Actualización para Windows Media

Actualización crítica para el reproductor multimedia Windows Media destinada a resolver dos vulnerabilidades de ejecución remota de código.

• Los dos problemas residen en el tratamiento de archivos .avi especialmente manipulados, y podrían permitir a un atacante remoto conseguir el control del sistema afectado si el usuario abre un archivo .avi malicioso con Windows Media.
• El primero de los problemas corregidos reside en un desbordamiento de enteros en el controlador de ficheros AVI al validar los datos.
• El otro problema corregido consiste en un error en el controlador de cabeceras de ficheros AVI. Cualquiera de los dos fallos podría ser aprovechado por una atacante remoto para ejecutar código arbitrario a través de un fichero .avi especialmente manipulados

Es recomendable actualizar los sistemas afectados mediante:

1. Windows Update
2. Descargando los parches según plataforma desde : http://www.microsoft.com/technet/security/bulletin/ms09-038.mspx

Fuente: Hispasec

D-Link añade CAPTCHA a sus routers de consumo

D-Link anuncia que sus principales routers de consumo incorporarán la tecnología de seguridad CAPTCHA, que supone un nivel superior de seguridad ante ataques procedentes de Internet.

• CAPTCHA, siglas de Completely Automated Public Turing test to tell Computers and Humans Apart (“Test de Turing público y automático de interacción hombre-máquina")
• Y se define como una prueba de tipo “desafío-respuesta" utilizada para determinar cuándo el usuario es o no humano y asegurar que una acción no ha sido generada por un ordenador, sino introducida por una persona.

Fuente: D-link

IBM desarrollará la próxima generación de microchips a partir del ADN humano

De tener éxito, los fabricantes reducirían el coste de fabricación a tan solo un milllón de dólares.

• IBM se encuentra estudiando la posibilidad de desarrollar su próxima generación de semiconductores inspirándose en la estructura de las personas.
• El desarrollo de estos estudios supone un hito dentro de la innovación tecnológica. “Esta investigación muestra que las estructuras biológicas como el ADN humano se pueden aplicar a los procesos como los microchips”, concluye Narayan.
• “Si esta investigación da sus frutos, los fabricantes podrían pasar de gastar cientos de millones de dólares en complejas herramientas a gastar menos de un millón en instrumentos como polímeros o soluciones de ADN”, explica Spike Narayan, director de investigación de IBM.
• Esta investigación, llevada a cabo por el Centro de Investigación de Almaden y por el Instituto californiano de tecnología, podría prolongarse durante un periodo de diez años

Fuente: Silicon News.

La tecnología ayudará a leer la mente

Un grupo de investigadores de la Universidad Politécnica de Cartagena trabaja en un sensor que interpretará el pensamiento humano.

• La universidad murciana trabaja en un sensor que interpretará los impulsos de la mente, es decir, ayudarán a leer el pensamiento humano gracias a un sistema tecnológico de última generación.
• Los usuarios no tendrán que implantarse ningún chip o decodificador en el cerebro: camuflados en un gorro o en un casco, los sensores captarán qué es lo que la persona en cuestión quiere o desea hacer.
• Los principales beneficiarios de esta investigación serán aquellos que sufren de discapacidades neurológicas, que verán como su comunicación se convierte en algo más sencillo.

Fuente: Eweekeurope

La tecnología cuántica creará miniordenadores rapidísimos y potentísimos, con comunicaciones veloces y seguras

En el encuentro celebrado en el Campus de Bizkaia de la UPV/EHU, una treintena de expertos internacionales ha abordado el posible desarrollo de tecnologías cuánticas de la información y la comunicación en sistemas de estado sólido.

• El desarrollo de la tecnología cuántica de información revolucionará las capacidades de cómputo y comunicación futuras, y el intercambio de información con sistemas criptográficos cuánticos seguros.
• Estas capacidades tecnológicas, simplificadas y miniaturizadas en sistemas de estado sólido, conseguirán construir un ordenador cuántico en un chip con una mayor portabilidad y consistencia que los actuales.
• Los ordenadores cuánticos del futuro podrán trabajar a velocidades inimaginables en la actualidad, y las comunicaciones, utilizar el teletransporte cuántico.

Fuente: Oficina de comunicación UPV/EHU

Descubierta vulnerabilidad de 8 años de antigüedad en Linux

Dos investigadores han descubierto un error en el kernel Linux que lleva nada menos que desde 2001 en las distintas versiones de estos desarrollos y por lo que parece es fácil de aprovechar para ganar privilegios de control sobre una máquina con este sistema operativo instalado.

• Julien Tinnes, uno de los encargados del estudio, ha revelado en su blog los detalles del descubrimiento, que afecta a la forma en la que Linux trata algunos protocolos y los punteros a NULL que pueden darse en ciertas situaciones.
• Ese tratamiento provoca que un atacante pueda explotar la vulnerabilidad muy fácilmente, y lo extraño es que los núcleos 2.4 y 2.6 desde mayo de 2001 están afectadas.
• Como indican en MuyComputer, el fallo ha sido ya corregido por Linus Tovalds, y pronto estará disponible en los sistemas de actualización de las distintas distribuciones disponibles en el mercado.

Fuente: My Computer

Actualización de seguridad para Apple Mac OS X v10.5.8

Esta es la tercera gran actualización del año (con el código 2009-003/Mac OS X v 10.5.8).

• Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X que solventa 18 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto con diversos efectos.
• Los componentes y software afectados son: bzip2, CFNetwork, ColorSync, CoreTypes, Dock, Image RAW, ImageIO, Kernel, launchd, login Window, MobileMe, Networking y XQuery.
• Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde: http://support.apple.com/downloads/

Fuente: Apple

RSA lanza software de autenticación para iPhone

RSA ha anunciado la disponibilidad de su software SecurID Token para dispositivos iPhone, lo que permite que un teléfono iPhone pueda ser utilizado como un autenticador RSA SecurID, dotándole de una autenticación de doble dígito para aplicaciones de empresas.

• RSA SecurID Software Token para iPhone está creado para generar una contraseña que cambia cada 60 segundos, permitiendo un acceso seguro a las aplicaciones y recursos de la compañía.
  
• Esta solución complementa la actual gama de dispositivos de autenticación de RSA, ofreciendo a sus clientes la oportunidad de elegir la manera en la que quieren asegurar las identidades en un sistema, fuente o información teniendo en cuenta el riesgo y los costes.
• Este software puede ser descargado desde el App Store sin coste y la aplicación se instala fácilmente en el iPhone.

Fuente: RSA

Errores en NSS permiten hacer spoofing de un certificado SSL.

Descubiertas varias vulnerabilidades en la librería NSS que permiten suplantar un certificado digital y ejecutar código arbitrario.

NSS es una librería multi-plataforma usada para habilitar servicios de cifrado. NSS soporta SSL v2 y v3, TLS, certificados X.509 v3, y un largo etcétera. NSS usa una triple licencia, Mozilla, GPL y LGPL.

1. El primero de los fallos es por no validar correctamente los datos de un certificado; en concreto cuando el valor CN de X.509 es nulo.
2. El segundo de los errores ha sido causado por usar certificados basados en MD2.
3. Y el tercer error está en el analizador de expresiones regulares de NSS que provoca un desbordamiento de memoria intermedia basado en heap.

Para poder explotar esta vulnerabilidad el certificado deberá estar firmado por una entidad confiable; de no ser así, antes de producirse este fallo debería de pedirse autorización al usuario que valide el certificado.

Fuente: Hispasec

Ejecución remota de código a través de Libtiff en Solaris

Sun ha anunciado la existencia de diversas vulnerabilidades en LibTIFF de Sun Solaris 8, 9, 10 y OpenSolaris que pueden ser aprovechadas por atacantes para lograr la ejecución de código arbitrario.

• La librería LibTIFF usada para leer y escribir imágenes en formato tiff se utiliza habitualmente en sistemas UNIX.
• Existen errores de desbordamiento de memoria intermedia en las funciones "LZWDecode", "LZWDecodeCompat" y "LZWDecodeVector" de "tif_lzw.c" al decodificar datos comprimidos con LZW.

Sun ha publicado las siguientes actualizaciones para corregir este problema:

a) Para plataforma SPARC ( Solaris 10 ) aplicar parche 119900-07 o superior:

1. http://sunsolve.sun.com/pdownload.do?target=119900-07&method=h
2. OpenSolaris compilación snv_99 o posterior.

b) Para plataforma x86 ( Solaris 10 ) aplicar parche 119901-07 o superior:

1. http://sunsolve.sun.com/pdownload.do?target=119901-07&method=h
2. OpenSolaris compilación snv_99 o posterior.

(*) Está pendiente la publicación de parches para Solaris 8 y Solaris 9.

fuente: Hispasec

Vulnerabilidad de Cross-Site Scripting en IBM Tivoli Identity Manager

Se ha anunciado una vulnerabilidad en IBM Tivoli Identity Manager 4.6 por la que un atacante remoto podría construir ataques de cross-site scripting.

El problema, del que no se han facilitado detalles, reside en un error en la interfaz de autoservicio que podría ser aprovechado por un atacante remoto para lograr la ejecución de código script arbitrario.

Existen actualizaciones disponibles en:

1. ftp://ftp.software.ibm.com/software/tivoli_support/patches/patches_4.6.0/4.6.0-TIV-TIM-IF0093/4.6.0-TIV-TIM-IF0093.zip

Fuente: Hispasec

EyeOS, el Linux del cloud computing

Hace 4 años Marc Cercós y Pau García-Milá, crearon un programa informático para "solucionar una pequeña necesidad" común: poder acceder a sus archivos desde otro ordenador.

• En la actualidad, este escritorio virtual bautizado como EyeOS cuenta con más de 400.000 usuarios en todo el mundo, está traducido a 35 idiomas, y ha sido designado proyecto del mes por Sourceforge, donde sólo una idea española lo había conseguido antes.
• EyeOS lanzará su versión 2.0 el 1 de enero de 2010 "tras más de un año de desarrollo", anunció ayer en el marco de Campus Party Valencia Pau García-Milá, quién explicó que la compañía ha decidido renovar su página web y su logo para celebrar su cuarto aniversario.
• Es un programa de software libre, que nació el 1 de agosto de 2005 y que te permite tener tu escritorio centralizado en la Web y utilizarlo desde cualquier ordenador o teléfono móvil.

Dirigido al público en general, en la actualidad, enfocamos nuestro programa a cuatro mercados:

1. la educación, donde la Generalitat ha instalado eyeOS en más de 2.500 escuelas públicas;
2. la Administración pública (redes de bibliotecas, ayuntamientos, telecentros, etc),
3. como marca blanca a los proveedores de acceso a Internet
4. y, por último, a las pymes. Parece que la Administración está haciendo una fuerte apuesta por el software libre...

Laa nueva versión de eyeOS, que estará disponible a partir del 1 de enero de 2010. Sus características más destacadas serán:

1. Tener un escritorio totalmente renovado,
2. una 'social bar' orientada a colaborar de una manera fácil con los demás usuarios,
3. nuevas aplicaciones
4. y mejoras en la sincronización, entre otros avances.

Fuente: ABC

Detenidas 60 personas por piratear la señal de canales digitales de televisión de pago

Se trata de la primera detención en Europa de dos administradores de un portal web que efectuaba uploading (subida de contenidos a la Red), sobre todo de partidos de fútbol

• Un total de 60 personas han sido detenidas por piratear la señal de canales digitales de pago, según ha comunicado la Policía Nacional.
• Entre los arrestados hay presidentes de comunidades de vecinos, directores de hoteles, propietarios, administradores mercantiles y comerciantes.
• El valor del fraude asciende a varios millones de euros.
• Entre el material intervenido hay 851 descodificadores, 1.321 tarjetas smart-card, 92 unidades (moduladores, amplificadores, ordenadores, teléfonos y otro instrumental para la comisión del fraude) y numerosa documentación.

Fuente: El Pais

Dos vulnerabilidades de denegación de servicio en dispositivos Cisco IOS.

Cisco confirmó dos vulnerabilidades de denegación de servicio en sus productos Cisco IOS cuando manejan determinadas actualizaciones BGP (Border Gateway Protocol .

• El primero de los problemas reside en un error al procesar mensajes de actualización BGP no conformes.
• La segunda vulnerabilidad consiste en un error de corrupción de memoria al procesar actualizaciones BGP con segmentos de nombres de ruta de AS (sistemas autónomos) compuestos por más de mil sistemas.
• En ambos casos las vulnerabilidades solo afectan a dispositivos configurados para enrutamiento BGP.
• Cisco, ha puesto a disposición de sus clientes software para solucionar el problema en el sitio: http://www.cisco.com/public/sw-center/sw-usingswc.shtml

Fuente: Hispasec

Fallo en el software de centralitas telefonicas Asterisk.

Se ha detectado una vulnerabilidad de seguridad en el software para centrales telefónicas Asterisk.

• Dicha falla aparece al procesar el protocolo RTP (Real-time Transport Protocol), provocando una referencia a puntero nulo, lo cual podría ser explotado por un atacante remoto.
• Las versiones afectadas por este inconveniente son las de la rama 1.6.x de Asterisk.

Fuente: Hisapsec.

Entra en funcionamiento el nuevo cable submarino intercontinental

Entra en fase operativa cable submarino intercontinental, una superautopista digital entre África, Europa y Asia.

• SEACOM anuncia que su proyecto ha entrado en funcionamiento, el nuevo cable submarino que conecta el este y sur de África con las redes de comunicaciones de alta capacidad.
• Este cable intercontinental de 17.000 kilómetros de fibra óptica enlaza con la red paneuropea de Interoute desde su llegada a tierra en Marsella (Francia) y facilita así el acceso de los países africanos a los principales centros de negocios de Europa y al resto del mundo.
• El acuerdo también permite a Interoute y SEACOM generar nuevas oportunidades de negocio para las compañías de telecomunicaciones y empresas en esta zona geográfica y atender la creciente demanda de ancho de banda, que se ha disparado un 1.062% en los últimos ocho años, según datos de Internet World Stats.

Fuente: SEACOM

Fallo de seguridad en los servidores ISC BIND 9

Se ha encontrado un fallo de seguridad en la función "dns_db_findrdataset", localizada en el archivo fuente "db.c", que podría ser aprovechado por un atacante remoto sin autenticar para causar una denegación de servicio .

• El fallo según parece, está siendo activamente explotado y aunque solo afectaría en exclusividad a servidores configurados como maestros, la vulnerabilidad persiste en aquellos servidores maestros aunque no tengan configuradas las actualizaciones dinámicas.
• BIND 9 es el servidor DNS más extendido en Internet que fue creado originalmente por cuatro estudiantes de la universidad de Berkeley (California), en los años 80.
• Actualmente es mantenido por el consorcio ISC.
• El fallo fue publicado el 28 de julio y ya se dispone de una actualización.

Fuente: Hispasec

Demuestran vulnerabilidad SMS en los iPhone de Apple

La compañía fue informada de la vulnerabilidad hace 6 semanas y aún sabiendo que sería demostrada en la conferencia Black Hat, ayer día 30, por Charlie Miller la compañía no ha solucionado la misma, por lo que están afectados los millones de terminales que Apple que hay en el mercado, hasta que lancen finalmente la versión de firmware 3.1.

• El 3 de Julio informamos en este mismo Blog del problema de seguridad vía SMS del que sufría el sistema operativo iPhone OS 3.0 y pese a la gravedad del mismo Apple aún no ha lanzado solución al mercado.
• Como ha sido demostrada la vulnerabilidad en la conferencia Black Hat, ya es posible reproducir el mismo tipo de ataque contra cualquier iPhone.
• Appleen este caso va con retraso con la actualización de firmware, que aunque está al llegar, es tarde.

Fuente: Information Week

Los nuevos tiempos llegarán también a los discos musicales de la mano de Apple

El proyecto, apodado Cocktail, podría presentarse en Otoño.

• El nuevo formato de álbum digital que reunirá canciones, vídeos, libretos digitales, entrevistas con los artistas e información interactiva para hacerlo más atractivo.
• Según el diario que ha revelado esta información, The Financial Times, Apple mostrará el nuevo formato en otoño.
• El nuevo producto está destinado a seguidores de los artistas que estén dispuestos a gastar más de 10 euros en uno de estos sofisticados álbumes.
• Para su uso, además, Apple está trabajando, con su secretismo habitual, en un nuevo ordenador:

1. Se trata de un portátil táctil, una suerte de iPhone de grandes dimensiones y sin servicio telefónico, con la capacidad de un MacBook..
2. Esta novedosa tableta (como se llama al ordenador táctil) podría servir también de reproductor portátil de películas y contenido multimedia.

• Después de que revolucionara el sector de la música portátil y de la telefonía, Apple podría alterar para siempre el de los portátiles.

Fuente: El País

Vulnerabilidad en Mac que podría poner al descubierto datos cifrados

Un experto de seguridad de Mac ha revelado una técnica que los hackers podrían utilizar para controlar los ordenadores de Apple y robar los datos que están escondidos a la vista de los ladrones.

• Durante el último año se han identificado al menos tres virus desarrolladores para la plataforma de Apple.
• El más sofisticado se expande a través de copias pirateadas de iWorks y permite al hacker controlar totalmente el ordenador infectado.
  
• Otro virus es el OXXPuper, que se extiende en páginas web infectadas y que pide al usuario que se descargue lo que afirma que es un reproductor de vídeo que realmente es un malware.
• La técnica que Dai Zovi presentó ayer mismo, denominada Machiavelli, sólo funciona en máquinas que ya han sido víctimas de los ciberdelincuentes y lo que puede hacer es controlar el navegador Safari y robar los datos cifrados de las cuentas bancarias de los usuarios.

Fuente: Black Hat