26 de abril de 2017

CIBERATAQUES. Campaña electoral francesa de Emmanuel Macron víctima de hackers rusos

La campaña electoral del candidato socioliberal a la presidencia francesa, Emmanuel Macron, fue pirateada por el grupo de 'hackers' rusos Pawn Storm, según un informe de la compañía de seguridad informática Trend Micro difundido por los medios franceses.
Pawn Storm, más conocido como Fancy Bear, es el mismo que fue acusado de ciberataques contra la candidata demócrata a las presidenciales en Estados Unidos, Hillary Clinton.
El diario '20 minutes' detalló que, entre mediados de marzo y mediados de abril, el grupo creó cuatro nombres de dominios similares a los del equipo de ¡En Marcha!, el movimiento en torno al cual Macron ha articulado su candidatura.
Según la empresa japonesa Trend Micro, los 'hackers' intentaron robar datos personales o de identificación a través del envío de correos fraudulentos y también tenían como objetivo infectar ordenadores.
El equipo de Macron ya había anunciado a mediados de febrero haber sufrido "cientos, incluso miles de ciberataques procedentes de las fronteras rusas", y ahora dijo no estar sorprendido por las conclusiones de este informe.
El director de la campaña digital del candidato, Mounir Mahjoubi, precisó a '20 minutes' que ninguna de sus cuentas de correo electrónico ha sido pirateada y señaló no estar en capacidad de poder atribuir el origen de estos últimos ataques, los ocurridos entre marzo y abril.
Macron, de 39 años, encabezó la primera ronda de las presidenciales del pasado domingo con el 24,01 % de los votos y se enfrentará en la segunda del próximo 7 de mayo con la ultraderechista Marine Le Pen, que logró el 21,3 %.
Según los sondeos, el ex ministro de Economía y antiguo banquero tiene ventaja en los comicios frente a Le Pen, quien durante la campaña del primer turno se reunió en Moscú con el presidente ruso, Vladimir Putin.
Este lunes, el Kremlin, acusado de injerencia en la campaña electoral de Francia, negó cualquier implicación y aseguró que solo los franceses deben decidir quién debe ser su presidente en las presidenciales.
Fuente: El Mundo.es

INFRAESTRUCTURAS. Brasil y España planean cable submarino de fibra óptica para 2019

Los gobiernos brasileño y español se han unido para concretar el tendido de un cable submarino en el océano Atlántico que mejorará los servicios de interconectividad entre Sudamérica y Europa para 2019, y que resalta los intentos por desviar las comunicaciones fuera de América del Norte.
El cable submarino EllaLink conectará centros de datos en Madrid y São Paulo, así como en Lisboa, usando anillos de fibra blindada, dijeron funcionarios el lunes. El cable también conectará los archipiélagos de Madeira, Canarias y Cabo Verde a lo largo del tendido.
En un evento en São Paulo, el jefe de Gobierno español, Mariano Rajoy, dijo que la sociedad para tender el primer cable de fibra óptica que une Europa y Brasil debería ayudar a mejorar la seguridad de la transmisión de datos y la privacidad, canalizando llamadas y navegación por internet por fuera del alcance de Estados Unidos.
El cable de 9.200 kilómetros de largo y una capacidad de 72 terabits por segundo tiene una capacidad casi siete veces superior a la de los tendidos existentes entre América Latina y el resto del mundo, dijo Alfonso Gajate, presidente de EulaLink, una de las empresas que participa en la sociedad.
No se divulgaron estimaciones del coste económico de la nueva infraestructura.
Fuente: Reuters

BIOSEGURIDAD. Riegos de minar mayor depósito de telurio mundial superará a beneficios

Este elemento, presente en las células fotovoltaicas más eficientes, podría dar un impulso a las energías renovables. Pero extraerlo del fondo del mar podría tener graves consecuencias medioambientales. ¿Qué compensa más?
Un equipo de investigación ha encontrado un raro metal a gran profundidad bajo de la superficie del mar. Y se trata de un descubrimiento que señala un urgente dilema sobre dónde deberíamos fijar los límites de extracción de recursos naturales. 
La BBC informa de que unos científicos han encontrado una montaña subacuática a casi 500 kilómetros de la costa de las Islas Canarias (España) increíblemente rica en telurio, un elemento químico del grupo de las tierras raras. A unos 1.000 metros por debajo de la superficie, la corteza exterior de la montaña está recubierta de unos cinco centímetros de una roca que contiene una cantidad del elemento 50.000 veces mayor que todos los depósitos en tierra juntos.
Lo que hace que el hallazgo resulte tan seductor es que el telurio forma parte de algunas de las células solares más eficientes del mundo, pero también resulta relativamente difícil de conseguir, al igual que muchos de los elementos de la misma categoría. De hecho, el líder del proyecto que descubrió los depósitos, Bram Murton, ha calculado que la montaña podría proporcionar 2.670 toneladas de telurio, el equivalente a una doceava parte de la reserva mundial total.
No es la primera vez que los recursos submarinos generan tanto interés. Sabemos que las rocas del fondo del mar contienen todo tipo de metales, y algunas organizaciones ya han expresado su interés en extraerlos. La empresa canadiense Nautilus Minerals primero se enfrentó a la resistencia de su gobierno, pero ahora planea empezar a minar cobre y oro en la costa de Papua Nueva Guinea en 2019. Y China está investigando con entusiasmo cómo excavar metales debajo del océano Índico, aunque aún no ha arrancado el proceso formalmente.
La idea de hacer minería en el lecho marino resulta obviamente atractiva. Nuestra sed insaciable de dispositivos, coches eléctricos y energía limpia ha generado una enorme demanda de metales raros y preciosos que actualmente se extraen en Tierra, a menudo de manera poco ética y a veces a un gran coste. Obtener estos materiales del océano permitiría asegurar la creciente demanda, por lo que las primeras empresas que lo logren probablemente generarán millones.
Desafortunadamente, existe un gran "pero": a muchos investigadores les preocupan los daños medioambientales. Este año, por ejemplo, un análisis de pruebas de minería submarina demostró que incluso pequeños ensayos pueden dañar a los ecosistemas marinos. Así que los proyectos más grandes causarían muchos más daños, y las implicaciones más amplias de dichas perturbaciones tampoco están claras. Ni siquiera se descarta que los impactos llegaran a alterar la forma en la que los mares dirigen los modelos climáticos o capturan carbono.
Y ahí es donde el descubrimiento de telurio suscita un inquietante dilema. El depósito ofrece los recursos necesarios para generar una importante cantidad de energías limpias, pero extraerlos podría resultar enormemente perjudicial para el medio ambiente. La pregunta abierta: ¿pesan más los beneficios de lo primero que las posibles consecuencias de lo segundo? Dar respuesta a eso puede que no sea sencillo, pero nos ayudaría a entender si realmente estamos preparados para hacer minería en las profundidades del océano.
Fuente: MIT Technology Review 

GOOGLE. Pretende alcanzar la supremacía cuántica antes de final de año

El gigante de las búsquedas asegura que su chip cuántico suparará al mayor superordenador convencional del mundo antes de 2018, aunque reconoce que el hito aún tendría mucho trabajo por delante.
John Martinis sólo se ha concedido un par de meses para lograr un hito histórico en el sector de la computación. Martinies lidera el grupo de investigaciones de Google que trabaja en el desarrollo de chips informáticos increíblemente potentes capaces de manipular datos mediante las peculiaridades de la física cuántica. Para finales de este año, asegura que su equipo habrá conseguido desarrollar un dispositivo que logre la "supremacía cuántica". Este concepto que significa que el aparato deberá ser capaz de ejecutar un tipo cálculo que actualmente está fuera (y muy lejos) del alcance de cualquier ordenador convencional. Para demostrarlo, el chip de Google competirá en una especie de carrera contra uno de los superordenadores más grandes del mundo.
Martinis afirma: "Creemos que estamos listos para realizar este experimento. Lo podríamos hacer ahora".
Una de las razones para la confianza del equipo de Google, compuesto por 25 investigadores, se basa en que ya ha desarrollado un nuevo chip cuántico para probar las características de diseño claves necesarias para elaborar un dispositivo capaz de asumir la prueba.
Los chips cuánticos representan los bits de datos en forma de cúbits, son dispositivos que pueden atajar algunos cálculos muy complejos gracias a propiedades físicas contrarias a la lógica que ofrece la mecánica cuántica. Pero de momento, la computación cuántica sólo ha sido demostrada con pequeños grupos de cúbits. Google ha publicado los resultados de un chip que tiene nueve cúbits dispuestos en línea, pero Martinis afirma que necesitará una red de 49 cúbits para su experimento de supremacía cuántica.
El último chip de Google solo tiene seis cúbits, dispuestos en dos líneas de tres. Pero Martinis asegura que la tecnología de la empresa también funciona cuando los cúbits están en línea, como sucederá en los dispositivos más grandes.
El chip de seis cúbits también es un ejemplo de un método fabricación en el que los cúbits y el cableado convencional que los controla se producen en chips independientes que luego son fusionados. Ese enfoque, un área de especial interés para el equipo de Google desde que se creó hace algo más de dos años, busca eliminar las líneas de control adicionales que requieren los chips más grandes, y que pueden interferir con el funcionamiento de los cúbits.
Martinis afirma: "Ese proceso ya funciona al 100%. Así que ya estamos listos para avanzar un poco más deprisa". Y añade que los diseños de dispositivos con entre 30 y 50 cúbits ya están en curso. Mostró brevemente imágenes del chip de seis cúbits en la reciente conferencia IEEE TechIgnite celebrada en San Bruno (EEUU), pero su grupo aún no ha divulgado formalmente los detalles técnicos.
Martinis se unió a Google a finales de 2014 desde la Universidad de California en Santa Barbara (EEUU), donde sigue siendo profesor (ver Google quiere construir su propio ordenador cuántico). Su equipo es uno de varios grupos industriales de investigación formados o ampliados recientemente gracias a las crecientes señales de que la tecnología responsable de la computación cuántica cada vez es más manejable. La carrera por desarrollar procesadores cuánticos incluye a Intel, Microsoft, IBM y hasta start-ups (ver TR10: Ordenadores cuánticos funcionales).
El investigador y miembro del grupo de computación cuántica del Instituto Tecnológico de Massachusetts (MIT, EEUU), Simon Gustavsson, afirma que Google es uno de los líderes. "Google e IBM están bastante igualados", dice.
Si su experimento de supremacía cuántica tiene éxtio demostrará el potencial de la empresa de búsquedas, aunque los procesadores cuánticos necesitarán tener mucho más que 50 cúbits para ser capaces de ejecutar trabajos útiles.
"Será un hito académico", señala el profesor de la Universidad de Maryland (EEUU) y cofundador de la start-up de computación cuántica IonQ, Chris Monroe. El experto añade: "Después, aún será necesario averiguar cómo volverlo más escalable y programable".
Martinis está de acuerdo en que aunque lo logren, aún habrá mucho trabajo por hacer. Pero defiende que el experimento podría convertirse en una referencia para cualquiera que afirme disponer de un ordenador cuántico funcional.
También señala que el objetivo ha ayudado a los responsables de Google, y al cofundador de la empresa Sergey Brin, a apreciar que la tecnología se está convirtiendo en algo real. Martinis concluye: "Todos están muy emocionados. Intentamos recaudar apoyos dentro de Google, y este experimento nos ha servido mucho para que otros ingenieros hablen con nosotros".
Fuente: MIT Technology Review 

Phishing con caracteres Unicode

Se ha confirmado un problema en Chrome y Firefox que podría permitir la realización de ataques de phishing mediante el uso de caracteres Unicode. Conocidos como ataques homográficos, representan un problema que los navegadores intentan evitar, pero se ha descubierto una forma para evitar los controles actuales. Se puede visitar https://www.аррӏе.com/ para entender las implicaciones.
Con el uso de Punycode se pueden representar caracteres Unicode mediante el subconjunto de caracteres ASCII empleado para los nombres en Internet. De esta forma se pueden registrar dominios que hagan uso de caracteres no permitidos, por ejemplo podríamos registrar un dominio como España.com que quedaría como xn--espaa-rta.com. Evidentemente no es muy empleado porque para temas como el SEO, promoción y marca, no es muy eficiente. Queda raro que haya que escribir algo como xn--espaa-rta.com.
Ahora bien, las implicaciones en el mundo de la seguridad que pueden representar estos dominios son grandes, ya que muchos caracteres Unicode pueden ser difíciles de distinguir de los caracteres ASCII normales. De esta forma, es posible registrar dominios como "xn--pple-43d.com", equivalente a "аpple.com" por el uso de la a en cirílico "а" (U+0430) en vez de la "a" en ASCII (U+0041). Este tipo de ataques son conocidos como homográficos.
Asusta, eh? (vía https://t.co/YZOR49q342) pic.twitter.com/Ua6UWAWzcr
— David García (@dgn1729) 18 de abril de 2017
Los navegadores modernos tienen mecanismos para evitar o limitar este tipo de ataques. En Chrome y Firefox la forma Unicode se esconde si un dominio contiene caracteres de varios lenguajes diferentes. De esta forma, por ejemplo el dominio "xn--pple-43d.com" aparecerá como tal (en vez de "аpple.com") al contar con caracteres de dos lenguajes, de esta forma se evita la confusión con el dominio real.
Pero el sistema de protección ante ataques homográficos falla si todos los caracteres son sustituidos con un carácter similar del mismo lenguaje. El dominio "аррӏе.com" registrado como "xn--80ak6aa92e.com" evita el filtro al emplear únicamente caracteres cirílicos. Esta forma de evitar la protección afecta a Chrome y Firefox, mientras que Internet Explorer, Microsoft Edge y Safari se libran del problema.
El desarrollador Xudong Zheng (@Xudong_Zheng) reportó el fallo a Chrome y Firefox el 20 de enero de 2017 y confirma que ha quedado corregido en la rama de Chrome 59, aunque finalmente se incluirá en Chrome 58 que estará disponible en torno a la semana que viene. Por ahora sigue sin corregir en Firefox ya que no han decidido si está dentro de su alcance.
Como contramedida en Firefox se puede configurar desde about:config y asignar network.IDN_show_punycode a true. Esto fuerza a Firefox a mostrar siempre los dominios IDN en su forma Punycode, lo que permite identificar los dominios maliciosos.
Más información:
·        Phishing with Unicode Domains https://www.xudongz.com/blog/2017/idn-phishing/
·        Punycode https://en.wikipedia.org/wiki/Punycode
·        Registrar un dominio con ñ https://www.honesting.es/registrar-un-dominio-con-n/
·        Phishing with Unicode Domains (Reddit) https://www.reddit.com/r/netsec/comments/65csdk/phishing_with_unicode_domains/
Fuente: Hispasec

BIND 9. Nuevas versiones

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar tres vulnerabilidades (una considerada de gravedad alta y dos de importancia media) que podrían causar condiciones de denegación de servicio a través de consultas especialmente manipuladas.
El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
La vulnerabilidad de gravedad alta, con CVE-2017-3137, consiste en que se asume de forma errónea el orden de los registros en una respuesta que contenga registros de recursos CNAME o DNAME. Esto podría dar lugar a un fallo de aserción con la finalización de named al procesar una respuesta en la que los registros se encuentran en un orden inusual. Afecta a versiones 9.9.9-P6, 9.9.10b1a 9.9.10rc1, 9.10.4-P6, 9.10.5b1a 9.10.5rc1, 9.11.0-P3, 9.11.1b1-a 9.11.1rc1 y 9.9.9-S8.
Por otra parte, con CVE-2017-3136, una consulta con un conjunto específico de caracteres podría provocar un fallo de aserción y la caída de un servidor que use DNS64. Afecta a versiones 9.8.0 a 9.8.8-P1, 9.9.0 a 9.9.9-P6, 9.9.10b1 a 9.9.10rc1, 9.10.0 a 9.10.4-P6, 9.10.5b1 a 9.10.5rc1, 9.11.0 a 9.11.0-P3, 9.11.1b1 a 9.11.1rc1 y 9.9.3-S1 a 9.9.9-S8.
Por último, con CVE-2017-3138, un cambio en una característica reciente introdujo una regresión que ha creado una situación bajo la que algunas versiones de named pueden provocar un fallo de aserción si reciben una cadena de comando nula. Afecta a versiones 9.9.9 a 9.9.9-P7, 9.9.10b1 a 9.9.10rc2, 9.10.4 a 9.10.4-P7, 9.10.5b1 a 9.10.5rc2, 9.11.0 a 9.11.0-P4, 9.11.1b1 a 9.11.1rc2, 9.9.9-S1 a 9.9.9-S9.
Se recomienda actualizar a las versiones más recientes BIND 9.9.9-P8, 9.10.4-P8, 9.11.0-P5 y 9.9.9-S10, disponibles en:  http://www.isc.org/downloads
Más información:
Fuente: Hispasec

ORACLE. Corrige 299 vulnerabilidades en su actualización de seguridad de abril

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su actualización correspondiente al mes de abril. Contiene parches para 299 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:
  1. Oracle Database Server
  2. Oracle Secure Backup
  3. Oracle Berkeley DB
  4. Oracle Fusion Middleware
  5. Oracle Hyperion
  6. Oracle Enterprise Manager Grid Control
  7. Oracle E-Business Suite
  8. Oracle Supply Chain Products Suite
  9. Oracle PeopleSoft Products
  10. Oracle JD Edwards Products
  11. Oracle Siebel CRM
  12. Oracle Commerce
  13. Oracle Communications Applications
  14. Oracle Financial Services Applications
  15. Oracle Health Sciences Applications
  16. Oracle Hospitality Applications
  17. Oracle Insurance Applications
  18. Oracle Retail Applications
  19. Oracle Utilities Applications
  20. Oracle Primavera Products Suite
  21. Oracle Java SE
  22. Oracle Sun Systems Products Suite
  23. Oracle Virtualization
  24. Oracle MySQL
  25. Oracle Support Tools
Detalle de la actualización
  • Dos nuevas vulnerabilidades corregidas en Oracle Database Server y otra en Oracle Secure Backup (explotable remotamente sin autenticación).
  • Para la suite de productos Oracle Sun Systems se incluyen 21 nuevas actualizaciones, 10 de ellas afectan directamente a Solaris.
  • 39 nuevas vulnerabilidades afectan a MySQL Server (11 de ellas podrían ser explotadas por un atacante remoto sin autenticar).
  • 14 nuevos parches para Oracle Berkeley DB (ninguna de estas vulnerabilidades es exploitable remotamente sin autenticación).
  • Otras 31 vulnerabilidades afectan a Oracle Fusion Middleware. 20 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle API Gateway, Oracle Fusion Middleware MapViewer, Oracle GlassFish Server, Oracle Identity Manager, Oracle Service Bus, Oracle Social Network, Oracle WebCenter Content, Oracle WebCenter Sites y Oracle WebLogic Server.    
  • Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, ambas explotables remotamente sin autenticación.
  • Dentro de Oracle Applications, 11 parches son para Oracle E-Business Suite, uno es para la suite de productos Oracle Supply Chain, 16 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, uno para Oracle Siebel CRM y tres para Oracle Commerce.
  • Se incluyen también 11 nuevos parches para Oracle Communications Applications, nueve de ellos tratan vulnerabilidades explotables remotamente sin autenticación. También se solucionan 47 nuevas vulnerabilidades en Oracle Financial Services Applications (25 explotables remotamente).
  • Una vulnerabilidad exploitable remotamente sin autenticación en Oracle Health Sciences Applications y otras seis en Oracle Hospitality Applications (solo una exploitable remotamente).
  • Una actualización para Oracle Insurance Applications y 39 para Oracle Retail Applications, 32 de ellas explotables remotamente sin autenticación.
  • También se incluyen siete nuevos parches de seguridad para Oracle Utilities Applications (todas explotables remotamente sin autenticación) y siete para la suite de productos Oracle Primavera, cuatro de ellas podrían explotarse de forma remota sin autenticación.
  • En lo referente a Oracle Java SE se incluyen ocho nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
  • Esta actualización también contiene 15 parches para Oracle Virtualización, 13 para Oracle Support Tools y uno para Oracle Hyperion.
Recomendación
Se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponibles desde la notificación oficial en:
Más información:
Fuente: Hispasec

MOZILLA. Lanza Firefox 53 y corrige 39 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 53 de Firefox, que además de incluir mejoras y novedades soluciona 39 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 45.9 y Firefox ESR 52.1.
Detalle de la actualización
  • Mozilla acaba de publicar una nueva versión de su navegador que incorpora nuevas funcionalidades y mejoras. El boletín MSFA-2017-10 incluye las 39 vulnerabilidades corregidas. Según la propia clasificación de Mozilla ocho están consideradas críticas, 20 son de gravedad alta, siete de moderada y las cuatro restantes de nivel bajo.
  • Las vulnerabilidades críticas residen en un uso de memoria después de liberar durante el tratamiento de transacciones en el editor (CVE-2017-5433), escrituras fuera de límites en Graphite 2 con fuentes maliciosas (CVE-2017-5436) y al codificar en Base64 en NSS (CVE-2017-5461), un desbordamiento de búfer en WebGL (CVE-2017-5459) y confusion de origen al recargar data:text/html URL (CVE-2017-5466). Así como problemas (CVE-2017-5399 y CVE-2017-5398) de corrupción de memoria en el motor del navegador que podrían permitir la ejecución remota de código.
  • También se han publicado Firefox ESR 45.9 (MSFA-2017-11) y Firefox ESR 52.1 (MSFA-2017-12) que solucionan 25 y 32 vulnerabilidades respectivamente en estas versiones de soporte extendido especialmente destinadas a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.
Recomendación
Más información:
Fuente: Hispasec

WIRESHARK. Publica actualizaciones de seguridad que corrigen múltiples vulnerabilidades

Wireshark Foundation ha publicado las versiones 2.0.12 y 2.2.6 que incluyen la corrección de 10 vulnerabilidades que podrían provocar condiciones de denegación de servicio.
Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Detalle de la actualización
  • En esta ocasión la fundación Wireshark ha publicado diez boletines de seguridad (del wnpa-sec-2017-12 al wnpa-sec-2017-21) todos ellos afectan a todas las versiones de las ramas 2.2 y 2.0.
  • Como es habitual, las vulnerabilidades corregidas residen en denegaciones de servicio por fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. La lista de los disectores y protocolos afectados incluyen IMAP (CVE-2017-7703), WBMXL (CVE-2017-7702), RPCoRDMA (CVE-2017-7705), BGP (CVE-2017-7701), DOF (CVE-2017-7704), PacketBB, SLSK, SIGCOMP y WSP. También se ha solucionado un bucle infinito en el analizador de archivos NetScaler (CVE-2017-7700).
  • De igual forma se han solucionado múltiples problemas no relacionados directamente con vulnerabilidades de seguridad y actualizado el soporte de diferentes protocolos.
Recomendación
Más información:
Fuente: Hispasec

GOOGLE. Publica Chrome 58 y corrige 29 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 58. Se publica la versión 58.0.3029.81 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 29 nuevas vulnerabilidades.
Detalle de la actualización
  • Google, en esta ocasión, aunque se han solucionado 29 nuevas vulnerabilidades, solo ha facilitado información de 12 de ellas (tres de gravedad alta, ocho de importancia media y una considerada como baja).
  • Se corrigen vulnerabilidades por uso de memoria después de liberarla en Print Preview, Chrome Apps y Blink, confusión de tipos en PDFium y Blink, falsificaciones de direcciones en Omnibox, desbordamiento de heap en Skia, interfaz de usuario incorrecta en Blink, tratamiento de firmas incorrecto en Networking y salto de las políticas de orígenes cruzados en Blink. Se han asignado los CVE-2017-5057 al CVE-2017-5069.
  • Cabe señalar que entre los problemas corregidos se encuentra el fallo en el tratamiento de caracteres representados en formato Punycode, que permitía la realización de ataques de phishing con caracteres Unicode y que describimos recientemente. Y por la que un dominio como www.xn--80ak6aa92e.com se mostraba como www.аррӏе.com.
  • También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 14.000 dólares en recompensas a los descubridores de los problemas.
Recomendación
  • Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.
Más información:
Fuente: Hispasec

Actualización de seguridad para cURL y libcurl

Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl y en la propia herramienta curl, que podría permitir a un atacante evitar controles de seguridad.
   cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.
Detalle de la actualización
  • El problema, con CVE-2017-7468, reside en que libcurl intenta reanudar una sesión TLS incluso si el certificado del cliente ha cambiado. Esto es inaceptable, ya que por especificación un servidor puede omitir la comprobación de certificado de cliente en la reanudación y, en su lugar, puede utilizar la identidad antigua establecida por el certificado anterior (o por ningún certificado).
  • Se trata de una regresión y es idéntico a la vulnerabilidad (CVE-2016-5419) que ya fue solucionada en agosto de 2016, pero afecta a diferentes versiones.
Recursos afectados
  • Se ven afectadas las versiones libcurl 7.52.0 hasta la 7.53.1 (incluidas).
Recomendación
Más Información:
Fuente: Hispasec

DRUPAL. Corregida vulnerabilidad crítica

El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como crítico, en el que se soluciona una vulnerabilidad que podría permitir a un atacante evitar los controles de acceso.
   Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
Detalle de la vulnerabilidad subsanada
·       El problema, con CVE-2017-6919 y considerado crítico, consiste en un salto del acceso. Un sitio solo se ve afectado si se cumplen las siguientes condiciones: el sitio tiene activo el módulo RESTful Web Services, permite peticiones PATCH y el atacante puede tener o registrar una cuenta de usuario en el sitio.
Recursos afectados
  • Se ven afectadas las versiones 8.x anteriores a 8.2.8 y 8.3.1.
Recomendación
Se recomienda la actualización a la versión Drupal correspondiente:
Cabe señalar, que aunque Drupal no proporciona actualizaciones de seguridad para versiones menores no soportadas, dada la gravedad del problema han proporcionado una versión 8.2.x. De esta forma todos los sitios que no han tenido oportunidad de actualizar a 8.3.0 pueden evitar el problema.
Más información:
Fuente: Hispasec

VMWARE. Múltiples vulnerabilidades en productos de la firma.

Se han publicado actualizaciones de VMware Unified Access Gateway, Horizon View y Workstation que resuelven múltiples vulnerabilidades de seguridad. , catalogadas de Importancia:  5 - Crítica
Recursos afectados:
  • VMware Unified Access Gateway 2.8.X
  • VMware Horizon View Client for Windows 7.X y 6.2.X
  • VMware Workstation 12.X
Detalle e impacto de las vulnerabilidades detectadas
  1. Desbordamiento de búfer: Unified Access Gateway y Horizon View son susceptibles de un desbordamiento de búfer lo que podría permitir a un atacante remoto la ejecución de código arbitrario.
  2. Desbordamiento de búfer via Cortado ThinPrint: VMware Workstation y Horizon View Client están afectados por varios desbordamientos de búfer causados por un tratamiento inadecuado de los parámetros de entrada en TPView.dll y que podrían permitir a un atacante local la ejecución de código o provocar una denegación de servicio en el sistema Windows que ejecute el software afectado. Esta vulnerabilidad sólo es explotable si la opción de virtual printing se ha habilitado.
  3. Lectura/escritura fuera de rango via Cortado ThinPrint: VMware Workstation y Horizon View Client contienen varias vulnerabilidades de escritura/lectura fuera de rango causados por or un tratamiento inadecuado de los parámetros de entrada en TPView.dll y que podrían permitir a un atacante local la ejecución de código o provocar una denegación de servicio en el sistema Windows que ejecute el software afectado. Esta vulnerabilidad sólo es explotablesi la opción de virtual printing se ha habilitado.
  4. Desbordamiento de entero via Cortado ThinPrint: VMware Workstation y Horizon View Client están afectados por varios desbordamientos de entero causados por or un tratamiento inadecuado de los parámetros de entrada en TPView.dll y que podrían permitir a un atacante local la ejecución de código o provocar una denegación de servicio en el sistema Windows que ejecute el software afectado. Esta vulnerabilidad sólo es explotablesi la opción de virtual printing se ha habilitado.
Recomendación
Actualizar a las siguientes versiones que solucionan estas vulnreabilidades:
  • VMware Unified Access Gateway 2.8.1
  • VMware Horizon View Client for Windows 7.1.0 y 6.2.4
  • VMware Workstation 12.5.3
Más información
Fuente: INCIBE

Desbordamiento de pila en Xen Cirrus VGA Emulator

Se ha identificado una vulnerabilidad en Cirrus VGA Emulator de Xen Hypervisor que puede ser aprovechada por un atacante para escalar privilegios, catalogada de Importancia: 5 - Crítica
Recursos afectados:
  1. Xen Hypervisor: 4.4 (Base, .0, .1) | 4.5 (Base, .0, .3) | 4.6 (Base, .0, .3) | 4.7 (Base) | 4.8 (Base)
  2. Red Hat OpenStack: 5.0 para RHEL 7 (x86_64) | 7.0 para RHEL 7 (x86_64) | 8.0 (x86_64) | 6.0 (x86_64) | 9.0 para RHEL 7 (x86_64)
  3. RHEL Virtualization: 4 para RHEL 7 (x86_64) | 3 para RHEL 7 (x86_64) | para IBM Power 3 (ppc64le) | para IBM Power 4 (ppc64le)
Detalle e impacto de la vulnerabilidad
  • El fallo se produce por un control inadecuado de los límites cuando Cirrus VGA Emulator intenta redimensionar el interfaz de la consola. Un atacante en el sistema operativo invitado podría explotar esta vulnerabilidad para provocar un desbordamiento de pila y así elevar privilegios para poder ejecutar código arbitrario en el sistema operativo anfitrión.
Recomendación
Xen.org ha confirmado la vulnerabilidad y publicado actualizaciones que corrigen el fallo. Dichas actualizaciones están disponibles en los siguientes  enlaces:
Más información
Fuente: INCIBE

HPE VERTICA ANALYTICS PLATFORM. Acceso remoto no autorizado

Una vulnerabilidad en HPE Vertica Analytics Platform permitiría a un atacante obtener acceso privilegiado al sistema afectado, catalogada de  Importancia:  5 - Crítica
Recursos afectados:
  1. Vertica 8-1-x
  2. Vertica 8-0-x
  3. Vertica 7-2-x
  4. Vertica 7-1-x
  5. Vertica 7-0-x
  6. Vertica 6-1-x
Detalle e impacto de la vulnerabilidad
  • Debido a una condición no especificada en el software, un atacante podría obtener acceso no autorizado de forma remota al sistema afectado, y utilizar algún otro exploit para realizar otros ataques.
  • Se ha asignado el identificador CVE-2017-5802 a esta vulnerabilidad.
Recomendación
Más información
Fuente: INCIBE

Varias vulnerabilidades en mbed TLS de ARM

Se han publicado tres vulnerabilidades (una de criticidad alta) en el software mbed TLS de ARM que podrían permitir a un atacante remoto la ejecución de código remoto o provocar la denegación del servicio, catalogadas de Importancia: 4 - Alta
Recursos afectados:
  1. mbed TLS1.4 y superiores
  2. mbed TLS 2.4.0 y mbed 2.4.1
  3. versiones de mbed TLS anteriores a 1.3.19
  4. versiones de mbed TLS anteriores a 2.1.7
  5. versiones de mbed TLS anteriores a 2.4.2
Detalle e impacto de las vulnerabilidades
  • La vulnerabilidad, de criticidad alta, puede ser provocada por un certificado con una llave pública secp224k1 especialmente manipulada que haga que el servidor o el cliente intenten librerar un bloque de memoria de la pila. Según la plataforma sobre la que se ejecute la vulnerabilidad se puede provocar DoS o ejecución de código remoto.
Recomendación
Actualizar a las siguientes versiones que solucionan estas vulnerabilidades:
  • mbed TLS 1.3.19
  • mbed TLS 2.1.7
  • mbed TLS 2.4.2.
Más información
Fuente: INCIBE