IBM WebSphere Application Server MÚLTIPLES VULNERABILIDADES

Anunciadas múltiples vulnerabilidades en IBM WebSphere Application Server (versiones 6.1, 7, 8 y 8.5) que podrían permitir a un atacante remoto obtener información sensible, realizar ataques de cross-site scripting o denegaciones de servicio.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Recomendaciones

1. Para WebSphere Application Server 8.5 a 8.5.0.2 se recomienda instalar el Fix Pack 8.5.5 (8.5.5.0) o posterior.
2. Para WebSphere Application Server 8.5 a 8.5.5.0 se recomienda instalar el Fix Pack 8.5.5.1 (8.5.5.1) o posterior (disponible el 28 de octubre de 2013).
3. Para WebSphere Application Server 8.0 a 8.0.0.6 se recomienda instalar el Fix Pack 7 (8.0.0.7) o posterior.
4. Para WebSphere Application Server 7.0 a 7.0.0.27 se recomienda instalar el Fix Pack 29 (7.0.0.29) o posterior.
5. Para WebSphere Application Server 6.1.0 a 6.1.0.45 se recomienda instalar el Fix Pack 47 (6.1.0.47) o posterior (disponible a mediados de septiembre de 2013).

Más información:

• Múltiples vulnerabilidades en IBM WebSphere Application Server  http://unaaldia.hispasec.com/2013/08/multiples-vulnerabilidades-en-ibm.html
• Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 8.0.0.7 http://www-304.ibm.com/support/docview.wss?uid=swg21644047

Fuente: Hispasec

ZEUS. Malware para crear “seguidores y likes" Falsos en Instagram

Hasta cinco veces más cotizan los seguidores inventados y “me gusta” falsos, que los números de tarjetas de crédito robados en los bajos fondos de la Red. 

La influencia de los medios sociales en el prestigio de personas y marcas, están haciendo que los ciberdelincuentes reinventen sus armas para obtener beneficios.

Como el malware Zeus, utilizado para robar datos de tarjetas de crédito y ahora, una vez modificado, es capaz de crear en Instagram falsos “me gusta”, que se venden en lotes de 1.000, por 30 dólares el paquete.

La misma cantidad de seguidores ficticios se puede adquirir por 15 dólares. Sin embargo, 1.000 números de tarjeta de crédito se pueden comprar por 6 dólares.

Según los expertos, esta variante de Zeus es la primera pieza de software malicioso descubierta hasta la fecha, empleada para publicar falsos “me gusta” en una red social.

Los equipos infectados estarían emitiendo preferencias de usuario falsas, gobernados por un ordenador central. 

Motivos para pagar por falsos seguidores

• Por extraño que parezca, que falsear los medios sociales cotice más que números de tarjetas de crédito reales,  lo cierto es que los expertos en mercadotecnia aseguran que hay personas dispuestas a gastar dinero en hacerse notar en la Red, bien por beneficio personal o comercial. 
• También hay que tener presente que el empleo de un número de tarjeta robado está tipificado como delito y el seguimiento ficticio por el momento no lo es.

Más información

Reuters  http://www.reuters.com/article/2013/08/16/us-instagram-cyberfraud-idUSBRE97F0XD20130816

Fuente: Genbeta

Windows XP GRAVE PROBLEMA DE SEGURIDAD EN 2014

Microsoft alerta a los usuarios de Windows XP del mundo entero, que el soporte del sistema operativo finalizará en abril de 2014.

Microsoft dejará de publicar actualizaciones  para Windows XP, incluyendo parches de seguridad a partir del 8 de abril del próximo año.

La advertencia de Microsoft implica elegir entre : a) Actualizar a una versión posterior de Windows;   b) Aceptar que el sistema quede expuesto a intrusiones de todo tipo.

La lógica es simple:  los hackers tendrán acceso directo al sistema operativo desarticulando futuras actualizaciones de seguridad para versiones posteriores de Windows, y luego empleándolas contra XP.

“A partir de abril de 2014, los hackers intentarán detectar agujeros de seguridad en Windows XP, basándose en los parches para versiones posteriores de Windows. En caso que tales vulnerabilidades sean explotables, los usuarios se enfrentan a un gran riesgo, debido a que en Microsoft no las corregiremos”.

La explicación ha sido publicada por Tim Rain, ingeniero de Microsoft, en un artículo publicado en el blog oficial de la empresa bajo el título “El riesgo de utilizar Windows XP después que caduque el soporte en abril de 2014″.

A partir de esa misma fecha, el navegador Internet Explorer 6, que para entonces tendrá 12 años, también pasará a la cartera de productos desatendidos por Microsoft. Actualmente, Internet Explorer 6 es utilizado por el 6% de los usuarios de Internet en todo el mundo.

Estadísticas  uso Sistemas Operativos a Julio de 2013 según  NetApplications.

1. Windows XP es utilizado por el 37,17% de los usuarios  
2. Windows 7 lo utilizan 44,49%,
3. Windows 8 con el 5,40%,
4. Windows Vista, con el 4,24%,
5. OS X 10.8, con el 3,28%
6. Otros sistemas operativos que se reparten el 5,40%

Más información

Blog Microsoft  http://blogs.technet.com/b/security/archive/2013/08/15/the-risk-of-running-windows-xp-after-support-ends.aspx

Fuente: Diario Tecnológico

Cisco IOS XR Vulnerabilidad de Denegación de Servicio Local

Cisco anunció la vulnerabilidad (CVE-2013-3464) de denegación de servicio local que afecta a todos los dispositivos con Cisco IOS XR al enviar determinados mensajes ICMP.  

Impacto de la vulnerabilidad

Esta vulnerabilidad podría permitir a un usuario autenticado, atacante local, provocar una recarga del dispositivo afectado generando localmente algunos mensajes del Protocolo de mensajes de control de Internet (ICMP). 

Recomendación

• No se han publicado actualizaciones para este vulnerabilidad 
• Para obtener información adicional acerca de las publicaciones de Cisco PSIRT, consulte la Política de vulnerabilidad de seguridad de Cisco en http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html 

Más información:

Cisco IOS XR Internet Control Message Protocol Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3464

Fuente: Hispasec

Oracle BI Mobile App Designer. NUEVA HERRAMIENTA DE DISEÑO

La compañía ha anunciado Oracle BI Mobile App Designer, una nueva herramienta de diseño con la cual los usuarios de negocio pueden fácilmente crear interactivas aplicaciones analíticas para ser usadas en cualquiera de los principales dispositivos móviles.

Funcionamiento de la Aplicación

• Un simple diseño de interfaz, basado en browser, de arrastrar y soltar permite a los usuarios de negocio combinar datos, textos, imágenes, gráficos visuales y tablas de multiples fuentes y crear aplicaciones móviles analíticas a medida de sus líneas de negocio.
• Sin necesidad de instalar nada más, crear aplicaciones móviles analíticas profesionales resulta tan fácil como trabajar con herramientas comúnes de productividad de oficina.

Ventajas competitivas

• Los usuarios de negocio pueden obtener instantanéamente una vista previa de sus aplicaciones móviles a través de un simulador móvil basado en web, o simplemente leer un código QR para ejecutar una aplicación al instante en sus dispositivos móviles.
• Además, pueden colaborar y compartir fácilmente las aplicaciones de nueva creación a través de una biblioteca de aplicaciones, la cual sirve como repositorio de aplicaciones móviles analíticas para que los usuarios puedan suscribirse y recibir actualizaciones automáticas, lo que garantiza que los usuarios de la organización están accediendo a la información más actualizada.
• Con el simple gesto de rozar, el análisis interactivo permite a los usuarios finales explorar visualizaciones que les permiten obtener información valiosa directamente desde sus dispositivos móviles. Los usuarios pueden analizar las oportunidades de venta y previsiones, los libros de perfiles de clientes actuales y efectuar un seguimiento del inventario en cualquier momento y lugar.

Configuración de Oracle BI Mobile App Designer

• Las aplicaciones creadas con el diseñador Oracle BI Mobile App se ejecutan usando HTML5 sobre smartphones y tablets iOS, Android, y Windows Mobile. La representación automática para diferentes tamaños de pantalla asegura la visualización óptima con una escritura única, ejecutada en cualquier modelo.
• El diseñador de aplicaciones Oracle BI Mobile App es un componente integral de Oracle Business Intelligence Foundation Suite, y también está disponible con la opción Oracle BI Mobile para Oracle BI Enterprise Edition. 

Más información

• Oracle Business Intelligence Mobile App Designer http://www.oracle.com/us/solutions/business-analytics/business-intelligence/mobile/mobile-app-designer/overview/index.html
• MCPRO http://www.muycomputerpro.com/2013/08/20/oracle-bi-mobile-app-designer/?ModPagespeed=noscript

Fuente: Diario Tecnológico

Protocolo Universal de Sixnet CÓDIGOS DE FUNCIÓN NO DOCUMENTADOS

Los sistemas RTU de Sixnet tienen funciones no documentadas en el protocolo universal utilizado para la comunicación a la estación central. La vulnerabilidad se ha catalogado con nivel crítico.

Detalle de la vulnerabilidad

• Existen seis funciones no documentadas en el protocolo universal utilizado en productos RTU de Sixnet que permitirían a un atacante obtener descriptores de archivo y tamaños, leer y escribir en archivos, crear nuevos o abrir un shell en el equipo de destino para la ejecución arbitraria código.

Impacto en el Sistema de la vulnerabilidad

• Esta vulnerabilidad puede ser aprovechada disponiendo de acceso a la red donde se encuentran los dispositivos, y un atacante podría utilizar esta vulnerabilidad sin necesidad de estar autenticado en el dispositivo.

Recursos afectados

Productos Sixnet afectados :

1. Versiones anteriores a UDR 2.0
2. RTU firmware anterior a la versión 4.8

Recomendación

• Sixnet ha publicado nueva versión del firmware RTU v4.8, que añade autenticación que puede descargarse desde http://www.sixnet.com/department/automation-devices-software-firmware-180.cfm
• El fabricante también recomienda contactar con el soporte por medio del telefono (518) 877-5173 ó por el email support@sixnet.com

Más información

• Aviso del ICS-CERT: ICSA-13-231-01 http://ics-cert.us-cert.gov/advisories/ICSA-13-231-01

Fuente: INTECO

BIND 9 Deficiencia en Algoritmo SRTT Acelera Envenenamiento Caché DNS

Los investigadores Jonathan Kalechstein, Gabi Nakibly y Roee Hay presentaron  en la conferencia USENIX WOOT 13 de Washington un nuevo método para forzar en BIND la elección de servidor de nombres manipulando remotamente los valores de la caché SRTT. . ISC anuncia que el algoritmo será reimplementado para subsanar el fallo.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND tiene licencia BSD y se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

Envenamiento de caché DNS

• Los ataques de envenenamiento de caché DNS tratan de engañar al resolvedor de nombres de dominio para que guarde un registro de recursos incorrectos o inválidos.

Impacto en el Sistema de la vulnerabilidad

• Como consecuencia principal, acelera un posible ataque de envenenamiento de la caché del DNS. Ya que el atacante elimina uno de los valores que se deben averiguar para que la respuesta falsificada del atacante sea tomada por válida.
• Por otro lado, si fuerza el tráfico por una ruta donde lo esté capturando mediante un ataque hombre en el medio puede ver las peticiones DNS, y por tanto los valores aleatorios de estas. Con estos valores, puede construir una respuesta y suplantar al servidor legítimo.
• Otra opción es forzar el tráfico DNS no hacia un servidor que controlemos, si no hacia uno sobre el que queramos realizar una denegación de servicio.

Recursos afectados

• El fallo, que afecta a las versión 9 de BIND sea en configuración autoritativa, recursiva o híbrida, ya ha sido reconocido por ISC.
• El algoritmo será reimplementado en futuras versiones de BIND.

Más información:

• Subverting BIND's SRTT Algorithm . Derandomizing NS Selection  https://www.usenix.org/system/files/conference/woot13/woot13-hay.pdf
• Subverting BIND’s SRTT Algorithm: Derandomizing NS Selection [blog] http://securityintelligence.com/subverting-binds-srtt-algorithm-derandomizing-ns-selection/
• Deficiencia en el algoritmo SRTT acelera el envenenamiento de caché DNS en BIND 9 http://unaaldia.hispasec.com/2013/08/deficiencia-en-el-algoritmo-srtt.html

Fuente: Hispasec

FACEBOOK. Descubierta nueva vulnerabilidad pero ‘Joshua’ no paga

Khalil Shreateh, especialista en tecnologías de la información, descubridor de la vulnerabilidad, ha demostrado el fallo por medio del perfil en Facebook de su propio fundador, Mark Zuckerberg, después de ser ignorado por el equipo de seguridad de la red social.

Esta vulnerabilidad permite a cualquier persona publicar en la página de un usuario de Facebook, independientemente de si éste es su amigo en la red social o no. 

Según informa CNET, Shreateh informó del bug a través del servicio de divulgación de seguridad de Facebook, Whitehat, que ofrece una recompensa mínima de 500 dólares para los que descubran errores legítimos.

Sin embargo, un ingeniero de seguridad de Facebook respondió a Shreateh con una escueta nota: “Lo lamento, esto no es un error”.

En vista de ello, Shreateh decidió compartir su experiencia con Zuckerberg mediante la publicación de un comentario en el muro página del fundador de Facebook, en el que se disculpó por el mensaje pero dijo que “no tenía otra opción”.

En cuestión de minutos, Shreateh fue contactado por un miembro de seguridad de Facebook pidiendo información sobre el exploit. Shreateh observó que su cuenta de Facebook había sido desactivada rápidamente. Según un ingeniero de seguridad, se hizo como “medida de precaución”.

Dicho ingeniero, identificado como “Joshua”, informó a Shreateh de que no iba a recibir una recompensa por informar de la vulnerabilidad, ya que había violado los términos del sitio.

“La explotación de los errores que afecten a usuarios reales no es un comportamiento aceptable para Whitehat”, explicó Joshua, quien, no obstante, invitó a Shreateh a “seguir sigue trabajando con nosotros para encontrar vulnerabilidades en el sitio”.

Seguramente esta última invitación llevará implicita un nuevo rechazo al pago de la recompensa con cualquier otra disculpa que a buen seguro no excusará el sinfín de fallos y vulnerabilidades descubiertas en esta red social desde su puesta en servicio.

Fuente: ITespresso

PRESENTADA Herramienta para escanear todo Internet en 44 minutos

Científicos de la Universidad de Michigan, Estados Unidos, han presentado una nueva herramienta de código abierto denominada Zmap, que tienen la capacidad de planear prácticamente toda Internet en 44 minutos.

En su descripción del proyecto, los científicos dicen haber utilizado una conexión de 1 Gbps, mientras que el software es ejecutado en un servidor único.

Otro grupo Electronic Frontier Foundation (EFF) necesitó dos meses al realizar un estudio similar en 2010 (descargar documento PDF ). En este caso, EFF utilizó el escáner de puertos Nmap, distribuido en tres servidores.

Zmap utiliza la denominada inspección “stateless”, que implica que el sistema resta importancia a recordar las direcciones IP que están siendo contactadas. En lugar de ello, incorpora código en los paquetes de datos transmitidos, que permiten a la herramienta identificar posteriormente las respuestas recibidas.

Este procedimiento implica que, según los científicos responsables del proyecto, Zmpap es 1300 veces más rápido que Nmap.

Además aseguran que su herramienta detecta un mayor número de resultados que Nmap.

Más información

ZMAP https://zmap.io/

Fuente: Diario Tecnológico

WHATSAPP Arreglos y Desarreglos pendientes de Resolver

WhatsApp ya envía los mensajes cifrados entre dispositivo y servidor pero aún es posible acceder a los datos de WhatsApp a través de la tarjeta SD.

El Centro de Seguridad TIC de la Comunidad Valenciana (CSIRTCV), publicó el pasado mes de junio una guía para conocer mejor la aplicación de WhatsApp y cómo usarla con seguridad.

Fallos de seguridad resueltos

Una actualización reciente, ha resuelto el problema de cifrado de las comunicaciones. Antes, la aplicación enviaba mensajes sin encriptar. 

• Desde el CSIRTCV indican que ahora se utilizan el IMEI o la MAC (códigos que identifican cada teléfono) como contraseñas para el cifrado, si no que "se usa el protocolo SSL para la comunicación entre el servidor de WhatsApp y el smartphone", es decir, un protocolo criptográfico para realizar conexiones seguras entre cliente y servidor.

Agujeros de seguridad en WhatsApp pendientes de resolver

Los datos de coordenadas enviados si se tiene activado el GPS y todos los mensajes enviados y recibidos con la aplicación de mensajería, aunque se borren, quedan almacenados en en una pequeña base de datos de la tarjeta Micro SD. 

1. La tarjeta aunque está cifrada, pero como el código es conocido, en caso de conseguir el Micro SD de un teléfono, algunos programas  pueden revisar las conversaciones, después de descargarlas en un ordenador y analizarlas.
2. La clave de cifrado de la información de WhatsApp almacenada en la memoria del teléfono es la misma para todos los dispositivos (a excepción de Blackberry). Mediante servicios como recovermessages , es posible recuperar los mensajes enviando la base de datos cifrada, rematan desde el CSIRTCV.
3. Por otra parte, la propia aplicación hace una copia de seguridad en la base de datos interna del dispositivo cada 24 horas, por lo que es posible recuperar conversaciones borradas. 
4. Además sería posible recuperar registros borrados de la base de datos mediante técnicas forenses.

Consejos para usar WhatsApp con seguridad

• Ante todo se debe evitar enviar información confidencial a través de WhatsApp.
• Desde el Centro de Seguridad TIC subrayan que es importante que los usuarios sean conscientes de que "todas las conversaciones y contenido que se envíe a través de WhatsApp, están siendo gestionadas por un tercero. Por  tanto se debe evitar enviar información confidencial" como claves, números de cuenta o información que pudiera dañar la imagen personal.

Más información

• Guia para comocer mejor WhatsApp
• Blog Un informático en el lado del mal

Fuente: Rtve.es

INTEL Conector Óptico a 1,6 Tbps

Intel presentará una nueva tecnología de interconectores de alta velocidad para servidores en su conferencia IDF, que se celebrará entre los días 10 y 12 de septiembre en San Francisco.

Interconectores de alta velocidad para servidores

• Intel en colaboración con Corning Cable Systems, ha desarrollado un conector a base de fotónica de silicio y la tecnología de fibra ClearCurve LW que ha sido bautizado como MXC o “la próxima generación de conector óptico”.

Características principales del MXC

• La velocidad que es capaz de alcanzar, hasta 1,6 Terabits por segundo.
• El espacio que ocupa que se ha reducido bastante.

Intel ha explicado que la tecnología actual de interconexión de servidores es de hace varias décadas, lo que la ha llevado a investigar para obtener dispositivos que permitan transferencia de datos a mayor velocidad.

Fuente: Silicon Week

KEPWARE TECHNOLOGIES Validación de entrada inapropiada

El controlador maestro DNP de Kepware Technologies para la Plataforma de Comunicaciones KEPServerEX realiza una inapropiada validación de entrada en el puerto 20000/TCP. La vulnerabilidad ha sido catalogada con nivel alto de importancia.

Recursos afectados

• El controlador maestro DNP para la plataforma de comunicaciones KEPServerEX v5.11.250.0

Impacto de la vulnerabilidad en el sistema

• Esta vulnerabilidad puede ser aprovechada de forma remota y un atacante podría utilizar esta vulnerabilidad para causar una denegación de servicio.

Recomendación

• Kepware Technologies ha publicado la versión 5.12.140.0 para solucionar esta vulnerabilidad.
• Esta versión puede descargarse desde https://my.kepware.com/mykepware/Login.aspx

Más información

• Aviso del ICS-CERT: ICSA-13-226-01 http://ics-cert.us-cert.gov/advisories/ICSA-13-226-01

Fuente: INTECO

OSISOFT Múltiples vulnerabilidades

Incorrectas restricciones de acceso a la memoria en el interfaz PI para IEEE C37.118 en productos OSIsoft, podría permitir a un atacante bloquear el interfaz PI y causar una perdida de datos. La vulnerabilidad se ha catalogado con importancia media.

Recursos afectados

• Todas las versiones del interfaz PI para IEEE C37.118 anteriores a v1.0.6.158.

Impacto en el Sistema de la vulnerabilidad

• El impacto de estas vulnerabilidades en el interfaz PI para IEEE C37.118 podría permitir a un atacante bloquear el interfaz PI y causar una perdida de datos en la recogida de informacion de otros puntos PI.

Recomendación

• OSIsoft recomienda a los clientes que utilizan el producto afectado actualizar a la versión 1.0.6.158 o posterior.
• Esta actualización se puede encontrar en la Web de soporte técnico de OSIsoft http://techsupport.osisoft.com/

Más información

• Aviso del ICS-CERT: ICSA-13-225-02 http://ics-cert.us-cert.gov/advisories/ICSA-13-225-02

Fuente: INTECO

¿ Nuevos Servicios de Correo Electrónico Seguro ?

El dueño de Lavabit cerró su web de forma abrupta y con un mensaje público que sugería la presión de algún organismo oficial. También cerró, aseguran que de forma preventiva, Silent Circle, un servicio similar.

¿Qué vendían estas compañías?

• Ofrecían un servicio de correo electrónico en la nube, pero preparado para garantizar las privacidad y la confidencialidad de las comunicaciones de sus usuarios.
• Por un lado facilitaban el envío y la recepción de ‘e-mails’ cifrados –que solo un receptor que conozca la contraseña correcta puede leer–.
• Además, los almacenaban en sus centros de datos como archivos encriptados, de forma que nadie pudiera acceder a ellos ni aunque robasen físicamente los ordenadores.

¿ Pero eran completamente seguros estos correos electrónicos encriptados ?

Incluso un sistema así es vulnerable a algunas amenazas.

1. Este episodio ha puesto de relieve dos debilidades fundamentales del correo electrónico. Para empezar, aunque un servicio de correo electrónico codifique los correos para mantener la privacidad, como hacían Lavabit y Silent Circle, los encabezados de los correos y los protocolos de enrutamiento revelan quiénes son el emisor y el receptor, y esa información puede resultar valiosa por sí misma.
2. Y en segundo lugar, los códigos usados como claves para desencriptar los mensajes (si los posee la empresa de correo) pueden ser exigidos por el Gobierno, o simplemente los puede robar un malware sofisticado

Alternativas a los servicios de correo electrónico clausurados

Una de ellas, Mailpile, lleva un tiempo en desarrollo y ahora busca financiación a través de la plataforma de ‘crowdfunding’ IndieGogo. 

1. «Mailpile es un programa de correo accesible desde la web que se puede ejecutar desde tu propio ordenador, para que tú tengas control sobre tu información», aseguran los creadores en la web de su campaña de colecta de fondos. Para que pueda funcionar bien el ordenador debería estar permanentemente encendido y conectado a internet, así que ofrecen la posibilidad de instalarlo en un ordenador remoto, y acceder al servicio a través de la web. ¿Es invulnerable a cualquier ataque? No, pero ofrece una capa más de seguridad. A falta de un mes para que concluya la campaña de financiación colectiva ya han recaudado más de 60.000 de los 100.000 dólares que esperan obtener.
2. Otro alternativa es Kim ‘Dotcom’, el fundador de la web de descargas Megaupload, que recientemente puso en marcha Mega, un servicio de intercambio de archivos cifrados. Aunque todavía no ha desvelado sus planes, uno de los directivos de su compañía ha explicado a la web RT que trabajan en un «servicio de correo de alta seguridad, que funcionará en servidores instalados fuera de Estados Unidos».
3. También Silent Circle está trabajando para crear un sistema que no dependa de los protocolos de correo electrónico tradicionales y no guarde ningún mensaje ni metadatos en manos de la empresa. Se basa en un protocolo que se suele usar para mensajes y otras aplicaciones. Janke afirma que el objetivo es que no sea un correo electrónico, pero "que a todos los efectos parezca, se sienta y actúe como correo electrónico".

Más información

MIT Technology Review. http://www.technologyreview.es/read_article.aspx?id=43689

Fuente: Innova

INTERNET EXPLORER Actualización acumulativa

Los boletines de seguridad de agosto publicados el martes por Microsoft del que dimos cuenta en este blog, incluyen el anuncio (en el boletín MS13-059) de una actualización acumulativa para Internet Explorer de las versiones 6 hasta la 10, que corrigen 11 nuevas vulnerabilidades.

Detalle e Impacto de las Vulnerabilidades solucionadas

• Ocho de las vulnerabilidades solventadas (CVE-2013-3184, CVE-2013-3187 al CVE-2013-3194 y CVE-2013-3199) tienen su origen en un acceso incorrecto del navegador a los objetos en memoria. Estos problemas podrían ser aprovechados por un atacante remoto para ejecutar código arbitrario.
• Existe otra vulnerabilidad (CVE-2013-3186) de elevación de privilegios en la forma en que Internet Explorer trata el nivel de integridad de proceso en casos específicos. Un atacante podría aprovechar esta vulnerabilidad podría conseguir la ejecución de código arbitrario con privilegios elevados.
• Una última vulnerabilidad (CVE-2013-3192.) de cross-site scripting que podría permitir la ejecución arbitraria de código script en el navegador. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada.
• Este parche, al ser acumulativo, incluye todas las actualizaciones anteriores.

Recomendación

Se recomienda actualizar el navegador por medio de:

1. Windows Update
2. Descargando los parches según plataforma desde https://technet.microsoft.com/es-es/security/bulletin/MS13-059

Más información:

• Boletín de seguridad de Microsoft MS13-059 - Crítica
• Actualización de seguridad acumulativa para Internet Explorer (2862772) https://technet.microsoft.com/es-es/security/bulletin/MS13-059

Fuente: Hispasec

MICROSOFT Cierre de Tag en 2015

Por medio de un comunicado Microsoft ha anunciado el cierre de Tag en 2015.

El servicio creado por la compañía  hace pocos años. permite la creación de tags similares a los códigos QR, en los que cualquier persona puede almacenar información. A diferencia de la tecnología QR, los Microsoft Tags también ofrecen opciones de tracking y analítica.

Para la lectura de dichos Tags, Microsoft dispone de apps específicas en iOS, Android y Windows Phone que seguirán estando disponibles hasta el 19 de agosto de 2015, cuando el servicio será cerrado definitivamente. 

Microsoft ha afirmado que el cierre se debe a que Tag “no está en línea con otras inciativas y prioridades” de la compañía.

Por otra parte, también han desvelado que para no dejar tirados a los usuarios, los clientes de Microsoft Tag podrán emplear la plataforma ScanLife y transferir allí sus cuentas a partir del 18 de septiembre de este año.

ScanLife es una plataforma en la nube gestionada por Scanbuy, el mayor proveedor de códigos QR del mundo, y permite crear contenidos personalizados para que los consumidores puedan interactuar con sus marcas de forna digital a través de sus smartphones.

Fuente: Silicon Week

DJANGO. Actualizaciones corrigen Vulnerabilidades CROSS-SITE SCRIPTING

Django Software Foundation ha publicado nuevas versiones  de las ramas [ 1.4; 1.5; 1.6 beta ]  de Django, que solucionan dos vulnerabilidades que permitirían ataques de tipo cross-site scripting.

Django es un entorno de desarrollo de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón Modelo Vista Controlador. Publicado  en 2005 por vez primera, con versión última estable la 1.5 y encontrándose la 1.6 en fase de desarrollo.

Versiones afectadas

1. La primera vulnerabilidad afecta a las ramas [1.5 y  1.6]. Y fue descubierta por Łukasz Langa.
2. La segunda vulnerabilidad afecta a las ramas [1.4; 1.5; 1.6] y fue descubierta por Nick Bruun.

 Impacto de las vulnerabilidades

1. La primera de las vulnerabilidades se sitúa en la interfaz de administración.  Y  podría permitir realizar ataques cross-site scripting. El problema aunque aparece principalmente en el sitio de administración, puede extenderse a cualquier parte del sitio que haga uso de los widgets que éste provee.
2. La segunda vulnerabilidad está localizada en el sistema 'POST-redirect-GET'. El fallo podría permitir potencialmente un ataque cross-site scripting, aunque no se ha descubierto de momento un método de explotación.

Recomendación

• Se recomienda a los usuarios que actualicen a las versiones 1.4.6, 1.5.2 y 1.6 beta 2.
• Las actualizaciones están disponibles a través del repositorio PyPi o la página oficial de Django.

Más información:

• Security releases issued  https://www.djangoproject.com/weblog/2013/aug/13/security-releases-issued/
• Denegaciones de servicio y cross-site scripting en Django  http://unaaldia.hispasec.com/2012/08/denegaciones-de-servicio-y-cross-site.html

Fuente: Hispasec

Firefox Metro SERÁ LANZADO EN DICIEMBRE

La Fundación Mozilla ha anunciado que después de varias versiones de prueba la versión Metro de Firefox llegará a los usuarios el próximo 10 de diciembre.

Microsoft propuso un cambio radical con Windows 8, y con el tiempo, su influencia se está extendiendo en la industria tecnológica. Y ahora, Mozilla reinventa su navegador, diseñado directamente para 'tablets', con integración en Windows 8.

Según asegura el equipo de la fundación en su planning de lanzamientos, Mozilla ya ha indicado que Firefox Metro abandonará su fase gestacional con la aparición de Firefox 26 con soporte para Firefox Sync y gestos en pantalla.

El navegador táctil está programado para llegar al canal Aurora de Mozilla el 16 de septiembre, y su beta para el 28 de octubre, lo que significa que los usuarios tendrán una primera visión real de Metro a principios del próximo mes.

Màs información

Wiki de Mozilla   https://wiki.mozilla.org/Firefox/Planning/2013-08-14#Firefox_Metro

Fuente: Europa Press

Apple App Store. SUPERAN CONTROLES SEGURIDAD TIENDA Apple

Un grupo de investigadores ha conseguido camuflar el malware bautizado como Jekyll, dentro de un programa para iOS y conseguir la aprobación para su publicación en la tienda oficial de Apple para iPhone, iPad y iPod.

Los investigadores del Tecnologico de Massachuset ha pretendido demostrar que las tecnologías para escanear, filtrar y autorizar aplicaciones de la tienda de Apple no son del todo adecuadas. 

El malware sólo estuvo presente en la tienda unos minutos, ya que el objetivo de sus creadores no era infectar a usuarios externos al experimento, sino demostrar que podían pasar la barrera de seguridad de App Store y la retiraron en seguida.

Detalle del fallo de seguridad

• El problema de Apple se origina en el analisis del software que se envía para su aprobación y posterior publicación en la App Store, porque sólo se pone a prueba unos pocos segundos limitándose a un control estático.
• Por ello, cuando envian una aplicación cargada con malware pero capaz de descomponer este código malicioso en diferentes fragmentos asociados a operaciones legítimas y recomponerlo como un todo a posteriori, los  investigadores consiguieron burlar el trámite de la aprobación de programas en la tienda electrónica de Apple. 

Impacto potencial del fallo de seguridad

1. Según describen en MIT Technology Review, podrían sigilosamente publicar tweets, enviar correos electrónicos y textos, robar información personal y números de identificación de dispositivos, tomar fotos, e incluso atacar a otras aplicaciones.
2. También proporcionó una manera de ampliar sus efectos, ya que podría dirigir Safari, el navegador por defecto de Apple, a un sitio web con más programas maliciosos.

Más información

MIT Technology Review.   

Fuente: Silicon Week 

Windows 8.1 LLEVARÁ IMPLEMENTADO Skype

Microsoft ha informado que Windows 8.1  llevará implementado Skype en cuanto esté disponible la actualización de windows 8.

La implementación de Skype en el sistema aportará una mejor integración y mejor uso de los recursos. 

Además los usuarios de 'tablet' con Windows 8.1, podrán contestar o rechazar llamadas desde la pantalla de bloqueo.

En cuanto a los ordenadores con Windows 8.1, los usuarios notarán la integración completa de la aplicación en el sistema.

Esta inclusión se une a otras novedades que tendrá Windows 8.1 y que se han ido anunciando durante los últimos días como las novedades de la nueva Xbox One o el almacenamiento en nube incluido.

Hemos estado construyendo una base de expansión de servicios y aplicaciones de consumo. Bing, Skype, Internet Explorer, SkyDrive, Outlook.com, Xbox música, vídeo y juegos son sólo algunas de las experiencias que son ahora parte de su nuevo dispositivo de Windows

Microsoft lanzará a los mercados su nueva versión de Windows el 18 de octubre.

Los usuarios que dispongan de Windows 8 ya pueden disfrutar de Windows 8.1 Preview, una versión beta de lo que será la versión definitiva.

Más información

Blog Windows Experience

Fuente: Portal TIC