulgación del contenido del heap (CVE-2016-4998). Por último, un uso de memoria después de liberarla en tcp_xmit_retransmit_queue y otras funciones tcp_*, que podría provocar el reinicio de una conexión (CVE-2016-6828).
También se han corregido otros siete fallos no relacionados directamente con problemas de seguridad.
Recomendación 
Más información:
Fuente: Hispasec

ORACLE. Actualizaciones críticas de Enero de 2017

Oracle ha publicado una actualización crítica con parches para corregir 270 vulnerabilidades que afectan a múltiples productos, catalogadas de Importancia 5- Crítica
Recursos afectados:
Las familias de productos afectados son la siguientes:
  1. Oracle Database
  2. Oracle Secure Backup
  3. Oracle Big Data Graph
  4. Oracle Fusion Middlewre
  5. Oracle Enterprise Manager
  6. Oracle E-Business Suite
  7. Oracle Supply Chain Products
  8. Oracle PeopleSoft
  9. Oracle JD Edwards
  10. Oracle Siebel
  11. Oracle Commerce
  12. Oracle Fusion Applications
  13. Oracle Communications Network Intelligence
  14. Oracle FLEXCUBE
  15. Oracle MICROS Lucas
  16. Oracle Retail Allocation
  17. Oracle Retail Assortment Planning
  18. Oracle Retail Order Broker
  19. Oracle Retail Predictive Application Server
  20. Oracle Retail Price Management
  21. Oracle Primavera Products Suite
  22. Oracle Java SE
  23. Oracle and Sun Systems Products Suite
  24. Oracle Linux and Virtualization
  25. Oracle MySQL
Para detalles sobre el producto y versión concreta, consultar sección «Detalle».
Recomendación :
  • Aplicar los parches correspondientes según el/los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle y cuyo enlace se proporciona en la sección "Más información”
Detalle
Las versiones de productos afectados son las siguientes:
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.2
  • Oracle Secure Backup, versiones anteriores a 12.1.0.3
  • Spatial, versiones anteriores a 1.2
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 11.1.2.4, 12.1.3.0, 12.2.1.0, 12.2.1.1
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1, 3.1.2
  • Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
  • Oracle Outside In Technology, versiones 8.5.2, 8.5.3
  • Oracle Tuxedo, versión 12.1.1
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1
  • Application Testing Suite, versiones 12.4.0.2, 12.5.0.2, 12.5.0.3
  • Enterprise Manager Base Platform, versiones 12.1.0.5, 13.1, 13.2
  • Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2, 12.3.2
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6
  • Oracle Transportation Management, versión 6.1, 6.2
  • PeolpeSoft Enterprise HCM ePerformance, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.54, 8.55
  • JD Edwards EnterpriseOne Tools, versión 9.2.1.1
  • Siebel Applications, versión 16.1
  • Oracle Commerce Platform, versiones 10.0.3.5, 10.2.0.5, 11.2.0.2
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Communications Indexing and Search Service, versiones anteriores a 1.0.5.28.0
  • Oracle Communications Network Charging and Control, versiones 4.4.1.5, 5.0.0.1, 5.0.0.2, 5.0.1.0, 5.0.2.0
  • Oracle Communications Network Intelligence, versiones 7.3.0.0
  • Oracle FLEXCUBE Core Banking, versiones 5.1.0, 5.2.0, 11.5.0
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.0, 12.0.1, 12.0.2, 12.0.3
  • Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.0.0, 12.0.2
  • Oracle FLEXCUBE Investor Servicing, versiones 12.0.1, 12.0.2, 12.0.4, 12.1.0, 12.3.0
  • Oracle FLEXCUBE Private Banking, versiones 2.0.1, 2.2.0, 12.0.1
  • Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0, 12.2.0
  • MICROS Lucas, versiones 2.9.1, 2.9.2, 2.9.3, 2.9.4, 2.9.5
  • Oracle Retail Allocation, versiones 12.0, 13.0, 13.1, 13.2, 13.3, 14.0, 14.1
  • Oracle Retail Assortment Planning, versiones 14.1, 15.0
  • Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2, 15.0, 16.0
  • Oracle Retail Predictive Application Server, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1, 15.0
  • Oracle Retail Price Management, versiones 13.1, 13.2, 14.0, 14.1
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2, 16.1, 16.2
  • Oracle Java SE, versiones 6u131, 7u121, 8u112
  • Oracle Java SE Embedded, versión 8u111
  • Oracle JRockit, versión R28.3.12
  • Oracle VM Server for Sparc, versiones 3.2, 3.4
  • Solaris, versiones 11.3
  • Oracle VM VirtualBox, versiones anteriores a 5.0.32, anteriores a 5.1.14
  • MySQL Cluster, versiones 7.2.26 y anteriores, 7.3.14 y anteriores, 7.4.12 y anteriores
  • MySQL Enterprise Monitor, versiones 3.1.3.7856 y anteriores, 3.1.4.7895 y anteriores, 3.1.5.7958 y anteriores, 3.2.1.1049 y anteriores, 3.2.4.1102 y anteriores, 3.3.0.1098 y anteriores
  • MySQL Server, version(s) 5.5.53 y anteriores, 5.6.34 y anteriores, 5.7.16 y anteriores
Más información
Fuente: INCIBE

Vulnerabilidades en BlackBerry Enterprise Service

BlackBerry ha solucionado dos vulnerabilidades en su software BlackBerry Enterprise Service 12 (BES), que podrían permitir obtener información sensible o realizar ataques de falsificación.
BlackBerry Enterprise Service es un producto enfocado al mundo empresarial, se utiliza para la gestión multiplataforma (PC, Mac, iOS , Android y Blackberry OS) de todos los dispositivos, móviles y tablets.
Detalle de las vulnerabilidades corregidas
  • La primera vulnerabilidad, con CVE-2016-3128, reside en un error en el núcleo de  BlackBerry Enterprise Service que podría emplearse para falsificar un dispositivo registrado y posteriormente acceder a otros parámetros de configuración restringidos para el dispositivo y enviar información especialmente restringida y especialmente diseñada.
  • Por otra parte, con CVE-2016-3130, un error relacionado con el núcleo de BlackBerry Enterprise Service y la Consola de Administración que podría aprovecharse para obtener las credenciales de usuarios mediante la escucha del tráfico de red entre la consola de administración y BES Core en un intento de autenticación.
Recursos afectados
  • Ambos problemas afectan a BES12 versión 12.5.2 y anteriores.
Recomendación
Más información:
Fuente: Hispasec

VULNERABILIDAD. Ejecución remota de código en productos Symantec

Symantec ha confirmado una vulnerabilidad en productos Norton y Symantec Endpoint Protection Cloud que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.
La vulnerabilidad, con CVE-2016-6592, reside en el Norton Download Manager, un pequeño ejecutable descargado inicialmente cuando un usuario visita el portal de Nortonpara descargar una versión (de prueba o con licencia) de los productos de seguridad Norton o de la familia Norton. El problema se debe a un problema en la carga de librerías DLL, por un fallo en el Norton Download Manager al usar una ruta absoluta cuando carga las DLLs requeridas durante el proceso de inicio.
Esto podría permitir la ejecución sin autorización de una dll específicamente creada que sustituya una dll autorizada en la ruta de búsqueda del Norton Download Manager (habitualmente la carpeta de descargas del navegador del usuario).
Recursos afectados
  1. Norton Family
  2. Norton AntiVirus
  3. Norton AntiVirus Basic
  4. Norton Internet Security
  5. Norton 360
  6. Norton 360 Premier
  7. Norton Security
  8. Norton Security with Backup
  9. Norton Security Standard
  10. Norton Security Deluxe
  11. Norton Security Premium
  12. Symantec Endpoint Protection Cloud
Recomendación
  • Norton Download Manager no se actualiza a través de Liveupdate. Los usuarios descargan Norton Download Manager durante la instalación inicial de algún producto Norton y habitualmente solo se ejecuta una vez para gestionar la descarga e instalación del producto seleccionado.
  • La solución para los usuarios afectados pasa por eliminar cualquier versión de Norton Download Manager 5.6 (o anterior) descargada. En caso necesario descargar la versión actualizada del software desde el portal Norton.
Más información:
Fuente: Hispasec

VULNERABILIDAD. Ejecución remota de código en Apple GarageBand

La vulnerabilidad, reportada por Tyler Bohan del equipo Cisco Talos, afecta a GarageBand para OS X, el popular programa de composición musical de Apple, que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.
GarageBand es un estudio de grabación que incluye una biblioteca de sonidos con instrumentos, baterías de estudio virtuales y preajustes para voz y guitarra. El diseño de la interfaz hace que tocar, aprender, grabar, componer y compartir música sea sencillo.
Como hemos mencionado en múltiples ocasiones, el vector de ataque, la vulnerabilidad empleada para atacar un sistema puede residir en el lugar más insospechado. Siempre se centra toda la importancia en el sistema operativo, e incluso en productos de uso habitual y sobre los que se centran y conocen múltiples vulnerabilidades, navegadores, visualizadores de pdfs, Flash, etc. Pero es fácil tender a descuidar otro tipo de software como, en este caso, un programa para componer música.
Detalle de la vulnerabilidad
  • El problema, con CVE-2017-2372, reside en el tratamiento de archivos de proyecto específicamente creados. De forma que cuando el usuario atacado abre el archivo provoca una corrupción de memoria, que permite la ejecución de código arbitrario en el sistema. El código se ejecutará con los privilegios del usuario afectado.
Recursos afectados
  • Afecta a GarageBand para OS X Yosemite v10.10 (y posteriores). Apple ha publicado GarageBand 10.1.5 para solucionar el problema descrito.
Más información:
Fuente: Hispasec

IBM. Vulnerabilidad de Cross-Site Scripting en IBM iNotes

IBM ha confirmado una vulnerabilidad en IBM iNotes que podría permitir a atacantes remotos la realización de ataques de cross-site scripting.
IBM iNotes (anteriormente conocido como IBM Lotus iNotes) es una versión completa basada en web del cliente de Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.
El problema corregido (con CVE-2016-5881) reside en una validación inadecuada de las entradas del usuario. Un atacante remoto podría explotar la vulnerabilidad mediante URLs específicamente creadas, lo que le permitiría ejecutar scripts en el navegador de la víctima. Se podría utilizar esta vulnerabilidad para robar las cookies de las credenciales de autenticación de la víctima y los datos presentados recientemente.
Recursos afectados
  • Se ven afectadas las versions IBM iNotes 9.0 y 9.0.1 anterior a 9.0.1 Fix Pack 7 e IBM iNotes 8.5, 8.5.1, 8.5.2 y 8.5.3 anterior a 8.5.3 Fix Pack 6 Interim Fix 15
Recomendación
IBM ha publicado las actualizaciones necesarias en Domino e iNotes versiones 9.0.1 Fix Pack 7 y 8.5.3 Fix Pack 6 Interim Fix 15. Disponible desde:
Más información:
Fuente: Hispasec

Descubren un spyware para macOS que lleva funcionando desde 2014

El nuevo software malicioso que ha sido detectado por la empresa de seguridad Malwarebytes.
Este nuevo software espía ha sido detectado gracias a que un administrador de redes de una empresa pudo ver cómo se registraba algo de tráfico saliente de uno de los Mac de su red local. Al detectar ese extraño tráfico, se puso en contacto con los expertos de seguridad de Malwarebytes, quienes han dado con este nuevo malware. A pesar de ser un malware muy simple, hasta ahora nunca se había visto nada tan complejo como él. Este se basa, principalmente, de dos ficheros, un script, muy complejo, además, escrito en PERL y ofuscado para complicar la comprensión de su funcionamiento, y un fichero xml de configuración.
El script puede ser considerado el malware como tal. Este se basa principalmente en establecer la conexión con el servidor C&C, tanto a través de una IP directa como de un servidor DNS basado en No-IP, y cuenta con varias funciones adicionales como la posibilidad de tomar capturas de pantalla y registrar el tiempo que el sistema lleva en funcionamiento.
Además, este software espía hace un llamamiento a un fichero binario Java que lanza una serie de funciones bastante más complejas, por ejemplo, para poder acceder a la cámara del ordenador (en caso de que la tenga). Analizando este nuevo binario, los expertos de seguridad han encontrado llamadas obsoletas a funciones que, desde años, están inoperativas en el sistema. Además, el binario incluye de base el código de libjpeg, librería desactualizada desde 1998, por lo que se cree que este software espía puede haber empezado a funcionar desde mucho antes que 2014, aunque no hay nada que pueda confirmar su edad más que un comentario en el código referente a Mac OS X 10.10 Yosemite, la actualización de 2014 del sistema operativo de Apple.
Apple ha lanzado un parche de seguridad, que se instalará en segundo plano en todos sus ordenadores, con el que evitará que este software malicioso siga haciendo de las suyas. Además, los expertos de seguridad de Malwarebytes lo han registrado con el nombre OSX.Backdoor.Quimitchin en honor a los espías aztecas que se infiltraban en otras tribus rivales.
Fuente : Malwarebytes

MEITU. Cámara para Android que envía tu IMEI y MAC a servidores remotos

Meitu es una extraña aplicación de origen chino creada para facilitar la captura de selfies y aplicarlas un gran número de filtros y mejoras para mejorar su estética. En las últimas semanas, la popularidad de esta aplicación ha crecido exponencialmente, saliendo de China y ganando usuarios en todo el mundo. Sin embargo, esta aplicación esconde una sorpresa bastante desagradable.
Tan pronto como ha crecido la popularidad de esta aplicación, muchos usuarios y expertos de seguridad han empezado a comprobar qué tipo de cambios hace en los dispositivos y, sobre todo, qué datos enviaba al servidor de los desarrolladores sobre sus usuarios. 
De esta manera, realizando una captura de paquetes de la red, han podido comprobar que Meitu envía una gran cantidad de información personal y privada a varios servidores chinos conectados en Internet, entre los que destacan el IMEI de los dispositivos que instalan la aplicación y su dirección MAC, además del modelo del smartphone, la resolución y la versión de Android instalada.
@Laughing_Mantis I had my doubts but guess what!Destination110.173.196.36124.243.219.15942.62.120.41_IMEI pic.twitter.com/zV66cMm5AO— FourOctets (@FourOctets) January 19, 2017
Si ya has descargado esta aplicación alguna vez, lo más probable es que no puedas hacer nada, ya que los datos ya habrán sido enviados a los servidores chinos. Por el contrario, si no la has descargado, os recomendamos no hacerlo ya que, como hemos visto, Meitu es, a partes iguales, una cámara y un spyware.
Más información
Fuente: Redeszone.net

NVIDIA. Encuentran varias vulnerabilidades en sus controladores

El último boletín de seguridad de Nvidia ha hecho públicos 6 fallos de seguridad en los drivers de Nvidia para Windows, concretamente dentro del módulo “nvlddmkm.sys“
Estos fallos, que listamos a continuación, han sido considerados como de peligrosidad baja y pueden permitir a un atacante tanto causar un error y un DoS en un sistema afectado como escalar privilegios de manera que, aprovechando otros fallos potenciales, puedan llegar a ejecutar código con permisos de administrador, o SYSTEM.
Las vulnerabilidades, registradas en 2016, son:
  1. CVE-2016-8821
  2. CVE-2016-8822
  3. CVE-2016-8823
  4. CVE-2016-8824
  5. CVE-2016-8825
  6. CVE-2016-8826
Aunque Nvidia ya solucionó dichos problemas de seguridad en sus controladores para Windows el pasado mes de diciembre, es recomendable comprobar que, efectivamente, tenemos instalados la última versión de los mismos de manera que, en caso de que intenten explotar alguno de esos fallos en nuestro sistema, estemos protegidos.
Recomendación
  • Para comprobar la versión de los controladores de Nvidia que tenemos instalada no tenemos más que abrir el Nvidia Geforce Experience y comprobar la versión instalada, además de poder aprovechar para buscar manualmente si hay nuevas versiones disponibles. De igual forma, también podemos utilizar la página web de la compañía para descargar e instalar a mano la última versión de los drivers de Nvidia http://www.nvidia.es/Download/index.aspx?lang=es
Fuente: Nvidia

ORACLE. Bloqueará los JAR firmados con MD5 a partir de abril

En esta ocasión la noticia está relacionada con una mejora de seguridad que afecta directamente a los JAR. Más que una mejora de seguridad, podría decirse que es una restricción, ya que la empresa bloqueará aquellos que estén firmados haciendo uso de MD5.
Para ser más exactos, será a partir del próximo 18 de abril cuando la empresa comenzará a bloquear todos los que estén firmados haciendo uso de este algoritmo. La empresa ya ha comenzado a advertir sobre este aspecto en la página web. Cuando procedemos a la descarga de una de las versiones para desarrolladores, se puede leer un mensaje en el que se indica esto que hemos dicho.
Desde Oracle habían fijado esta decisión para esta misma semana. Sin embargo, dado que muchos desarrolladores no tenían tiempo material para realizar los cambios oportunos, los responsables han tomado la decisión de aplazar esta decisión para mediados del próximo mes de abril.
Oracle Java SE 8u131 será la primera versión que no dispondrá de este algoritmo.
Fuente: Oracle