Dropbox. VULNERABILIDAD PERMITE SALTAR LA AUTENTICACIÓN EN 2 PASOS

El equipo de Q-CERT ha anunciado una vulnerabilidad que permitía saltar la autenticación en 2 pasos de Dropbox, lo que posibilitaba a un atacante tener el control de los ficheros de la víctima.

Dropbox es un servicio en Internet que permite a los usuarios registrados el almacenamiento en la nube de archivos.

¿ Qué es la autenticación en 2 pasos ?

• La autenticación en 2 pasos (Two-Factor Authentication, 2FA) es una capa de seguridad en la autenticación en la que se requiere algo más que un usuario y contraseña para acceder al servicio.
• Generalmente suele tratarse de un código adicional, generado en el momento de la autenticación, que es recibido por el usuario a través de SMS o una llamada en un terminal móvil.

Detalle de la vulnerabilidad

• El investigador Zoutheir Abdallah ha demostrado que si un atacante conoce el usuario y contraseña de la víctima, la autenticación en 2 pasos puede ser eludida.
• El error es debido a que Dropbox no verifica correctamente la dirección de correo electrónico del usuario que se está autenticando.

Recomendación

Q-CERT ha trabajado con Dropbox para resolver el incidente y actualmente se encuentra corregido.

Fuente: Hispasec

DENEGACIÓN DE SERVICIO EN EL ‘PLC Nano-10‘

Descubierta una vulnerabilidad catalogada con importancia baja, que afecta a los 'PLC Nano-10' de la compañía Triangle Research International (TRI), que podría provocar una denegación de servicio sobre los mismos.

Detalle de la vulnerabilidad

• Estos dispositivos tienen un fallo a la hora de manejar los paquetes ModBus TCP, que puede ser explotado haciendo que el dispositivo no sea accesible dentro de la red en la que se encuentra. El único modo de volver a ponerlo en marcha es mediante un reinicio manual.
• La denegación de servicio se consigue enviando un paquete TCP especialmente modificado al puerto 502 del PLC siempre y cuando los cortafuegos en la red en la que están conectados los dispositivos permitan este tipo de tráfico.

Recursos afectados

PLC's Nano-10 con versiones del firmware anteriores a la r81

Recomendación

Para solucionar este fallo de seguridad se debe contactar con el fabricante (TRI Inc.) en la siguiente dirección http://www.triplc.com/contactinfo.htm

Más información

Aviso del ICS-CERT

Fuente: INTECO

VARIAS VULNERABILIDADES EN PRODUCTOS QNX

El investigador independiente Luigi Auriemma identificó una vulnerabilidad de desbordamiento de búfer basado en la pila y una vulnerabilidad de copia de búfer sin comprobar el tamaño, en los productos QNX Phrelay, Phwindows y Phditto. Las vulnerabilidades han sido catalogadas con importancia Alta.

Impacto de las vulnerabilidades

• Estas vulnerabilidades pueden ser explotadas remotamente y los exploits para aprovecharse de las mismas son públicos.
• El impacto de las vulnerabilidades depende del entorno, la arquitectura y la implementación de cada producto, por lo que se recomienda evaluar el mismo a cada organización afectada con estos productos.

Recursos afectados

Los productos QNX que se ven afectados son los siguientes:

1. Phrelay (todas las versiones).
2. Phwindows (todas las versiones).
3. Phditto (todas las versiones).

Recomendación

• El fabricante QNX ha publicado un parche que mitiga estas vulnerabilidades. El parche es compatible con los productos que se están ejecutando QNX Neutrino versión 6.5.0 o versión 6.5.0 SP1.
• El parche esta disponible en la pagina web de descargas de QNX.

Más información

• Advisory ICSA-13-189-01

• QNX Patch ID 3336

Fuente: INTECO

YA ESTÀ DISPONIBLE LA VERSIÓN ‘beta 3 de iOS 7’

El iOS 7 beta 3, sólo disponible para desarrolladores, llega solo un mes más tarde de que se hubiese puesto a disposición la beta 2 del SO.

La nueva versión del sistema operativo ‘beta 3 de iOS 7’ es el siguiente paso antes que llegue a los dispositivos  de millones de dispositivos de todo el mundo. Hoy se ha hecho pública la tercera versión beta del SO para que los desarrolladores puedan descargarla y probar su funcionamiento de manera que puedan ajustar sus aplicaciones convenientemente.

Novedades de la nueva versión.

Según parece, las novedades no son muchas con respecto a la beta anterior, pero sí corrije fallos y errores detectados en la versión beta anterior con lo que podría mejorar algo el rendimiento del sistema operativo de iPhone/iPad.

También hay una lista bastante larga de pequeñas mejoras:

• Aunque muchas de las cuales ya se conocían, algunas tienen que ver con la presencia de una barra de estado de mayor tamaño cuando la pantalla se encuentra bloqueada y mejoras en la visibilidad de las notificaciones.
• Además se han modificado las carpetas, siendo ahora más transparentes.
• Se han rediseñado los controles del reproductor musical, apareciendo el reloj en pantalla cuando se bloquea si estamos escuchando música.
• Hay nuevos botones en la tienda de aplicaciones, diversos cambios en las fuentes, etc..

Más información

• Applesfera
• 9to5mac

Fuente: The Inquirer

¿ CONDUCTOR TÉRMICO MEJOR QUE EL DIAMANTE ?

El diamante es el mejor conductor térmico que se conoce, aunque es muy caro. Un compuesto de boro y arsénico puede arrebatarle el puesto. 

Un equipo de investigadores ha desarrollado un nuevo material, compuesto de boro y arsénico, con una conductividad térmica tan buena como la del diamante pero mucho más barato. Esto abre nuevas posibilidades para la fabricación de los componentes electrónicos más exigentes en cuanto a capacidades y tamaño.

El diamante, que es una configuración particular de átomos de carbono –como el grafito o el grafeno–, tiene la cualidad de ser el mejor conductor térmico que se conoce. Es decir, en contacto con algún material a distinta temperatura, es capaz de absorber esta diferencia con rapidez. Esta propiedad lo convierte en un excelente, aunque caro, disipador de calor.

El equipo de investigadores descubrió que este material –que en una evaluación teórica inicial se pensaba que sería diez veces menos eficiente– era tan bueno como el diamante a temperatura ambiente, y aún mejor a altas temperaturas. David Broido, uno de los científicos responsables del descubrimiento, aseguró que usaron una aproximación teórica novedosa para calcular la conductividad térmica del material que les mostró sus verdades propiedades.

Fuente: Innova

MICROSOFT llevará OFFICE STORE y SHAREPOINT a 22 nuevos mercados y añadirá la herramienta ‘POWER BI’ a ‘OFFICE 365’

Microsoft anunció ayer en su Conferencia Mundial de Socios que llevará la tienda de Office y SharePoint a 22 nuevos mercados, y añadirá la nueva herramienta ‘Power BI’ de inteligencia de negocios para su servicio de Office 365. 

Mediante la ampliación de Office Store y de SharePoint a nuevos mercados, Microsoft está ampliando la base de usuarios potenciales para los desarrolladores que crean en esas plataformas. Dada la escala de Office y SharePoint tanto entre los clientes corporativos y consumidores, ofreciendo a los desarrolladores la oportunidad de llegar a todos ellos podrían alentar una mayor actividad de desarrollo.

Energía BI es un conjunto de herramientas, en gran parte construidas en lo alto de Excel, que ofrecen consulta de datos, la cartografía, la mejora de modelado de datos y gráficos interactivos. Consulta Alimentación y Mapa eran conocidos anteriormente con el explorador de datos y nombres clave Geoflow, si usted ha estado llevando la cuenta.

Energía BI también proporcionará lo que afirma Microsoft es "capacidades de consulta en lenguaje natural", por lo que los clientes pueden hacer ping datos y aprender de ella. Una de las características del sitio también se incluirá que incluirá "espacios de trabajo" para las personas que colaboren en los datos y resultados. También se proporcionarán aplicaciones para Windows 8, RT, y IPAD.

Power BI hace que el escritorio de Office sea más potente, y por lo tanto más importante dentro de las organizaciones que lo utilizan. Así, esta herramienta ayuda a sostener una fuente de ingresos clave para Microsoft, en un tiempo en que las soluciones móviles quitan relevancia cada día a los programas de escritorio

Power BI estará disponible como un add-on para Office 365, para los clientes actuales, y como producto independiente para las empresas que compraron su software de Office completo, según informa TNW. Microsoft no ha dado a conocer su precio inicial, pero sí se ha anunciado que saldrá una versión previa a finales de este verano

Fuente: TNW

‘SPOTIFY’ PARA ‘WINDOWS PHONE 8’ LLEGA HOY

La nueva versión de Spotify para Windows Phone 8 llega hoy después tras haber superado la fase beta de prueba desde el pasado mes de febrero para gusto de sus seguidores. 

Spotify se ha convertido en uno de los servicios de música más utilizado por los usuarios en los dispositivos móviles, además de en la web. El servicio sueco está disponible para los principales SO móviles, y desde hoy, los usuarios de Windows Phone ya pueden disfrutar de todas las características del servicio, gracias a la versión definitiva de Spotify.

Mejoras de la nueva versión de ‘Spotify’ para ‘Windows Phone 8’

• El gerente de Windows Phone de Microsoft, Joe Belfiore ha anunciado vía Twitter la renovación de Spotify. Esta nueva versión incluirá más idiomas, mejores listas de reproducción offline y una mejora en cuanto la forma de reproducción de música se refiere. La actual aplicación de Spotify para Windows Phone no incluye la opción de avanzar o retroceder en una canción, por lo que la nueva versión da esta posibilidad a los usuarios para que puedan escuchar música de la forma más cómoda posible.
• Además, los usuarios de un teléfono con Windows Phone 8 podrán explorar y reproducir listas de reproducción de sus amigos o de sus artistas favoritos, reproducir música sin conexión a Internet, recibir la música de sus amigos a través de la bandeja de entrada o establecer una lista de canciones favoritas, entre otras opciones.
• La versión final de Spotify para Windows Phone 8 ya puede descargarse de forma gratuita a través del Marketplace de Windows Phone.

Fuente: Europa Press

Anonymous PUBLICA LAS CUENTAS DEL PP DE 1990 A 2011

Anonymous publica la supuesta contabilidad oficial del Partido Popular entre 1990 y 2011 para promover una investigación independiente, aunque todavía está por verificar la autenticidad de dichas cuentas.

.El grupo de ciberactivistas ha colgado esta mañana en el servidor Anonyourvoice los enlaces a las cuentas íntegras del Partido Popular correspondientes a los ejercicios que van desde 1990 hasta 2011.

La información acerca de la contabilidad del PP está distribuida en 21 archivos ZIP alojados en Bayfiles, uno por año, que a su vez integran decenas de documentos en formato PDF y Excel.

En el listado de ficheros titulado “PP goteras“, se puede leer esta descripición: “Cables contables. PPgoteras. Lo que debería ser público, será público”.

En las redes sociales se está animando a descargar la contabilidad y compartir la información relevante bajo el hashtag #cuentasdelPP. 

Más información

• Público
• El confidencial
• El Diario
• La Información

Fuente: Itespresso

CA Technologies LANZA PROTECCIÓN DE DATOS PARA Linux

CA Technologies anunció su solución CA ARCserve® D2D for Linux, que proporciona capacidades de protección de datos y recuperación de desastres rápidas y sencillas para empresas que utilicen servidores Linux físicos y virtuales. 

Detalle de CA ARCserve D2D for Linux

• CA ARCserve D2D for Linux, una solución basada en imágenes, ayuda a las organizaciones a proteger la integridad y disponibilidad de los sistemas, aplicaciones y datos críticos dentro de sus reducidas ventanas de backup. Es un complemento de CA ARCserve® D2D for Microsoft Windows, que proporciona una solución completa para los entornos heterogéneos actuales.
• CA ARCserve D2D for Linux proporciona backups rápidos y frecuentes para satisfacer los exigentes objetivos de punto de recuperación, y opciones flexibles de recuperación que reducen el tiempo de inactividad y cumplen rápidamente con los objetivos de tiempo de recuperación. Además, la seguridad de datos integrada aborda diversos requisitos de cumplimiento.
• La compresión de datos de CA ARCserve reduce los requisitos y costos del almacenamiento relacionado con el backup. La recuperación bare-metal autónoma permite restaurar los sistemas de forma rápida y sencilla en servidores físicos o virtuales similares o diferentes, brindando una mayor flexibilidad a los clientes cuando se trata de la infraestructura de recuperación. La recuperación granular permite la restauración de archivos individuales desde cualquier imagen de punto de recuperación.
• Los usuarios acceden a CA ARCserve D2D for Linux a través de una consola web 2.0 fácil de usar que permite la instalación de agentes automatizada y sencilla, así como la administración, configuración y generación de reportes centralizadas en todos los servidores Linux protegidos. 

Comercialización de CA ARCserve D2D for Linux

• CA ARCserve D2D for Linux cuenta con licencias individuales para cada servidor (o máquina virtual). También está incluido en las ofertas de capacidad administrada (por terabyte) y por socket de servidor virtual de CA ARCserve. No sólo es ideal para organizaciones de TI, sino también para distribuidores y proveedores de servicios que desean añadir protección de datos de Linux rentable a sus ofertas de servicios.
• CA ARCserve D2D for Linux brinda soporte para Red Hat Enterprise Linux 5.x y 6.x, así como para CentOS 5.x y 6.x. Las soluciones de Backup, Replicación y Alta Disponibilidad de CA ARCserve también son compatibles con Linux.

Más información

CA ARCserve® D2D for Linux

http://www.arcserve.com/ar/about-us/recent-news/press-releases/2013/ca-technologies-simplifies-data-protection-for-linux.aspx

Fuente: Diario Tecnológico

LANZADO MAYOR MERCADO VIRTUAL DE ESPAÑA PARA EMPRENDEDORES

Los emprendedores podrán localizar áreas de las empresas que están buscando innovación y presentarles sus proyectos

Se llama Startup Village y es un mercado virtual (un marketplace) donde se pretende reunir a los principales integrantes del ecosistema emprendedor español, con el fin de impulsar la creación de start-ups y la innovación asociada a este tipo de empresas.

La iniciativa ha partido de Spain Startup & Investor Summit, el foro para impulsar el emprendimiento patrocinado por Mutua Madrileña, pero ya se han sumado al proyecto más de 20 empresas de diferentes sectores, entidades financieras, fondos de inversión, business angels, aceleradoras e instituciones de otra índole. Entre ellas, están Ferrovial, Campofrío, Iberdrola, Google, Facebook, BBVA, Bankinter, ING, Wayra, Bullnet Capital, Siemens, Inveready, Accenture, el Icex y Axis.

 Startup Village permitirá a los emprendedores acceder directamente a los departamentos de innovación de muchas empresas y presentarles sus proyectos. También alcanzar acuerdos de asesoramiento con ellas, encontrar financiación e incluso clientes, “gracias a la visibilidad que les va a proporcionar esta plataforma”, afirmó el portavoz.

Más información

Startup Village  http://www.spain-startup.com/startup-village/ 

Fuente: Cinco Días

' Cloud' . AVANZA EN ESPAÑA

La consultora Penteo ha realizado un estudio con el fin de pulsar la situación del mercado de cloud computing en España.

Para ello, la firma ha realizado una oferta tanto de la demanda que hacen de este tipo de servicios (centrándose en los modelos de infraestructura, plataforma y software como servicio) los directores de TI (CIO) y los directores generales de medianas y grandes empresas como de la oferta de los principales proveedores de servicios de TI. 

Conclusiones del estudio

• Las grandes empresas son, según González, las que están adoptando el modelo con mayor velocidad, destacando los sectores de telecomunicaciones, banca y riesgos, industria y utilities, frente a otros sectores donde apenas hay adopción como es la Administración Pública, “donde aún deben rentabilizar las inversiones realizadas”, explica González.
• Para los directores de TI el modelo en la nube ya se ha convertido en la cuarta prioridad estratégica, por detrás de la movilidad, la seguridad y la analítica, y por encima de otras áreas tecnológicas como el outsourcing, la colaboración y el gobierno corporativo. 
• “Sólo el 24% de las empresas consultadas consideran que cloud es una parte esencial de su mix de sourcing“, afirma el portavoz.
• Pero el “el 61% de empresas consultadas afirman que tienen en cartera algún proyecto en la nube para este año.Por ello, podemos decir que cloud ya es una realidad en la empresa española”, señala González.

¿ Por qué las empresas quieren estar en la nube ?

• Si los CIO entrevistados buscan, sobre todo, una mayor agilidad, capacidad tecnológica y de ahorro, los CEO buscan en especial una mayor agilidad y un menor coste.
• De todas las modalidades de cloud (Software como Servicio o SaaS, Infraestructura como servicio o IaaS y Plataforma como Servicio o PaaS), la más adoptada es SaaS y, en particular, las soluciones de colaboración (un 57% reconoce tener experiencias al respecto), seguido por el correo electrónico (49%) y el CRM (37%).
• Inconvenientes para dar el salto a la nube: la seguridad continúa siendo la principal, seguida de la integración con los sistemas tradicionales de la empresa, la localización de los datos, la escasa experiencia de los integradores en la nube y otros aspectos regulatorios.

T-Systems, IBM y HP a la cabeza del mercado 'Cloud '

• Penteo ha analizado a los principales proveedores del mundo de los servicios de TI, exceptuando a Accenture e Iecisa que han rechazado participar, y dejando fuera a aquellos más vinculados a la tecnología que a los servicios, como Oracle, Microsoft, Google y Amazon.
• “Queríamos ver cómo se estaban adaptando a cloud los proveedores tradicionales de servicios de TI -indica González- y hemos observado que en general no tienen una oferta 100% cloud sino que combinan outsourcing, virtualización y ciertos elementos de autoaprovisionamiento y pago por uso. La oferta por tanto de cloud es incipiente y muy focalizada aún en la externalización”.
• Los que cuentan con una oferta más madura en este sentido son, por este orden, T-Systems, IBM y HP. Atos, CSC, Fujitsu, Indra, NTT y Telefónica se sitúan en un segundo grupo, con grandes capacidades pero solo para algunos de los modelos de servicios. Finalmente, son buenos los resultados de NTT y CSC en satisfacción de clientes.

Fuente: Ticbeat

Pymes. COMO COMPETIR CON LAS GRANDES EMPRESAS GRACIAS A LA TECNOLOGÍA

El informe elaborado por Oxford Economics y patrocinado por la empresa de software de gestión SAP, demuestra cómo las pymes están logrando competir de tú a tú con las grandes compañías gracias a la implantación de tecnologías que les permiten ser más eficientes, mejorar sus operaciones y abordar una estrategia internacional.

Detalles del informe

De hecho, el informe, en el que han participado directivos de 2.100 pymes (de entre 20 y 750 millones de dólares) de 21 países, asegura que el número de pymes que hace negocios en seis o más países se duplicará en los próximos años precisamente gracias al impulso tecnológico.

Ansiedad de las PYMES por la tecnología

• Degún el estudio, la tecnología es ya considerada como un gran elemento de transformación para las pymes e invertir en ésta se ve como una prioridad estratégica a medida que estas empresas adaptan sus negocios al mercado global.
• El estudio señala que son el software de gestión empresarial, la analíticas de datos, la movilidad, los medios sociales y «cloud computing» las que más tirón tienen en este segmento de mercado. Destacando la movilidad.

Hacia una cultura de innovación

• A la hora de adoptar la tecnología, el 35% de los participantes consultados se identifica como innovadores, una cifra que aumenta hasta el 42% en el caso de la industria discreta y al 47% en empresas de Norteamérica en concreto. Y solo un 1% de los entrevistados creen que su empresa carece de las capacidades tecnológicas de los grandes competidores.
• Por otro lado, más de un tercio de los entrevistados consideran importante crear una cultura de innovación como una prioridad líder en sus esfuerzos de transformación. En este sentido, hay que apuntar que los mercados emergentes (55%) y las empresas de Latinoamérica (58%) hacen un énfasis especial en innovación.

Más información

SAP http://www.news-sap.com/smes-are-adopting-a-global-mindset/

Fuentes: Abc.es

10 PREVISIONES SOBRE LA NUBE EN 2013

Los expertos en Tecnologías de la información han hablado, afirman que en 2013 las empresas necesitarán diseñar estrategias cloud claras y contundentes. Además deberán decidir qué cargas de trabajo mantener en sus organizaciones y cuáles pasar a la nube.

Resumen de proyecciones y estimaciones sobre la industria ‘cloud’ en 2013:

1. Una Forma de Ahorrar.- De acuerdo a estudios internacionales, se prevé que el 30% de las compañías moverán al cloud parte importante de su cartera de aplicaciones de negocio. Esto debido al ahorro que genera en las empresas (entre un 10% y un 40%) por las reducciones de costos 
2. El cloud en los smarphones.- La enorme capacidad de los smarphones para gestionar soluciones que se ejecutan en las plataformas cloud, aumentará la usabilidad del cloud
3. Medianas y Grandes.- Las medianas y grandes empresas durante 2013 son las encargadas de mantener el crecimiento del uso de la tecnología cloud computing y al mismo tiempo las que están generando un efecto en otros mercados.
4. Nubes Público-Privadas .-Los departamentos IT crearán nubes híbridas del tipo público-privadas. Usarán virtualización, API y plataformas Cloud para diseñar ambientes tipo nube en sus propios centros de datos, que se integrarán sin contratiempos con servicios de nube pública.
5. Seguridad en la Nube.- Una reciente encuesta realizada por North Bridge Venture Partners demostró que sólo el 3% de los ejecutivos considera la nube como una plataforma de riesgo.
6. Más Grandes Empresas se subirán a la Nube.- Esto debido a que cada día los softwares de gestión, CRM y otros, junto con las tecnologías de integración de datos que se están volviendo más accesibles. La promesa de los ahorros y el modelo de pago por uso incrementarán la adopción en este sector de las grandes ligas.
7. Nuevas Alianzas Empresariales.-Las alianzas entre proveedores de almacenamiento empresarial y proveedores de servicios en cloud hará que las empresas ya no necesitarán decidir entre la seguridad, solidez y disponibilidad de una implementación inhouse versus la escalabilidad y el rendimiento de los servicios en cloud, ya que estos dos mundos se complementarán.
8. El Almacenamiento de Objetos.- El impresionante crecimiento de Internet y de los dispositivos móviles conducirán a un enorme incremento del almacenamiento de objetos. Asimismo, la fortaleza del almacenamiento de objetos en cloud de consumo comenzará a transmitirse a las empresas.
9. Infraestructura Cloud.-La infraestructura tecnológica como alternativa de servicio permitirá a las empresas capturar y almacenar datos de forma más económica. Además, los Softwares as a Service (SaaS) basados en soluciones de inteligencia de negocio permitirán a las empresas analizar la información con mayor facilidad y compartir de manera más eficaz.
10. El Cloud se consolida en Hispanoamérica..- Además, consideramos que en el 2013 se está produciendo un despegue y consolidación en Hispanoamérica. Destacan los siguientes:

• Colombia está llamada a encabezar la lista de países con mayor desarrollo Cloud. Las proyecciones apuntan a que en los próximos años alcance niveles cercanos al 25%.
• Chile inicia una aceleración en la adopción del Cloud por parte de las empresas medianas y grandes.
• Existen algunos estudios que dicen que México encabeza la región dentro de la adopción de Cloud (cerca del 25% de las grandes empresas ocupan esta tecnología).

Fuente: Diario tecnológico

‘Oracle’ ANUNCIA LA DISPONIBILIDAD DE ‘Database 12c’

Las empresas que adoptan la tecnología cloud, buscan tecnologías que transformen el negocio y mejoren su agilidad y eficiencia operacional en general.

La nueva arquitectura simplifica el proceso de consolidar bases de datos en la nube, permitiendo a los clientes gestionar multiples bases de datos como una, sin cambiar sus aplicaciones. 

Descripción de Oracle Database 12c

• Es una base de datos de nueva generación, diseñada para cubrir esas demandas, ofreciendo una arquitectura multiusuario sobre una plataforma de base de datos rápida, escalable, fiable y segura. 
• Al conectarse a la nube con Oracle Database 12c, los clientes pueden mejorar la calidad y rendimiento de las aplicaciones, ahorrar tiempo con una arquitectura de máxima disponibilidad y gestión del almacenamiento, y simplificar la consolidación de la base de datos al gestionar cientos de bases de datos como una sola.
• La base de Oracle Public Cloud Services, Oracle Database 12c, puede beneficiar enormemente a los clientes desplegando nubes de bases de datos privadas y los fabricantes de Software-as-a-Service (SaaS) que buscan el poder de la base de datos de Oracle en un modelo multiusuario seguro.
• La funcionalidad más destacada del nuevo producto, es la función Multitenant, que permite a cada base de datos conectada en la nueva arquitectura multiusuario tener el mismo aspecto y funcionar como una base de datos Oracle estándar para las aplicaciones, de forma que las aplicaciones existentes pueden seguir funcionando sin cambios. Al soportar la función multi-tenancy en el nivel de base de datos, hace que todas las aplicaciones ISV que operan en la base de datos Oracle estén listas para SaaS. Además, gestiona muchas bases de datos como una sola y puede incrementar la utilización de recursos del servidor y reducir el tiempo y esfuerzo requeridos para actualizaciones de base de datos, backup, recovery y mucho más.
• Pero también tiene otras prestaciones como la optimización de datos automática, donde un mapa ‘de calor’ monitoriza la actividad de lectura/escritura de la base de datos, permitiendo a los administradores identificar fácilmente los datos ‘calientes’ (muy activos), ‘templados’ (sólo lectura) o ‘fríos’ (raramente leídos) almacenados en tablas y divisiones. Utilizando compresió inteligente y ordenacion del almacenamiento, los administradores de base de datos pueden definir fácilmente las políticas de gestión de servidores para comprimir y ordenar automáticamente OLTP, Data Warehouse y datos de archivo basándose en la actividad y la edad de los datos.
• Además, Oracle Database 12c incluye el Run-Time Privilege Analysis, permitiendo a las organizaciones identificar los privilegios y roles que se están utilizando actualmente, ayudando a revocar privilegios innecesarios y ejecutando menores privilegios con la confianza de que las operaciones empresariales no serán interrumpidas

Fuente: ORACLE

LA UNION EUROPEA CASTIGA A LOS CIBERDELINCUENTES

La UE. ha aprobado una nueva directiva sobre ciberseguridad que entrará en vigor en los próximos meses que contempla penas de cárcel que van de los 2 años hasta los 5 años por cometer delitos a través de Internet.

El Parlamento Europeo ha aprobado con 541 votos a favor, 91 en contra y 9 abstenciones una nueva directiva sobre ciberseguridad que contempla penas más duras para los autores de delitos a través de Internet y que será adoptada formalmente por el Consejo “en los próximos meses”.

Ejemplo de penas aprobadas

• Por ejemplo, quienes accedan de forma ilegal a sistemas de información y bases de datos, quienes intercepten comunicaciones de terceros y quienes desarrollen o suministren las herramientas necesarias para ello se enfrentarán a una pena máxima de dos años de cárcel.

Esta pena se incrementará:

1. Hasta los tres años en el caso de que se usen botnets
2. Y hasta los cinco años si se acometen ataques contra infraestructuras catalogadas como de carácter crítico, si se causan “daños graves” o si los actos proceden de organizaciones delictivas.

Otros efectos del cambio de legislación

• También, estará prohibido contratar a hackers para acceder a datos de la competencia y se castigará a las empresas que se beneficien de delitos informáticos.
• Además, este cambio en la legislación supondrá una mayor colaboración entre países miembros, de modo que cuando se produzca un ciberataque, los diferentes estados deberán responder a las peticiones de información urgente por los demás en un plazo de ocho horas como máximo.

Fuente :  Parlamento Europeo

‘IBM’ ANUNCIA SOLUCIONES EN MATERIA DE ‘Cloud Computing’

IBM ha anunciado un centenar de productos de ‘Cloud Computing’ de los que cabe destacar a ‘Social Media Analytics’, que permitirá conocer de forma instantánea y produnda la opinión de los clientes sobre determinada marca, servicio o producto.

Descripción de Social Media Analytics

Social Media Analytics o Analítica en Medios Sociales, trabaja con millones de datos procedentes de redes sociales y con la que los directores de marketing podrán saber de forma más profunda e instantánea cómo es percibida su marca por los clientes. Y, a partir de ahí, implementar cambios y lanzar ofertas específicas.

Areas de la empresa vinculas a las nuevas soluciones ‘Cloud Computing’:  

• Marketing: sus responsables podrán analizar, comprender e involucrar a los clientes en conversaciones interactivas a través de canales de marketing digital, social y tradicional, utilizando análisis digitales y capacidades de automatización.
• Ventas y comercio electrónico: los directivos podrán impulsar las ventas “B2C“ a través de distintos canales, vinculando las soluciones móviles, las redes sociales, Internet y los propios establecimientos físicos. También serán capaces de gestionar presupuestos, negociar contactos y reforzar los análisis de rendimiento.
• Atención al cliente: pueden desarrollar técnicas exclusivas de servicio y retención de clientes gracias a las conversaciones rápidas y personalizadas que ofrece Watson Engagement Advisor.
• Compras: los responsables serán capaces de gestionar los gastos, los contratos y los proveedores, lo que se puede traducir en importantes ahorros de costes.
• Cadena de suministro: podrán mejorar la transparencia y eficacia de la cadena de valor para satisfacer mejor la demanda de los clientes.
• Departamento jurídico: el responsable agilizará los procesos de gestión y fortalecerá la propiedad intelectual y el análisis de riesgo, para asistir de forma más eficiente a las partes interesadas tanto de dentro como de fuera de la empresa.
• Departamento financiero: tomarán decisiones basadas en analítica evitando posibles riesgos en ingresos, gastos y procesos de compensación.
• Recursos Humanos: los responsables podrán encontrar, analizar y adquirir el mejor talento, trabajando codo con codo con el resto de los directivos para que el personal sea más eficiente tanto en colaboraciones internas como entre empresas. Todo ello gracias a SmartCloud for Social Business.
• Departamento de tecnología: en este caso los CIO podrán incluir estas soluciones dentro de una estrategia global, de tal forma que se garantice su seguridad, flexibilidad e integración en entorno híbridos.

Fuente: IBM

ESTUDIO DEMUESTRA BENEFICIOS APRENDIZAJE BASADO EN VÍDEO

Un estudio elaborado por el Center for Digital Education y la empresa Anaya asegura que el empleo del vídeo ayuda a que los estudiantes aprendan de manera más eficiente.

Conclusiones del Estudio

• La mayoría de los participantes en la encuesta indicaron que las iniciativas BYOD, que permiten a los usuarios utilizar sus propios dispositivos en sus empresas o centros de estudio, han ayudado a la expansión de los aparatos que con capacidad de grabar y reproducir vídeos.
• El 58% de los encuestados afirmaron que ya tienen a disposición de sus alumnos la posibilidad de optar por el aprendizaje basado en vídeo, y un 28% señalaron que planean hacerlo.
• Además, un 85% de los encuestados coincide en que las soluciones de aprendizaje basadas en vídeo jugarán un papel importante en el futuro de los programas de estudios.
• 
  
• Por último, se destaca que los factores principales de motivación que impulsan el aprendizaje basado en vídeo son:

1. El compromiso de los estudiantes (el 89% está de acuerdo)
2. El aprendizaje virtual/combinado (el 79% está de acuerdo).

Detalles del Estudio

El Center for Digital Education para realizar el estudio entrevistó a jefes de TI, administradores y profesionales de educación primaria, secundaria y superior.

Más información

Para consultar los resultados del estudio hay que visitar el siguiente enlace.

http://www2.avaya.com/am/camp/us/rtc_he/index.html

Fuente: Silicon Week

ACTUALIZACIÓN DE SEGURIDAD PARA QuickTime

Apple ha lanzado una actualización para QuickTime, que corrige 3 problemas de seguridad en su versión para Mac OS X 10.6, OS X Lion y OS X Mountain Lion que podrían permitir la ejecución remota de código arbitrario. 

Recomendación

• La actualización es recomendable realizarla de manera inmediata.
• Esta nueva versión puede instalarse a través de las funcionalidades de actualización automática de Apple, o descargándolas directamente la siguiente dirección.

http://www.apple.com/quicktime/download/ 

Más información:

• About Security Update 2013-003  http://support.apple.com/kb/HT5806

Fuente: Hispasec

Microsoft PUBLICARÁ 7 BOLETINES DE SEGURIDAD

Microsoft ha lanzado un avance de los boletines de seguridad que publicará el próximo martes 9 de julio en su ciclo de actualizaciones.

En esta ocasión serán siete boletines que afectan a Internet Explorer, .NET Framework, Visual Studio, Silverlight, Lync, Microsoft Windows, Microsoft Office y Microsoft Security Software con diferentes impactos.

Resumen del impacto de los fallos corregidos por  los boletines de seguridad

• Cabe destacar que 6 de los boletines son calificados como críticos. Solucionan fallos que podría permitir la ejecución de código remoto y afectan a todos los productos indicados anteriormente salvo Microsoft Security Software. 
• El séptimo boletín, dedicado precisamente  a Microsoft Security Software, ha sido marcado como importante y solventa una elevación de privilegios.

Recursos afectados

• Los boletines primero, segundo, tercero, quinto y sexto corregirán vulnerabilidades en los sistemas operativos Microsoft Windows en las versiones XP, 2003, Vista, 2008 Server, 7, 8, y 2012 Server.
• También el primer boletín soluciona vulnerabilidades de Microsoft Silverlight 5.
• Además el tercer boletín afectará también a la suite ofimática Microsoft Office en sus versiones 2003, 2007 y 2010, a Microsoft Visual Studio .NET 2003, y a Microsoft Lync 2010 y 2013
• El boletín número cuatro estará dedicado al navegador Internet Explorer en todas sus versiones desde la 6 a la 10 .
• Y por último el boletín séptimo, que solventará vulnerabilidades que podrían desembocar en una elevación de privilegios en el software de seguridad Windows Defender en sus versiones para Windows 7 y Windows 2008 Server.
• Junto con estos boletines, Microsoft también actualizará su herramienta "Microsoft Windows Malicious Software Removal Tool", disponible desde Windows Update, Microsoft Update, Windows Server Update Services y su centro de descargas.

Más información:

Microsoft Security Bulletin Advance Notification for July 2013

Fuente: Hispasec

‘Hackers’ ACCEDEN A DATOS DE USUARIO DE 23.000 CUENTAS DEL ‘Club Nintendo’

Nintendo ha hecho público que su plataforma Club Nintendo ha sido 'hackeada' en Japón. El ataque se ha producido desde el 9 de junio hasta este jueves 4 de julio.

La compañía detectó un incremento importante en el número de errores de acceso a la web por parte de los usuarios, lo que le llevó a investigar la situación, y así descubrir el ataque de alrededor de 23.000 accesos no autorizados a cuentas de Club Nintendo

Efectos del ataque

• Las consecuencias de este ataque suponen que los nombres, e-mails, direcciones postales y números de teléfono de miles de usuarios se han podido ver comprometidos.
• Sin embargo, los números de tarjeta de crédito de los usuarios no se han visto comprometidos.

Recomendaciones

• La firma japonesa ha pedido a todos los miembros de Club Nintendo en Japón que cambien su contraseña, para evitar cualquier problema.
• Aunque no existe constancia de que el ataque haya afectado a otros países, si es conveniente que los usuarios que sean miembros de Club Nintendo en cualquier país cambien sus contraseñas por precaución.

Más información

 Comunicado de Nintendo (en japonés)
http://www.nintendo.co.jp/support/information/2013/0705.html

Fuente: Europa Press

ANUNCIO DE FIREWALL TRAVERSAL PARA VIDEOCONFERENCIA DE Polycom

Polycom, Inc., empresa de comunicaciones unificadas y colaboración basadas en estándares abiertos, anunció Polycom® RealPresence® Access Director™, una solución de firewall traversal de videoconferencia .

Polycom RealPresence Access Director superó con éxito la evaluación de seguridad realizada por Laboratorios ICSA, una división independiente de Verizon, que alcanzó 35 puntos en la evaluación de seguridad realizada.

Descripción del producto:

• La soluciónRealPresence Access Director es un servidor perimetral basado en software que deriva de forma segura las comunicaciones, administración y contenido a través de firewalls desde cualquier dispositivo o locación virtual, brindando soporte y colaboraciónentre empresas y dentro de cada una de ellas.
• Trabaja de ambas formas, de manera independiente y como componente integrado de la plataforma Polycom RealPresence, la infraestructura de software mas segura, confiable y escalable para colaboración universal de voz y video.

Conclusiones del informe de evaluación en la página Web de los Laboratorios ICSA

• La metodología de evaluación de los Laboratorios ICSA evaluó la soluciónRealPresence Access Director especialmente en su capacidad de mantener el nivel integridad y seguridad existente de cualquier red mientras agrega funcionalidades de videoconferencia SIP y H.323.
• Los Laboratorios ICSA confirmaron que la solución RealPresence Access Director mostró los niveles esperados para la funcionalidad y seguridad de la plataforma.
• El informe también encontró que la soluciónRealPresence Access Director mantiene el nivel de seguridad en el entorno en que fue desplegado sin mostrar ninguna vulnerabilidad.

Más información

• Sitio Web Polycom® RealPresence® Access Director™
• Ver el informe de evaluación completo en la página Web de los Laboratorios ICSA

Fuente: Diario tecnológico

‘Android’. GRAVE VULNERABILIDAD QUE AFECTA AL 99% DE LOS DISPOSITIVOS

La empresa de seguridad informática Bluebox, descubridora de la vulnerabilidad, asegura que afecta al 99% de los dispositivos con ANDROID y teniendo en cuenta que la cuota de mercado del sistema operativo está cercana al 70 % de todos los 'smartphones', el fallo gravísimo se convierte en fallo global.

Efectos de la vulnerabilidad

• Según parece la vulnerabilidad en Android ya existe desde hace cuatro años y permite a un hacker convertir cualquier aplicación legítima y firmada digitalmente en un programa troyano.
• Dependiendo del tipo de aplicación, un hacker puede explotar la vulnerabilidad para cualquier cosa, desde el robo de datos a la creación de una botnet móvil.

Detalle de la vulnerabilidad

• Parece ser que la vulnerabilidad tiene que ver con las diferencias en cómo las aplicaciones de Android están verificadas criptográficamente, lo que permite que un atacante modifique los paquetes de aplicaciones, o APKs, sin romper sus firmas.
• La vulnerabilidad, que existe desde Android 1.6, permite que los atacantes añadan código malicioso a esos APKs ya firmados sin romper sus firmas y afecta a todos los terminales lanzados durante los últimos cuatro años.

Recomendación

• La disponibilidad de actualizaciones de firmware para este problema será diferente dependiendo de los modelos, fabricantes y operadoras
• Google es consciente del problema desde el pasado mes de febrero y ha compartido la información con sus partners. Samsung Galaxy S4, por ejemplo, ya tiene un parche.

Fuente: Innova

‘0Day’ EN VARIAS VERSIONES DE ‘ Windows ’

Publicado un modulo en metasploit que aprovecha una vulnerabilidad 0day de escalada de privilegios local en varias versiones de Windows. Nivel de importancia crítica.

La vulnerabilidad que se utiliza para esta escalada de privilegios es la CVE-2013-3660, conocida desde Mayo de 2013, que afecta a varias versiones de Windows, permitiendo a un atacante acceso de escritura a la cadena PATHRECORD, y por lo tanto, ganar privilegios mediante la activación de un consumo excesivo de memoria paginada.

Recursos afectados

El modulo de metasploit publicado afecta a los siguientes sistemas

• Microsoft Windows 7 Sp1
• Microsoft Windows Server 2003 Sp1
• Microsoft Windows Xp Sp3

Recomendación

• Actualmente no existe ningúna solución oficial a esta vulnerabilidad.

Fuente: INTECO

‘Monroe Electronics DASDEC’ . COMPROMETIDA CLAVE ‘ssh de root’

Mike Davis, investigador de seguridad de IOActive, reportó una vulnerabilidad en appliances Monroe Electronics DASDEC-I y DASDEC-II la cual permitiría obtener la clave SSH de root para el acceso al dispositivo. Catalogada con nivel importancia Alta.

Recursos afectados

• Versiones de software anteriores a 2.0-2 para los dispositivos DASDEC-I
• La misma versión en DASDEC-II si la clave SSH por defecto no ha sido sustituida.

Recomendación

• Monroe Electronics ha liberado una actualización de su software, la versión 2.0-2 la cual solucionaría esta vulnerabilidad.
• Usuarios de DASDEC podrán obtener la actualización DASDEC v2.0-2 contactando con support@digitalalertsystems.com.

Detalle

El firmware (disponible de manera pública) para los dispositivos DASDEC-I y DASDEC-II, utilizados para el envío broadcast de mensajes EAS sobre canales digitales y analógicos, incluían la clave SSH de root que permitiría el acceso remoto al mismo.

Efectos de la vulnerabilbilidad :

• Un atacante que explote dicha vulnerabilidad podría ganar acceso root al dispositivo afectando de esta forma a la confidencialidad, disponibilidad e integridad del mismo.

Más información

Monroe Electronics DASDEC Compromised Root SSH Key

Fuente: INTECO

VULNERABILIDAD EN ‘Alstom Grid MiCOM S1 Agile y S1 Studio Software’

Alstom ha descubierto una vulnerabilidad de autorización incorrecta en la aplicación Alstom Grid MiCOM S1 Agile Software. La empresa ya ha publicado una actualización y ha comprobado que resuelve la vulnerabilidad. Catalogada con nivel de importancia Media

Se debe tener en cuenta que este tipo de dispositivos se encuentra implementado en sectores estratégicos como el abastecimiento de aguas, distribución de energías, salud, etc.

Detalle

• La aplicación MiCOM S1 Software no limita el acceso de los usuarios a los ficheros ejecutables instalados. 

Recursos afectados

• Todas las versiones de MiCOM S1 Agile Software anteriors a la v1.0.3
• Todas las versiones de Legacy MiCOM S1 Studio Software

Efectos de la vulnerabilbilidad :

La explotación de esta vulnerabilidad podría permitir a un atacante local [ no remoto ] con credenciales del sistema y permisos de lectura y/o modificación en el sistema de ficheros MiCOM S1 comprometer la disponibilidad de la aplicación.

Recomendación

• Actualizar a la versión 1.0.3 de MiCOM S1 Agile que corrige el fallo. 

La actualización puede obtenerse de dos maneras:

1. A través del correo electrónico contact.centre@altom.com
2. Solicitándola telefónicamente en el +44 1785 25 0070.

Más información:

ICS-CERT: Alstom Grid S1 Agile Improper Authorization

Fuente: INTECO

VARIAS VULNERABILIDADES EN ‘ Symantec Security Information Manager ‘

Boletín de Symantec que anuncia diferentes vulnerabilidades en Security Information Manager (SSIM) y que podrían permitir inyecciones SQL, ataques XSS, y la revelación de información sensible.

Symantec Security Information Manager ofrece capacidades de recopilación, administración y mantenimiento de registros de toda la empresa que permiten a la organización centralizar y analizar grandes volúmenes de diferentes datos de registros en tiempo real y priorizar las actividades de respuesta a incidentes de seguridad basadas en los riesgos empresariales. 

El equipo de Hacktive Security Research and Development ha descubierto e informado 3 vulnerabilidades que afectan a Symantec Security Information Manager. Son debidas a errores en SSIM Java Console. 

Versiones afectadas

• Versiones de la rama 4.7
• Versiones 4.8 excepto  version  4.8.1 que corrige las vulnerabilidades 

Recomendación

Actualizar urgentemente a la versión 4.8.1 que corrige las vulnerabilidades

Más información:

Symantec Security Information Manager Console Security Issues (SYM13-006)

Fuente: Hispasec

CUAL ES EL COSTE MEDIOAMBIENTAL DE Internet

La infraestructura necesaria para el buen funcionamiento de Internet exige actualmente un 2% de la electricidad consumida en el planeta, según un estudio de la Universidad de Berkeley, y la organización ecologista Greepeace alerta de que la expansión de lo «online» no es gratuita, al menos en términos medioambientales. 

• Greenpeace en su informe de 2012 «¿Cómo de limpia es tu nube?», indicó que Apple obtiene más de un 55% de la energía que utiliza de combustibles fósiles, porcentaje que duplica el de Google (28%) y es notablemente superior al de Microsoft y Facebook (39%).
• Apple en relación al informe anterior, informó que tiene un centro de datos de Oregón que funciona únicamente con energía renovable y además este martes anunciaron la construcción de un centro con paneles solares en Reno para alimentar sus centros de datos.

¿Existe conciencia medioambiental en las grandes empresas de Silicon Valey?.

Los países nórdicos europeos son los destinos favoritos para la implantación de centros de datos.

• El aire frío proveniente de regiones polares se utiliza como refrigerante natural para enfriar los miles de ordenadores conectados en red y permanentemente encendidos que realizan las operaciones de los usuarios en Internet.
• Google se comprometió a financiar la construcción de una planta de energía eólica en Suecia cuya producción irá destinada durante 10 años a permitir el funcionamiento de un centro de datos de Google en Finlandia.
• En el norte de Suecia, cerca de Finlandia, Facebook estrenó en junio «uno de los centros de datos más eficientes y sostenibles del mundo». 

Pero el principal desafío de los centros de datos, es la gestión. 

• Un análisis sobre eficiencia energética encargado a la consultora McKinsey & Company por el diario «The New York Times» concluyó que solo entre un 6% y un 12% de la electricidad gastada por los centros de datos se empleaba en operaciones de computación, el resto se perdía en mantener los aparatos encendidos por si acaso fuesen necesarios sus servicios.

Fuente: www.abc.es

Inyección en la variable ‘GLOBALS’ en ‘phpMyAdmin’

phpMyAdmin ha publicado una actualización para corregir una vulnerabilidad clasificada como grave, de inyección en la variable GLOBALS que permitiría a un atacante manipular cualquier parámetro de configuración de phpMyAdmin. Para aprovecharse de esta vulnerabilidad es necesario disponer de un usuario de phpMyAdmin.

phpMyAdmin es una herramienta escrita en PHP con la intención de manejar la administración de MySQL a través de páginas web, utilizando Internet. Actualmente puede crear y eliminar Bases de Datos, crear, eliminar y alterar tablas, borrar, editar y añadir campos, ejecutar cualquier sentencia SQL, administrar claves en campos, administrar privilegios, exportar datos en varios formatos y está disponible en 62 idiomas. Se encuentra disponible bajo la licencia GPL

Recursos afectados

• Esta vulnerabilidad afecta a sistemas phpMyAdmin desde la  versión 4.0.x hasta la versión 4.0.4. 

Solución, 2 opciones

1. Actualizar a la versión 4.0.4.1 o superior de phpMyAdmin, 
2. Aplicar el parche publicado por phpMyAdmin cuya dirección está debajo

https://github.com/phpmyadmin/phpmyadmin/commit/012464268420e53a9cd81cbb4a43988d70393c36

Fuente: INTECO

Ubisoft SERVIDOR ATACADO Y COMPROMETIDOS DATOS USUARIOS

Los datos extraídos serían: nombres de usuario, direcciones de correo electrónico y las contraseñas de acceso, aunque según Ubisoft, este último dato se almacena cifrado.

Ubisoft Entertainment es un compañía francesa desarrolladora y distribuidora de videojuegos, fundada en 1986

A través de un correo electrónico dirigido a sus usuarios, Ubisoft ha informado de la detección de una intrusión en uno de sus servidores web a través del cual, los atacantes, han tenido acceso a una base de datos con información personal de sus clientes.

Más información:

• Actualización de seguridad respecto a tu cuenta de Ubisoft
• Twitter: Ubisoft
• una-al-dia (05/08/2012) El plugin de navegador de Ubisoft, permite a un atacante ejecutar cualquier programa

Fuente: Hispaset

Cross Site Request Forgery en Cisco WebEx Social

Cisco ha publicado un boletín de seguridad que resuelve una vulnerabilidad de cross-site request forgery (CSRF) en su producto WebEx Social.

Cisco WebEx Social es una plataforma que combina las redes sociales, la creación de contenidos y las comunicaciones en tiempo real. WebEx Social permite compartir información entre profesionales tanto dentro de la misma organización como en diferentes áreas geográficas.

Cisco ha corregido una fallo que afecta a múltiples páginas web de su producto WebEx Social que podrían permitir llevar a cabo ataques de falsificación de petición contra el usuario de la interfaz web.

Versiones afectadas

• A la vulnerabilidad le ha sido asignado el CVE-2013-3392.
• Afecta a Cisco WebEx Social 3.4(1) y versiones anteriores.
• En la versión 3.5(0) ha sido corregido el error.

Solución

• Actualizar a las versiones que tienen corregidos el error

Más información:

• Cisco WebEx Social Cross-Site Request Forgery Vulnerability (CSCuh10405, CSCuh10355):
• Cisco PSIRT, consulte la Política de vulnerabilidad de seguridad de Cisco 

Fuente: Hispasec

LLEGA LA VERSION ‘Skype 4.0’ PARA ‘Android'

Skype 4.0 para Android se parece más a la versión que aparece en Windows Phone 8.

Una importante actualización de Skype para Android ha sido lanzada ayer, que mejora el diseño y la funcionalidad de la aplicación. Las comunicaciones se hacen más eficientes en esta nueva versión. 

Skype ha sido instalado en más de 100 millones de teléfonos inteligentes en todo el mundo. Skype 4.0 ha sido construido desde cero, y está diseñada para hacer más fácil la comunicación con los amigos.

Simplemente toque en un contacto y ver todas las formas en que puede interactuar con sus amigos y familiares, incluyendo las videollamadas, llamadas de voz y mensajería., dijo Derek Snyder en el blog de Skype

Fuente: Zdnet

LIBERADO EL KERNEL Linux 3.10

Ya se puede descargar la versión final del kernel Linux 3.10, que llega con mejoras en la decodificación UVD y la implementación de Bcache.

“En general, en esta versión,“No hay nuevos subsistemas principales en esta ocasión, aunque sí hay nuevas características individuales”, señala el ingeniero de software. 

La mayoría de los parches se refiere a drivers (casi exactamente dos terceras partes), mientras que el resto se divide a partes iguales entre actualizaciones y miscelánea”.

• Así, entre los retoques de esta nueva versión destaca la incorporación de Bcache y mejoras en la decodificación de vídeo UVD. Lo primero implica que la lectura en disco será más rápida a través del almacenamiento en caché SSD; mientras que lo segundo conlleva compatibilidad con los últimos chips Radeon de Advanced Micro Devices, tal y como explica The H.
• Otras características se refieren al soporte para la reciente arquitectura Intel “Haswell” e incrementos varios de rendimiento, eficiencia energética y seguridad.

Los interesados pueden descargar Linux 3.10 desde este enlace.

https://www.kernel.org/

Fuente: Siliconweek

Google ALERTA DEL PELIGRO DE LAS WEBS HACKEADAS

En el último Informe de Transparencia de Google incorpora información sobre navegación segura, el cual analiza hasta 10.000 páginas al día.

El informe muestra que las webs hackeadas son un problema importante, puesto que suponen un 60% de las webs que alojan malware y el 40% se utiliza para ataques de phishing. 

Sitios web comprometidos

• Las webs hackeadas van decreciendo con el paso de los años :

1. 76.000 de junio de 2009.
2. 60.000 en julio de 2012. 
3. 39.247 sitios durante la semana del 9 de junio de 2013

Sitios web atacantes 

• Los sitios dedicados a infectar con malware son mucho menos numerosas:

1. Unos pocos cientos a finales de 2009.
2. A finales de 2012  pasaron de 6.000. 
3. A 9 de junio de 2013, es de 3.891.

Alerta para Administradores de Webs hackeadas

• La nueva información proporcionada por Google alerta a los administradores de si sus sitios han sido hackeados y les da información para ayudarles a solucionar el problema.
• “Indicamos los pasos que hay que seguir para recuperarse de una infección y proporcionamos a los webmasters ejemplos del código específico que se ha insertado en su sitio”, anunció Google.

Fuente: Itespresso

LOS TRES TIPOS DE HACKERS MÁS PELIGROSOS

El proveedor de soluciones de seguridad empresarial WatchGuard ha establecido tres perfiles distintos de hackers en base a los últimos ciberataques ocurridos a gran escala. 

1. Los hacktivistas.- Quieren cambiar el statu quo a base de ataques a páginas gubernamentales y de grandes empresas con actitudes poco éticas o polémicas. Su objetivo principal es el de la ciberprotesta en la mayoría de los casos. Anonymous o Lulzsec se han convertido en los grupos más conocidos y los ataques DDoS en su mayor arma de lucha.
2. Los cibercriminales.-  Estos mercenarios del hacking suelen trabajar para una organización criminal que ha decidido lucrarse sin moverse del sillón. El spam, el click-jacking y el malware son sus principales métodos. Podrás encontrarlos vendiendo listas de datos personales.
3. El hacker funcionario.-. Esta figura trabaja para el gobierno de algún país desempeñando misiones de inteligencia o ciberespionaje, o bien para dañar la infraestructura militar de otro país enemigo. Están en primera línea de batalla de la ciberguerra entre EE.UU y China y podrás encontrarlos picando datos para PRISM.

Fuente: Itespresso

‘LGPWN’ Nuevo exploit para rootear móviles Android de ‘LG‘

El investigador Justin Case, ha publicado recientemente una nueva herramienta para poder 'rootear' terminales Android de la firma taiwanesa LG, basándose en una vulnerabilidad del software pre instalado en todos los modelos afectados.

Detalles del exploit

• La herramienta publicada, denominada LGpwn, se aprovecha de una vulnerabilidad presente en el software que trae de serie el firmware oficial de LG, 'Sprite Backup' de la firma Sprite Software.
• La utilidad de backup presenta una condición de carrera (CVE-2013-3685) que permitiría ejecutar código arbitrario de manera local y según el escenario, sin que el usuario perciba su ejecución. 

Versiones afectadas

Las versiones afectadas serían la 2.5.4105 de Sprite Backup o aquellas que contengan el demonio 'spritebud' versión 1.3.24 y anteriores.

Modelos afectados:

• Los modelos hasta ahora afectados (más de 40 modelos diferentes), pertenecerían a las siguientes familias de LG:
• Lollipop, Mach, Optimus 3D Cube, Optimus 4X HD, Optimus F5, Optimus G, Optimus G Pro, Optimus L7, Optimus L9, Optimus LTE 2, Optimus LTE 3, Optimus LTE Tag, Optimus Vu, Optimus Vu 2, Prada, Prada 3.0

Situación actual contramedidas:

Tanto LG como el fabricante Sprite Software están trabajando en una nueva actualización de su firmware y herramienta respectivamente, que estará disponible próximamente.

Más información

• LGPwn - LG Root Exploit https://github.com/CunningLogic/LGPwn
• LGpwn APK http://t.co/xzHqNKWvdI
• Another LG Root exploit https://plus.google.com/110348415484169880343/posts/Me2yea2PgwE

Fuente: Hispaset

‘NSA’. ESPÍA EL 75% DEL TRÁFICO MUNDIAL EN ‘Internet’

El periódico británico The Guardian ha publicado nueva información que evidencia que el proyecto Prisma, en realidad, abarca la mayor parte del tráfico mundial de datos digitales, dirigiendo gran parte de los meta datos a la Agencia Nacional de Seguridad (NSA) de EEUU.

En los artículos publicados, que hacen referencia a documentos secretos del gobierno estadounidense, lo scuales reproduce íntegramente, se explica la forma en que la NSA comenzó secretamente a acumular datos sobre la correspondencia electrónica de los estadounidenses, poco después de los ataques terroristas del 11 de septiembre de 2001, mediante un programa entonces denominado “Stellar Wind”, o “Viento Estelar”.

Inicialmente, sólo se monitorizaba el correo electrónico intercambiado por estadounidenses. Posteriormente se comenzó a analizar meta datos de telefonía e Internet, cuando al menos una de las partes estuviese físicamente fuera de Estados Unidos, o donde ninguna de las partes fuese ciudadano estadounidense.

Los datos recabados por la NSA incluyen los nombres del destinatario y remitente de correo electrónico, como asimismo las direcciones IP de ambos. 

Los documentos citados por The Guardian sustentan la idea de que la obtención de meta datos de comunicación en Internet no sólo continúa hasta la fecha, sino que su volumen aumenta.

En un comentario sobre uno de los programas de análisis de datos, denominado 1EF y creado a fines de 2012 se escribe: “La solución 1EF permite que más del 75% del tráfico de datos pase a través del filtro. Éste hito no sólo amplió el acceso, sino permitió la identificación, selección y transmisión a los depósitos de la NSA de un mayor volumen de datos”.

Fuente: Diario Tecnológico

Yahoo! ELIMINA SERVICIOS

Altavista, el buscador de referencia Yahoo! anterior a Google, cerrará el 8 de julio. 

Junto a este servicio, se pondrá fin al plugin de búsqueda para navegadores Yahoo Axis (lanzado el año pasado), Yahoo RSS Alerts, que desaparecerá el 1 de julio como Google Reader, y Yahoo! Local API, entre otros.

Altavista se convirtió en el buscador más popular tras su lanzamiento en 1995. Más tarde llegó Google. , y actualmente desde el buscador se realizan unas 61.000 búsquedas diarias frente a las millones del gigante Google.

Marissa Mayer vuelve a realizar una fuerte reforma para 'limpiar' la compañía de los servicios menos populares y potenciar así los más conocidos.

Junto a Altavista, Yahoo! dará de baja los siguientes servicios:

• Yahoo! WebPlayer ( 30 de junio),
• FoxyTunes (1 de julio) 
• Yahoo! RSS Alerts (1 de julio) 
• Yahoo! Neighbours Beta (8 de julio) 
• Yahoo! Stars India (25 de julio) 
• Yahoo! Downloads Beta (31 de julio) 
• Yahoo Local API y Yahoo! Term Extraction API (28 de septiembre).

Más información

Engadget  http://es.engadget.com/2013/06/29/yahoo-cierra-altavista/

Fuente: Europapress

LOS EUROPEOS RECIBEN EL 74% DE VELOCIDAD CONTRATADA DE INTERNET

La Comisión Europea ha demostrado por primera vez con datos que los consumidores reciben una potencia inferior a la contratada. Por término medio, tienen disponible un 74% de lo contratado, aunque la situación varía mucho por países y por tipo de tecnología. 

Son varios los factores que marcan la diferencia. Desde la distancia con la centralita que provee el acceso, cuanto más lejos, más lento, a la saturación de la red por número de usuarios recurrentes.

La banda ancha tradicional arroja las peores cifras, con un servicio que apenas supera el 60% de lo publicitado. 

• España  mejor que la media, con un 66,7% en el caso del ADSL. 
• Reino Unido registra la peor relación entre lo contratado y lo disfrutado (44,7%).
• Eslovaquia (97,1%) y Croacia (94,8%) los mejores.

La tecnología que mejores resultados ofrece es el cable, donde la potencia contratada y la disfrutada se corresponden al 91,9%. España supera también la media  con el 96,4% . 

A medio camino entre el ADSL y el cable se sitúa la fibra óptica, con un 81,2% de cumplimiento. En España también en esta tecnología  supera la media con 87,8%.

El informe también analiza la situación en Estados Unidos y revela que allí, la oferta real se ajusta prácticamente a la anunciada (en un 96%). Sin embargo, la velocidad de descarga en ADSL es inferior a la europea: 5,30 megas en Estados Unidos frente a 7,20 en la Europa comunitaria.

Más allá de lo anunciado, la velocidad de descarga media en todos los países y en todas las tecnologías fue de 19,47 megas por segundo.

En el  caso de velocidad real de descarga, España queda por debajo de la media en todas las tecnologías: 

• 6,92 megas por segundo en ADSL (frente a 7,23 megas de media). 
• 30,4 megas por segundo en cable (frente a 35,1) . 
• 36,06 megas por segundo en fibra óptica (36,96 en la media comunitaria).

En resumen, España ofrece menos velocidad que la media de los países de la UE pero engaña algo menos en la publicidad.

Más información

Informe sobre la calidad de los servicios de banda ancha en la UE (en inglés)

http://ec.europa.eu/digital-agenda/en/news/quality-broadband-services-eu-march-2012

Fuente: El País

NUEVA VERSION DE ‘Ruby’ CORRIGE VULNERABILIDADES REMOTAS

El lenguaje de programación Ruby ha actualizado sus ramas 2.x, 1.9.x y 1.8.x para resolver dos vulnerabilidades remotas que permitirían realizar ataques Man-In-The-Middle o denegaciones de servicio.

La vulnerabilidad CVE-2013-4073, común a todas las versiones indicadas, se debería a un fallo en el cliente SSL encargado de gestionar las conexiones SSL realizadas por las aplicaciones programadas en Ruby, y que permitiría suplantar servidores SSL benignos u oficiales con servidores especialmente manipulados, destinados a usos fraudulentos.

La otra vulnerabilidad CVE-2013-1821, sólo presente en la rama 1.8.x, permitiría realizar una denegación de servicio a través de XML.

Las versiones afectadas que deben ser actualizadas urgentemente son:

• Rama 1.8.x anterior a 1.8.7 p374
• Rama 1.9.x anterior a 1.9.3 p448
• Rama 2.x.x anterior a 2.0.0 p247

Más información:

• Hostname check bypassing vulnerability in SSL client (CVE-2013-4073)
• Entity expansion DoS vulnerability in REXML (XML bomb, CVE-2013-1821)

Fuente: Hispasec

SUPERORDENADOR SOSTENIBLE PARA LAS Islas Canarias

El “Teide HPC” será el segundo más potente instalado en España y funcionará con energía eólica y solar

El segundo superordenador más potente de España funcionará con electricidad procedente de la energía solar y eólica e incluirá con 2.200 procesadores, 17.600 cores y un rendimiento Rmax pico de 350 TeraFlops".

El Instituto Tecnológico y de Energías Renovables (ITER) de Tenerife ha adjudicado finalmente la construcción y explotación sostenible del superordenador Teide HPC.

La empresa adjudicataria Atos destaca que el diseño modular de la instalación hace que el Teide HPC tenga una capacidad de crecimiento casi ilimitada, tanto en número de nodos como en unidades de almacenamiento.

Una de las características de la nueva instalación es su carácter sostenible en materia medioambiental, ya que el consumo energético del superordenador se cubrirá a través de energía procedente de paneles solares y aerogeneradores instalados y gestionados por el ITER para dar servicio al complejo. En cuanto al plan de explotación, la propuesta contempla que la principal fuente de ingresos sea, desde el principio, la prestación de servicios Cloud en la red de la comunidad científica europea, cuyas necesidades de computación son crecientes.

Fuente: Innova

RECORD de velocidad de transmisión a 1,6 terabits por segundo por FIBRA ÓPTICA

Un grupo de investifgadores  ha desarrollado una nueva tecnología de fibra óptica que aumenta el ancho de banda de Internet de forma espectacular y podría permitir a los proveedores de internet ofrecer mayor conectividad y una disminución de la congestión para la transmisión de vídeos en streaming. 

• La técnica consiste en emplear rayos de luz láser con forma de rosca y no en línea recta.
• Descrita en la edición de este viernes de la revista Science, la tecnología se centra en rayos de luz láser con forma de rosca llamados vórtices ópticos, en los que la luz gira como un tornado mientras se mueve a lo largo de la trayectoria del haz y no en una línea recta.

Los vórtices ópticos (también conocidos como impulso angular orbital, u OAM, en sus siglas en inglés) se pensaba que eran inestables en fibra, hasta que el profesor de la Universidad de Boston, en Estados Unidos, Siddharth Ramachandran diseñó recientemente una fibra óptica que puede propagarlos. Junto a Alan Willner, de la Universidad del Sur de California (USC) demostró no sólo la estabilidad de los haces de fibra óptica sino también su potencial para impulsar la banda ancha en Internet.

En los experimentos que aparecen en el artículo de Science, Ramachandran creó una fibra OAM con cuatro modalidades (una fibra óptica tiene normalmente dos), y él y Willner mostró que para cada modalidad de OAM, se podrían enviar datos a través de una fibra de un kilómetro en diez colores diferentes, lo que resulta en una capacidad de transmisión de 1,6 terabits por segundo, el equivalente de la transmisión de ocho discos Blu-ray cada segundo.

Más información

Science

Fuente: Libertad Digital

LINUX domina en supercomputación y WINDOWS en computación personal

De los 500 superordenadores más veloces del mundo, 476 usan LINUX y sólo 3 Windows. También destaca la entrada de los chips de Intel en la lista.

La lista de supercomputación Top500 de junio constata el dominio absoluto de Linux , como sistema operativo, al ejecutarse en los diez primeros puestos.

Sistemas operativos de las lista  Top500:

1. Linux el 95,2 % (475 superordenadores).
2. Unix (con AIX al frente) el 3,2%  ( 16 superordenadores ).
3. Sistemas operativos fusionados 0,8%  (4 equipos).
4. Windows con 0,6 (3 equipos). 
5. BSD 0,2 (1 superordenador ).

Sin embargo en el mundo de los ordenadores personal,  los sistemas operativos de Microsoft ganan la batalla. Según las últimas estadísticas de Netmarketshare del mes de mayo:

1. Sistemas de Microsoft  91,67 %
2. Mac 7,07 %
3. Linux 1,26 %.

Fuente: ZDNET

VULNERABILIDADES EN ‘ Digital Alert Systems DASDEC y Monroe Electronics R189 One-Net ‘

IOActive ha informado de varias vulnerabilidades que afectan a estos dispositivos. La más severa, catalogada de importancia crítica permitiría obtener la clave privada SSH de root . 

Los dispositivos, basados en EAS encoder/decoder (ENDEC) son usados para difundir (broadcast) mensajes EAS sobre canales digitales y analógicos.

Detalle de vulnerabilidades

Los dispositivos Digital Alert Systems DASDEC y Monroe Electronics One-Net E189 Emergency Alert System (EAS) exponen la clave privada SSH de root en su firmware, el cual se encuentra públicamente disponible. Un atacante con acceso SSH a un dispositivo podría usar la clave para hacer login con privilegios de root.

A parte de esta vulnerabilidad también se han encontrado otros fallos de seguridad:

• Identificación de sesión predecible en el servidor web.
• Revelación de información de los logs.
• Generación de contraseñas predecible.
• Contraseñas por defecto.

Impacto de las vulnerabilidades:

• Un atacante con acceso SSH a un dispositivo podría hacer login con privilegios de root.
• Un atacante podría tomar el control de una sesión web de administrador.
• Un atacante podría hacer login en el dispositivo con privilegios de root si se utilizan contaseñas predecibles o por defecto.

Recursos afectados

Dispositivos Digital Alert Systems DASDEC y Monroe Electronics R189 One-Net con un firmware anterior a 2.0-2

Recomendaciónes

• Monroe Electronics and Digital Alert Systems han liberado el firmware 2.0-2 que desactiva la clave SSH comprometida, ofrece una opción de usuario simplificada para instalar nuevas claves únicas, y aplica una nueva política de contraseñas más segura.
• Usuarios de DASDEC pueden obtener la nueva versión del firmware contactando con support@digitalalertsystems.com. Usuarios de R189 One-Net pueden contactar con eas@monroe-electronics.com.

Más información

Vulnerability Note VU#662676 Digital Alert Systems DASDEC and Monroe Electronics R189 One-Net firmware exposes private root SSH key 

http://www.kb.cert.org/vuls/id/662676

Fuente: INTECO

Microsoft AUMENTA LA SEGURIDAD DEL SISTEMA OPERATIVO Windows 8.1

Microsoft incluirá en la próxima versión Windows 8.1, además del deseado botón de inicio, algunas mejoras de seguridad que vamos a revisar

Windows Defender.- Incorpora características mejoradas en una función de cifrado de dispositivos o un control de acceso modernizado, con una buena aproximación a la autenticación por huellas digitales o el acceso seguro a los recursos entre otras mejoras.

• Además incluye monitorización del comportamiento de la red, con el objetivo de detectar y detener la ejecución de cualquier malware conocido o desconocido".
• Y hasta Internet Explorer utilizara el antivirus para escanear extensiones de binarios (p.ej. ActiveX) antes de cualquier ejecución de código potencialmente peligrosa.

Autenticación por huellas dactilares.- También mejora considerablemente y además de servir para autenticarse en el sistema, podrá implementarse para abrir o bloquear cualquier aplicación, configuración, el acceso a determinadas carpetas o para comprar en la Windows Store. Y el soporte se realiza de forma nativa.

BYOD (Bring your Own Device).- Han aumentado el control de dispositivos personales en entornos de trabajo. Se han introducido una funcionalidad que permite el borrado remoto de datos corporativos de cualquier dispositivo Windows, mientras que se dejan intactos los datos personales.

Puede visualizarse una completa presentación sobre la seguridad en Windows 8.1, realizada por Chris Hallum, Product Manager Senior de Microsoft:
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2013/WCA-B370-R#fbid=5HG0m3NiI8z

Actualmente la beta de Windows 8.1 puede descargarse desde:
http://www.preview.windows.com/

Más información:

What’s New For The Enterprise In Windows 8.1
http://blogs.windows.com/windows/b/springboard/archive/2013/06/03/what-s-new-for-the-enterprise-in-windows-8-1.aspx

Fuente: Hispasec

ORDENADORES CUÁNTICOS, FUNDAMENTOS Y EJEMPLOS

Un hipotético ordenador cuántico de sólo 55 qubits superaría en rendimiento de cálculo al superordenador más rápido del mundo ‘Tianhe-2’.

¿ Por qué ocurre ésto ?

• Los ordenadores cuánticos se basan en el extraño comportamiento que la materia tiene a nivel subátomico.
• En la escala cuántica, las partículas se rigen por leyes de la física cuántica y en ese mundo cuántico una partícula puede estar en dos lugares al mismo tiempo. Es más, puede estar en dos estados diferentes a la vez, ya sea como partícula o como onda.
• Los ordenadores actuales trabajan con bits, que pueden tener un valor de 0 ó 1.
• En cambio, en la computación cuántica intervienen las leyes de la mecánica cuántica y la partícula puede estar en superposición coherente: es decir, puede ser 0 ó 1 pero puede ser también un 1 y un 0 al mismo tiempo.
• Tal circunstancia permite que se puedan realizar varias operaciones a la vez, según el número de qubits (bits cuánticos) siguiendo la fórmula (2 elevado 'n' ) , siendo 'n' el número de qubits disponibles.

Veamos algunos ejemplos de la potencia de la computación cuántica:

1.  Actualmente en un registro de 2 bits tenemos hasta 4 valores posibles (00, 01, 10, 11) pero sólo podemos utilizar uno de esos valores al mismo tiempo para realizar una operación. En cambio, si tenemos un vector de 2 qubits, la partícula puede tomar 4 valores distintos a la vez .  
2.  Caso de tener un registro de 3 bits serían, 8 los valores posibles (000, 001, 010, 011, 100, 101, 110, 111) pero seguiríamos pudiendo coger uno sólo. En cambio con un vector de 3 qubits podriamos trabajar gracias a la superposición cuántica al mismo tiempo con los 8 valores posibles y realizar 8 operaciones simultáneas .

Comparación con los superordenadores actuales

• El superordenador más potente del mundo es a junio de 2013 el "Tianhe-2" que tiene un rendimiento de 33,86 petaFLOPS (33.860.000.000.000.000 operaciones con coma flotante por segundo).
• Un hipotético ordenador cuántico de 55 qubits, tendría un rendimiento de 36,03 petaFLOPS (36.028.797.018.964.000 operaciones con coma flotante por segundo ) , superior al superordenador "Tianhe-2", pero claro, siendo un auténtico ordenador cuántico, es decir que todos los qubits trabajasen en paralelo, no como lo hace el ordenador D-Wave.

¿ El D-Ware es un ordenador cuàntico ?

•  Esta nuevo ordenador podría ser considerado como un simulador cuántico más que un ordenador cuántico universal. No realiza computación cuántica universal, ya que no puede hacer operaciones arbitrarias en todos los qubits.
• En el D-Wave One , los qubits se agrupan para operar en unidades 4 × 4, con diferentes conexiones entre ellos. Dispone de 128 qubits, aunque no todos ellos pueden ser utilizados para la informática, ya que algunos están desconectados de sus vecinos. 
• El D-Wave Two, será la siguiente generación y se dice que tendrá 512 qubits, ya veremos su arquitectura.

Opera. ROBAN CERTIFICADO Y PUBLICAN ACTUALIZACIÓN MALICIOSA PARA NAVEGADOR

Opera informó que el 19 de junio sufrió ataque contra su red interna con resultado de robo de un antiguo certificado empleado para firmar código. 

La compañía reconoció que se usó para firmar malware y que incluso miles de usuarios del navegador (durante un periodo de algo más de media hora) han podido recibir una actualización maliciosa de forma automática.

• Actualmente se reconoce la existencia de al menos una muestra de malware firmada con este certificado. 
• A fecha de hoy, según VirusTotal, la detectan 23 de 47 antivirus. 

Recomendaciones:

Opera confirma que liberará una nueva versión del navegador que incluirá un nuevo certificado, por lo que recomiendan encarecidamente que se actualice a la nueva versión tan pronto como esté disponible.

Más información:

Security breach stopped
http://my.opera.com/securitygroup/blog/2013/06/26/opera-infrastructure-attack

una-al-dia (13/02/2013) El ataque a Bit9, malware firmado con certificados y otras conclusiones
http://unaaldia.hispasec.com/2013/02/el-ataque-bit9-malware-firmado-con.html

una-al-dia (30/09/2012) ¿Qué ha pasado con el certificado de Adobe?
http://unaaldia.hispasec.com/2012/09/que-ha-pasado-con-el-certificado-de.html

8ecbca0de44c82d1c7ffced288aa68c1247bb1255693cd1c5747fb6cef394b43
https://www.virustotal.com/en/file/8ecbca0de44c82d1c7ffced288aa68c1247bb1255693cd1c5747fb6cef394b43/analysis/

Fuente: Hispasec

Mozilla CORRIGE 17 VULNERABILIDADES EN Firefox y Thunderbird

Mozilla Foundation ha publicado 14 boletines de seguridad pertenecientes a la nuevas versiones de Mozilla Firefox 22.0 y Thunderbird 17.0.7, en los que corrigen 14 vulnerabilidades. 

Se agrupan en los siguientes niveles :

1. De nivel Crítico, cuatro boletines con 7 vulnerabilidades que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario
2. De nivel Alto: Seis boletines con 6 vulnerabilidades que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario o elevación de privilegios.
3. De nivel Moderado  corrigen 3 vulnerabilidades , en su mayoría saltos de restricciones, queo podría ser utilizado por un atacante remoto para suplantar dominios oficiales mediante nombres de dominio homógrafos, para acceder al mocrofono o webcam y en ataques de tipo 'clickjacking'.
4. De nivel bajo corrigen  1 vulnerabilidad también de salto de restricciones

Recomendaciones

Se recomienda actualizar a las versiones disponibles a través de los canales habituales o mediante las actualizaciones automáticas

Más información:

MFSA 2013-62 Inaccessible updater can lead to local privilege escalation
http://www.mozilla.org/security/announce/2013/mfsa2013-62.html
MFSA 2013-61 Homograph domain spoofing in .com, .net and .name
http://www.mozilla.org/security/announce/2013/mfsa2013-61.html
MFSA 2013-60 getUserMedia permission dialog incorrectly displays location
http://www.mozilla.org/security/announce/2013/mfsa2013-60.html
MFSA 2013-59 XrayWrappers can be bypassed to run user defined methods in
a privileged context
http://www.mozilla.org/security/announce/2013/mfsa2013-59.html
MFSA 2013-58 X-Frame-Options ignored when using server push with
multi-part responses
http://www.mozilla.org/security/announce/2013/mfsa2013-58.html
MFSA 2013-57 Sandbox restrictions not applied to nested frame elements
http://www.mozilla.org/security/announce/2013/mfsa2013-57.html
MFSA 2013-56 PreserveWrapper has inconsistent behavior
http://www.mozilla.org/security/announce/2013/mfsa2013-56.html
MFSA 2013-55 SVG filters can lead to information disclosure
http://www.mozilla.org/security/announce/2013/mfsa2013-55.html
MFSA 2013-54 Data in the body of XHR HEAD requests leads to CSRF attacks
http://www.mozilla.org/security/announce/2013/mfsa2013-54.html
MFSA 2013-53 Execution of unmapped memory through onreadystatechange event
http://www.mozilla.org/security/announce/2013/mfsa2013-53.html
MFSA 2013-52 Arbitrary code execution within Profiler
http://www.mozilla.org/security/announce/2013/mfsa2013-52.html
MFSA 2013-51 Privileged content access and execution via XBL
http://www.mozilla.org/security/announce/2013/mfsa2013-51.html
MFSA 2013-50 Memory corruption found using Address Sanitizer
http://www.mozilla.org/security/announce/2013/mfsa2013-50.html
MFSA 2013-49 Miscellaneous memory safety hazards (rv:22.0 / rv:17.0.7)
http://www.mozilla.org/security/announce/2013/mfsa2013-49.html

Fuente: Hispasec

DETECTAN VIRUS QUE INFECTA DE FORMA SELECTIVA

F-Secure ha descubierto un servidor oculto con malware que infecta de forma selectiva a  smartphones y tablets, ignorando a los PCs.

Cuando se accede al sitio infectado -un buscador de viajes- a través de un PC y se selecciona uno de los resultados, el usuario es redireccionado con normalidad al destino.

Sin embargo, cuando se accede a través de un dispositivo Android el resultado no es el mismo.

La mayoría de las veces el usuario acaba siendo redireccionado a una web en blanco sin ninguna información, aunque en otras ocasiones se puede acabar en un sitio web o en un juego de la página de Google Play.

“En todo caso, a través de este virus se corre el riesgo de que nuestro teléfono móvil sea infectado por algo parecido al troyano FakeInstaller”, escribe F-Secure.

Recomendaciones

Desde F-Secure aseguran que utilizando su antivirus los moviles están protegidos  por el componente de protección de navegación.

Fuente: Diario tecnológico