Falsificación de certificado en el navegador de Android.

Se ha anunciado una nueva vulnerabilidad que afecta al navegador por defecto de Android.



Android es un sistema operativo basado en Linux y pensado especialmente para dispositivos móviles que desde 2005 está desarrollado por Google.

Actualmente posee una gran cuota de mercado en este tipo de dispositivos debido, en gran medida, a la disponibilidad libre de su código y a la gran variedad de aplicaciones gratuitas disponibles.

Este fallo permite a un atacante crear una web que en las propiedades contenga el certificado de otra. El fallo consiste en crear un iframe a una web segura. Cuando el usuario intenta visualizar las propiedades de la web fraudulenta verá el certificado de la web contenida en el iframe.

Este fallo ha sido confirmado para las versiones 2.3.3, pero podría afectar a otras versiones.


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/falsificacion-de-certificado-en-el.html#comments

Más información:

Certificate Spoofing in Google Chrome for Android
http://websecurity.com.ua/5587/

Certificate Spoofing in Google Chrome for Android
http://seclists.org/fulldisclosure/2011/Dec/429



Fuente:
Victor Antonio Torre
vtorre@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Denegación de servicio en IBM Lotus Domino.

Se ha anunciado una vulnerabilidad en IBM Lotus Domino 8, que podría permitir a un atacante provocar condiciones de denegación de servicio (DoS).




La vulnerabilidad, con CVE-2011-1393, reside en un error al procesar determinadas operaciones Notes RPC relacionadas con la autenticación, y podría provocar la caída del servidor Domino a través de paquetes específicamente creados.

La vulnerabilidad se ha confirmado en las versiones 8.0.x, 8.5, 8.5.1 y 8.5.2 Fix Pack 3 y anteriores. Se recomienda actualizar a la versión
8.5.2 Fix Pack 4 o 8.5.3.


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/denegacion-de-servicio-en-ibm-lotus.html#comments

Más información:

Security Advisory: Lotus Domino Denial of Service Vulnerability during Notes authentication processing (CVE-2011-1393)
http://www.ibm.com/support/docview.wss?uid=swg21575247

Lotus Domino Server RPC denial of service
http://xforce.iss.net/xforce/xfdb/71805



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Múltiples vulnerabilidades en productos Websense.

Se han anunciado múltiples vulnerabilidades en productos Websense, que podrían permitir a un atacante construir ataques de cross-site scripting, evitar restricciones de seguridad e incluso ejecutar código arbitrario en los sistemas afectados.




Tres de los problemas están relacionados con la interfaz web de administración de informes. El primero de ellos reside en un error no detallado que podría permitir eludir el mecanismo de autenticación.

Otros dos de los problemas residen en el tratamiento de las entradas, que no son debidamente limpiadas y pueden permitir realizar ataques de cross-site scripting, con la consiguiente ejecución de código script arbitrario.

Por ultimo, existe un error del que no se han facilitado detalles que podría dar lugar a la ejecución de código arbitrario.

Los problemas afectan a los siguientes productos: Websense Web Security Gateway, versión 7.6, Websense Web Security versión 7.6 y Websense Web Filter versión 7.6.

Se recomienda aplicar el Hotfix 12 para la version 7.6.2 o el Hotfix 24 para la version 7.6.0, disponibles desde:
https://www.websense.com/content/mywebsense-hotfixes.aspx


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/multiples-vulnerabilidades-en-productos.html#comments

Más información:

NGS00138 Patch Notification: Websense Triton 7.6 - Authentication bypass in report management UI http://archives.neohapsis.com/archives/bugtraq/2011-12/0091.html

NGS00137 Patch Notification: Websense Triton 7.6 - Reflected XSS in report management UI
http://archives.neohapsis.com/archives/bugtraq/2011-12/0093.html

NGS00140 Patch Notification: Websense Triton 7.6 - Unauthenticated remote command execution as SYSTEM http://archives.neohapsis.com/archives/bugtraq/2011-12/0094.html

NGS00141 Patch Notification: Websense Triton 7.6 - Stored XSS in report management UI
http://archives.neohapsis.com/archives/bugtraq/2011-12/0095.html



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Elevación de privilegios a través de drivers de NVIDIA 3D.

Jeong Wook Oh, un investigador de Microsoft Malware Protection Center
(MMPC) ha descubierto una vulnerabilidad en los controladores NVIDIA Stereoscopic 3D (versiones 7.17.12.7536 y anteriores).



Estos drivers permiten acceder a contenido 3D con tarjetas gráficas y monitores compatibles, para proporcionar una experiencia 3D en ordenadores con estas características.

El fallo, con CVE-2011-4784, se produce al no filtrar adecuadamente los comandos recibidos. Un atacante local podría aprovechar esto para enviar comandos especialmente diseñados que se ejecutarían con permisos del sistema.

Recomendamos descargar la última versión de los controladores, que solucionan este error, desde:
http://www.nvidia.com/Download/index.aspx


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/elevacion-de-privilegios-traves-de.html#comments

Más información:

Microsoft Vulnerability Research Advisory:
http://technet.microsoft.com/en-us/security/msvr/msvr11-016



Fuente:
Victor Antonio Torre
vtorre@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

SPAMfighter ofrece precios excelentes del Antivirus para Servidores Windows.

SPAMfighter ApS, Microsoft Gold Partner y proveedor global de programas anti-spam y antivirus, ha decidido ofrecer el producto con un precio agresivo por un tiempo limitado, con el objetivo de ...




... tener el precio más bajo en el mercado de los programas Antivirus para Servidores de Windows. La protección de servidores de la empresa, que a menudo contiene datos importantes para la empresa, es tan importante como la obtención de clientes, en estos días donde las amenazas contra la seguridad de la empresa por malware y para robarles datos es constante.

VIRUSfighter Server es un programa fácil de usar, fiable y seguro para los servidores de Windows. El programa Antivirus VIRUSfighter Server protege los servidores de Windows contra el malware, incluyendo virus, troyanos y rootkits, ayudando a proteger los datos más importantes para cualquier usuario de la empresa u organización, o en el hogar con uno o más servidores de Windows. Los más que conocidos de Virus Bulletin han otorgado al producto un premio VB100 en sus pruebas comparativas.

Los precios típicos de una licencia de antivirus para un servidor de Windows de otros fabricantes oscila entre 150 US$ y 200 US$ y algunas veces más caro, o son más baratos pero con menos funciones y sin soporte. VIRUSfighter Server tiene un precio de 14,95€/19.95 US$ por un tiempo limitado. Ese precio incluye soporte vía mail y teléfono, incluye todas las funcionalidades y usuarios ilimitados conectados.

Consulte la tabla comparativa de productos antivirus para servidores de aquí:
http://www.spamfighter.com/VIRUSfighter/Antivirus-Server-Price-Comparison.asp

Henrik Sørensen, director general de SPAMfighter ApS añade: "Creemos que esta agresiva política de precios es un mensaje claro al mercado. En el clima actual muchas empresas están presionadas económicamente y tratando de ahorrar dinero, y queremos ayudarles a continuar con esto y ofrecerles aún más seguridad contra amenazas de malware. Este enfoque parece ser una combinación perfecta para ayudar en un momento en que las empresas necesitan ayuda". Y añade: "… Estamos contentos de poder ofrecer un producto competitivo, muy elogiado y con un precio inmejorable."


VIRUSfighter Server ofrece:
- Varias actualizaciones al día
- La protección contra las últimas amenazas
- Disponible en 17 idiomas
- Soporte para Microsoft Windows 2000 Server/Advanced Server, Microsoft Windows Server 2003, Microsoft Windows Server 2008, Microsoft Small Business Server (2003, 2008, Estándar y Premium)


VIRUSfighter Server está disponible una versión de prueba gratuita de 30 días y se puede descargar aquí:
http://www.spamfighter.com/VIRUSfighter/Lang_ES/VIRUSfighter-for-servers.asp


Acerca de SPAMfighter: www.spamfighter.com/Lang_ES/

SPAMfighter basa su efectividad en su comunidad de usuarios que luchan de forma activa contra el spam. Gracias a la combinación del uso de tecnología galardonada con varios premios por el fácil manejo del programa y por su comunidad global de más de 7,8 millones de usuarios en todo el mundo, SPAMfighter ofrece protección efectiva y eficiente durante las 24h los 7días de forma gratuita. Cada día SPAMfighter filtra más de 52 millones de mensajes de spam a partir de 59 de millones de mensajes de correo electrónico recibidos por más de 7,7 millones de usuarios en 224 países.

La fundación Mozilla publica siete boletines de seguridad para sus productos.

La Fundación Mozilla cierra el año publicando siete boletines de seguridad (del MFSA2011-53 al MFSA2011-59) para solucionar múltiples vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey).



Según la propia clasificación de la fundación Mozilla, cinco de los boletines han sido clasificados con un impacto "crítico", uno de ellos con gravedad "alta" y un último como "moderado".


Los boletines publicados son:

* MFSA 2011-53:
Boletín crítico, que corrige múltiples problemas de seguridad de la memoria en el motor del navegador empleado por Firefox, Thunderbird y SeaMonkey (CVE-2011-3647).

* MFSA 2011-54:
Considerado crítico. Resuelve una caída en la librería de expresiones regulares YARR (CVE-2011-3661).

* MFSA 2011-55:
Boletín de carácter crítico, destinado a resolver un fallo (CVE-2011-3658) en la implementación SVG de Mozilla.

* MFSA 2011-56:
Boletín destinado a evitar una vulnerabilidad de gravedad moderada (con CVE-2011-3663), debido a la posibilidad de detectar pulsaciones de teclas a través de animaciones SVG, incluso con JavaScript desactivado.

* MFSA 2011-57:
Vulnerabilidad de gravedad alta, con CVE-2011-3664, por una caída cuando un "plugin" se elimina a sí mismo en Mac OS X.

* MFSA 2011-58:
Boletín de gravedad crítica, con CVE-2011-3665, por una caída al escalar vídeo a grandes tamaños,

* MFSA 2011-59:
Vulnerabilidad crítica, con CVE-2011-3666, debido a que en sistemas Mac los .jar no se tratan como ejecutables en Firefox 3.6.


Los problemas se han corregido en Firefox 9.0, Thunderbird 9.0 y SeaMonkey 2.6, disponibles desde: http://www.mozilla.org/


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/la-fundacion-mozilla-publica-siete.html#comments

Más información:

MFSA 2011-53 Miscellaneous memory safety hazards (rv:9.0)
http://www.mozilla.org/security/announce/2011/mfsa2011-53.html

MFSA 2011-54 Potentially exploitable crash in the YARR regular expression library
http://www.mozilla.org/security/announce/2011/mfsa2011-54.html

MFSA 2011-55 nsSVGValue out-of-bounds access
http://www.mozilla.org/security/announce/2011/mfsa2011-55.html

MFSA 2011-56 Key detection without JavaScript via SVG animation
http://www.mozilla.org/security/announce/2011/mfsa2011-56.html

MFSA 2011-57 Crash when plugin removes itself on Mac OS X
http://www.mozilla.org/security/announce/2011/mfsa2011-57.html

MFSA 2011-58 Crash scaling

Ejecución remota de código en TYPO3.

Se ha publicado un parche para las versiones 4.5.x y 4.6.x de Typo3, destinado a solucionar un fallo de ejecución remota de código.




TYPO3 es un gestor CMS web e intranet, de software libre licenciado bajo licencia GPLv3 para PHP. Se enfoca al nivel empresarial, según las estadísticas W3Techs se sitúa en uso por detrás de Drupal o Joomla.

El error se encuentra en "AbstractController.php", donde se realiza la siguiente llamada: require_once($GLOBALS['BACK_PATH'] . 'template.php');

Un atacante podría ejecutar código arbitrario si modifica el valor de la variable global "BACK_PATH" y hace que apunte a una url controlada por él. Por tanto, para ser vulnerable a este fallo el servidor tiene que tener activo los siguientes parámetros: "register_globals", "allow_url_include" y "allow_url_fopen".

Los sistemas con el módulo Suhosin PHP no son vulnerables salvo que se hubiera modificado "suhosin.executor.include.whitelist".

Como contramedida para servidores Apache con "mod_security" se puede añadir la regla:
SecRule ARGS:BACK_PATH "^(https?|ftp)" "deny"

Se recomienda actualizar a las versiones 4.5.9 y 4.6.2 que no son vulnerables a este fallo. También se ha publicado un parche disponible
en:
http://typo3.org/fileadmin/security-team/bug32571/32571.diff


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/ejecucion-remota-de-codigo-en-typo3.html#comments

Más información:

TYPO3 Security Bulletin:
http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/



Fuente:
Victor Antonio Torre
vtorre@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Las amenazas que protagonizarán 2012.

Se mantendrá la tendencia y el malware crecerá de forma dramática el nuevo año. El lucro fácil, el ciberespionaje y el hacktivismo, principales “argumentos” de los ciberdelincuentes.




Malware para tablets y smartphones, ataques “a medida” contra objetivos específicos, phising y troyanos bancarios constituyen las principales amenazas de la seguridad en 2012. La Eurocopa de Polonia y Ucrania, los Juegos Olímpicos de Londres y las elecciones presidenciales en Estados Unidos serán algunos de los hitos que los estafadores online intentarán utilizar para embaucar a sus víctimas. Por supuesto, sin olvidar el papel que pueden jugarán las redes sociales como difusoras de malware. Además el malware podría dar el salto a televisores y consolas con conexión a Internet.

Smartphones y tablets

Los dispositivos con S.O. Android dominan el mercado de los smartphones y parece que cuentan con el beneplácito de la gran mayoría de los consumidores. Sin embargo, esta aceptación masiva por parte del usuario también está marcando el camino a seguir a los autores del malware. Durante 2012 se intensificarán los ataques contra esta plataforma con el objetivo de asegurar la mayor difusión posible a sus códigos maliciosos.

Las aplicaciones (las populares “apps”) constituyen la mejor forma de expandir el código malicioso, descargadas tanto del mercado oficial de Google como de otros mercados alternativos. Para infectar el terminal sólo se necesita que la víctima la descargue e instale en su terminal. Una vez dado este paso, el malware puede dañar el dispositivo de muchas formas: robar los datos personales almacenados y enviarlos a dispositivos remotos, interceptar conversaciones o suscribirlos a costosos servicios de mensajería Premium, por ejemplo.

Ahora las aplicaciones maliciosas se instalan a través de los propios usuarios, después de que estos hayan sido engañados o convencidos mediante técnicas de ingeniería social. Sin embargo, los dispositivos móviles ofrecen muchas posibilidades técnicas y es solo cuestión de tiempo que nos enfrentemos a ataques automatizados donde las infecciones no dependan activamente del usuario. Desafortunadamente y teniendo en cuenta el ritmo de evolución del malware en esta plataforma, es fácil que en 2012 asistamos a estos primeros ataques automatizados, probablemente inspirados en los ataques drive-by que afectan a los ordenadores personales y que provocan la infección sin la participación de la víctima, después de visitar cualquier web adulterada.

La velocidad a la que se desarrolla el nuevo malware contrasta con las pocas actualizaciones disponibles para Android. Ya se ha mencionado en numerosas ocasiones que Android podría convertirse en el nuevo Microsoft, en cuanto a diana de las nuevas amenazas, y parece que lleva camino de conseguirlo.


Ataques dirigidos: Stuxnet y DuQu como precedentes

El capítulo de los ataques dirigidos tendría que incluir a aquellos que utilizan los mencionados teléfonos inteligentes en un contexto profesional, pues resultan especialmente atractivos para los ciberdelincuentes en busca de información apetitosa y datos y aquí los tienen en cantidad y calidad.

En cualquier caso, en 2011 vio la luz un particular spyware que causó un gran revuelo por estar específicamente diseñado para atacar a las empresas: DuQu. A pesar de que para muchos ha sido considerado como el sucesor de Stuxnet, esta herramienta de espionaje no está diseñada para el sabotaje tal cual lo entendemos. Sin embargo, DuQu es capaz de espiar a cualquier empresa, por lo que funciona más como un ladrón de datos que como una herramienta cuyo fin sea destruir un objetivo concreto. Su propósito sería recopilar tanta información como fuera posible para un posterior ataque como el protagonizado por Stuxnet.

Sin embargo, resulta alarmante comprobar que hay indicios en su código fuente que sugieren que pudo ser escrito por los creadores de Stuxnet. Las motivaciones políticas y las reivindicaciones de cualquier tipo (y ya no sólo el interés lucrativo) han entrado en escena cuando hablamos de ciberseguridad. Y el hecho de que los atacantes puedan conseguir el control de infraestructuras críticas ha dejado de ser una ficción como quedó de manifiesto con el ataque de Stuxnet en la planta nuclear iraní de Buschehr.


Los hitos del nuevo año

2012 se inicia con importantes eventos en el horizonte (entre otros, la Eurocopa de Fútbol en Polonia y Ucrania, los Juegos Olímpicos de Londres o las elecciones presidenciales en Estados Unidos) y estos sin duda darán contenido a muchos de los intentos de estafa que se producirán el próximo año:

Las amenazas digitales a las que se enfrentan los eventos deportivos mencionados podrán incluir:

• Oleadas de spam y manipulación de motores de búsqueda online para la venta de entradas y todo tipo de elementos falsificados relacionados con los eventos señalados.

• Diseño de páginas falsas de venta online de entradas a los diferentes eventos deportivos.

• Ataques contra los sitios oficiales de los Juegos Olímpicos y/o Eurocopa como potenciales formas de protesta.

• Ataques contra las redes inalámbricas WLAN diseñadas para los visitantes que acudan a estos eventos.


La lista de ataques potenciales puede ser más larga pues no hay que olvidar los ataques contra infraestructura, bien como intento de sabotaje o como elemento de chantaje.
En el caso de las elecciones presidenciales de los Estados Unidos los atacantes pueden recurrir a la ingeniería social con promesas de videos escandalosos o fotografías que afecten a los candidatos para conducir a los internautas a sitios web infectados con código malicioso. Se trata de trucos tan habituales como puedan ser las oleadas de spam cuyo contenido tenga alguna conexión con el asunto electoral y sirva para conducir a sus víctimas potenciales a todo tipo de páginas capaces de provocar una infección en el PC de sus víctimas.


Phising y troyanos bancarios

Si hablamos de phising, los usuarios podrían tener que enfrentarse con oleadas de ataques altamente sofisticados y a menudo con un target específico. No podemos olvidar el ataque sufrido por la red de Sony PlayStation en el que se comprometieron los datos de cerca de 77 millones de clientes. La información robada entonces podría ser usada ahora en correos electrónicos que tuvieran como fin estafar a sus destinatarios.

Aunque hemos visto que no solo existen motivaciones económicas, el dinero fácil seguirá siendo el principal argumento de las actividades ilícitas delos ciberdelincuentes y una de las formas más populares de conseguirlo durante este 2011 fueron los troyanos bancarios. Todo indica que en 2012 nada hará cambiar esta tendencia, si no, más bien todo lo contrario si atendeemos al número creciente de usuarios de banca online (en España, el 46,5% de los internautas ). Los troyanos bancarios constituyen pues una amenaza que debe ser tomada muy en serio, especialmente por los usuarios particulares, ya que un ataque exitoso a menudo supone una pérdida financiera significativa para la víctima.


SmartTVs y consolas

Al margen de ordenadores y smartphones, que constituyen las grandes plataformas de conexión a Internet, otros equipos empiezan a conectarse ya de forma habitual desde el salón de cualquier hogar. Nos referimos a televisores y consolas que en principio estaban fuera del campo de acción de los cibercliminales pero que a medida que se convierten en dispositivos conectados pueden empezar a estar en peligro, sobre todo si tenemos en cuenta que por regla general están desprotegidos y carecen de actualizaciones frecuentes.

“2012 estará protagonizado por ataques dirigidos contra todo tipo de organizaciones, con independencia de su tamaño. Las empresas pequeñas a menudo no están conveniente protegidas lo que las convierte en objetivos más sencillos y vulnerables. Los grandes eventos como los juegos Olímpicos o las elecciones presidenciales darán contenido a muchas de la amenazas. Los smartphones con sistema operativo Android se convertirán en centro de muchos ataques a medida. Y si en 2011 el número de amenazas creció de forma dramática, la tendencia se mantendrá en 2012. El malware se consolidará como la mejor arma de los cibercriminales para conseguir dinero, pero también como herramienta de ciberespionaje y hacktivismo”.


G Data Software AG

Con sede en Bochum (Alemania), G Data Software AG es una innovadora multinacional alemana con una dilatada experiencia en el desarrollo de soluciones de seguridad. Especialista en seguridad online y pionera en protección antivirus, G Data desarrolló su primer programa antivirus hace más de 25 años. Es pues uno de los fabricantes de software de seguridad más veteranos de todo el mundo. Fruto del I+D+i que la compañía despliega en el desarrollo de sus soluciones, en los últimos cinco años G Data ha recibido los más prestigiosos premios internacionales como proveedor de seguridad. Sus soluciones de seguridad están disponibles en más de 90 países. Más información sobre la compañía y sus productos en www.gdata.es



Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

El 80% de las direcciones URL mal escritas redirigen a sitios de Typosquatting.

Sophos analiza el impacto que los errores tipográficos pueden suponer para los consumidores. Más del 80% de todas las posibles variantes de un solo carácter de los dominios de Facebook, Google y Apple están ya registrados.



Sophos, compañía de seguridad TI y protección de datos, advierte a los internautas que tengan especial cuidado al escribir las direcciones de las páginas a las que desean acceder, según los resultados de un estudio realizado por Sophos relativo a "typosquatting".
Los Typosquatters registra faltas de ortografía de sitios Web conocidos con la esperanza de ser capaces de ganar dinero con el tráfico de errores tipográficos involuntarios realizados por los usuarios.

Un video que explica la investigación, se puede encontrar aquí:
http://www.youtube.com/watch?v=OtfhSWAb1gQ


Para la realización de este estudio, Sophos observó los typosquatting en su propia web, así como, en las de Facebook, Google, Twitter, Microsoft y Apple. Como primera medida se analizó los sitios web registrados para todos y cada uno, cometiendo errores tipográficos con el nombre de la empresa: una letra omitida (por ejemplo, Sopos), una letra mal escrita (Sphos), o una letra añadida (Ssophos).

A este respecto, el estudio reveló que existe un significativo ecosistema de typosquatting de alto perfil en torno a los nombres de dominio que se escriben frecuentemente. De hecho, la escala de la industria typosquatting es tan grande que más del 80% de todas las posibles variantes de un solo carácter de los dominios de Facebook, Google y Apple están ya registrados y resueltos. Así, un apabullante 86% de los posibles errores tipográficos de escribir mal una letra en la página principal de Apple llevó a sitios de typosquatting. A la empresa de la manzana le siguen Google (83%), Facebook (81%), Twitter (74%), Microsoft (61%) Sophos, cierra esta clasificación con un 16%.

"Es tan fácil escribir mal una URL, y es inevitable que de vez en cuando los usuarios acaben en un sitio web no deseado. En el peor de los casos, escribiendo descuido puede llevar a sitios web criminales diseñados para robar su identidad o hacer phishing sobre sus credenciales", afirma Pablo Teijeira, Corporate Account Manager y experto en seguridad de Sophos Iberia. "Una buena idea es registrar sus sitios web favoritos en lugar de confiar en que sus dedos funcionen correctamente".

Principal objetivo: el lucro a costa de los errores humanos

En cuanto a las páginas a las que dirigen, Sophos Lab expone que la mayor proporción de los sitios squatting no redirige a otros peligrosos de entrada, de hecho, en la investigación sólo se pudo observar una página web que contuviese directamente un JavaScript malicioso. En este sentido, un 15% de los mismos llevó a sitios de publicidad. Un 12% resultaron ser páginas de alojamiento de dominios, lo que sugiere que a través de estos sitios se ofrece la posibilidad comprar un nombre de dominio -posiblemente interesante- que es lo que se conoce como "parking de dominios", esto es, registrar un dominio sin realmente tener un sitio en marcha, o alojamiento Web. De las 14.495 direcciones URL mal escritas, según el estudio, 738 (5,1%) fueron clasificados por Sophos como sitios de ciberdelincuencia o de contenido para adultos. A este respecto, el primero debería ser siempre bloqueado, mientras que, el segundo, también, por lo menos en el lugar de trabajo o cerca de los niños.

Estados Unidos encabeza la lista, alojando cerca de dos tercios de los servidores, Alemania, China y el Reino Unido le siguen en la clasificación, respectivamente. Las Islas Vírgenes Británicas (con una población de aproximadamente 30.000) y las Islas Caimán (60.000), centros financieros de offshore, se encuentran también dentro de la lista de los 12 países.

En total, dos tercios de los 2.249 posibles dominios typosquat analizados (1502 en total) se resolvió mediante el uso de DNS. Así, con scripts automáticos escritos con una combinación de Bash, Python, Lua y Applescript - ésta última, una herramienta muy válida para el control de aplicaciones OS X – el equipo de investigación de Sophos buscó cada sitio en Safari, exactamente como si un usuario hubiese escrito el nombre de dominio completo en el la barra de direcciones.


Acerca de Sophos

Más de 100 millones de usuarios en 150 países confían en Sophos como la más completa protección frente a ataques y fuga de datos. Sophos mantiene su compromiso de proveer soluciones de seguridad y protección de datos con una gestión simple, despliegue y uso que permite ofrecer el más bajo coste de propiedad de la industria.

Sophos ofrece unas soluciones premiadas de cifrado, seguridad para el puesto de trabajo, correo, web y control de acceso a la red, respaldadas por SophosLabs – su red global de centros inteligentes. Con más de dos décadas de experiencia, Sophos es reconocida como líder en seguridad y protección de datos por las firmas de analistas más influyentes y ha recibido numerosos premios de la industria.

Sophos tiene su sede en Boston, MA y Oxford, Reino Unido. Para más información visite www.sophos.com / www.esp.sophos.com



Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Actualizaciones de seguridad para Adobe Reader y Acrobat.

Adobe ha publicado una actualización para corregir dos vulnerabilidades críticas en Adobe Reader 9.x y Acrobat en diferentes plataformas, que podrían permitir a un atacante provocar denegaciones de servicio y ...




... hasta tomar el control de los sistemas afectados.


La primera de las vulnerabilidades, con CVE-2011-2462, ya fue anunciada anteriormente en el aviso de seguridad APSA11-04, y tratada a través de una-al-dia anteriormente.
http://unaaldia.hispasec.com/2011/12/adobe-avisa-de-vulnerabilidad-0-day-en.html
El problema reside en un problema de tratamiento inadecuado de datos del tipo U3D que puede dar lugar a errores de memoria.

La segunda vulnerabilidad, con CVE-2011-4369, reside en un problema de corrupción de memoria en el componente PRC que podría permitir la ejecución de código arbitrario.

Aunque las vulnerabilidades afectan a Adobe Reader X (10.1.1 y versiones anteriores) para Windows y Macintosh, Adobe Reader 9.4.6 y versiones 9.x anteriores para UNIX y Adobe Acrobat X (10.1.1 y versiones anteriores) para Windows y Macintosh, Adobe estima que no existe un riesgo inmediato para los usuarios de Adobe Reader y Acrobat X para Windows (con Modo Protegido/Vista Protegida activo), Adobe Reader y Acrobat X (y versiones anteriores) para Macintosh, y Adobe Reader 9.x para UNIX basados en los exploits actuales y patrones de ataques históricos

Por esto, Adobe solo ha publicado actualizaciones para Adobe Reader y Acrobat 9.x para Windows. Se recomienda a todos los usuarios de Adobe Reader y Acrobat 9.4.6 (y versiones 9.x anteriores) para Windows la actualización a la versión 9.4.7.

Como Adobe Reader X Protected Mode y Adobe Acrobat X Protected View pueden proteger de los ataques de estas vulnerabilidades (CVE-2011-2462 y CVE-2011-4369), se planea corregir este problema en Adobe Reader X y Acrobat X para Windows con la actualización de seguridad para Adobe Reader y Acrobat del próximo trimestre, actualmente programada para el 10 de enero de 2012. Igualmente, Adobe planea corregir el resto de versiones afectadas en dicha actualización.

Los usuarios de Adobe Reader o Acrobat 9.x para Windows pueden utilizar el mecanismo de actualización incluido en el propio programa (Ayuda/Buscar actualizaciones), o descargarlas desde:

Para Adobe Reader 9.x
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows.

Para Adobe Acrobat 9.x para Windows
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/actualizaciones-de-seguridad-para-adobe.html#comments

Más información:

Security updates available for Adobe Reader and Acrobat 9.x for Windows
http://www.adobe.com/support/security/bulletins/apsb11-30.html

una-al-dia (05/12/2011) Adobe avisa de vulnerabilidad "0-day" en Adobe Reader y Acrobat
http://unaaldia.hispasec.com/2011/12/adobe-avisa-de-vulnerabilidad-0-day-en.html



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Cross-Site Scripting en Zabbix.

Se han anunciado dos vulnerabilidades en Zabbix que podrían permitir a un atacante remoto llevar a cabo ataques Cross-Site Scripting.



Zabbix es un sistema open source de monitorización redes, disponible para múltiples plataformas, que permite monitorizar el rendimiento, disponibilidad e integridad de los equipos y servicios que se están ejecutando en ellos. Entre sus características se encuentran la posibilidad de monitorización de forma remota a través de un interfaz web con soporte para los métodos GET y POST, y el envío de alertas vía email, teléfono móvil, SMS, alertas acústicas, etc.

Se han detectado dos vulnerabilidades que afectan a Zabbix, debido a la falta de comprobación de determinados parámetros de entrada, que podrían conducir a ataques Cross-Site Scripting (XSS).


Las vulnerabilidades son las siguientes:

* falta de comprobación al utilizar el parámetro de entrada que se pasa a los nombres de grupos de hosts en "hostgroups.php". Para aprovechar esta vulnerabilidad es necesario disponer de permisos de acceso para modificar los nombres de los grupos de hosts.

* falta de comprobación de la variable "gname" al crear grupos de usuarios en "usergrps.php".

Ninguna de las vulnerabilidades anteriores tiene asignado CVE.

La versión 1.8.10RC1 de Zabbix corrige las vulnerabilidades expuestas anteriormente.


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/cross-site-scripting-en-zabbix.html#comments

Más información:

Zabbix releases notes
http://www.zabbix.com/rn1.8.10rc1.php

Persistent Cross Site Scripting Vulnerabilities (ZBX-4015)
https://support.zabbix.com/browse/ZBX-4015



Fuente:
Juan José Ruiz
jruiz@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Cross-Site Scripting en Nagios XI.

Se han anunciado múltiples vulnerabilidades en Nagios XI que podrían permitir a un atacante remoto llevar a cabo ataques Cross-Site Scripting.



Se han anunciado múltiples vulnerabilidades en Nagios XI que podrían permitir a un atacante remoto llevar a cabo ataques Cross-Site Scripting.

Nagios es un sistema de monitorización redes, que mantiene una vigilancia tanto del hardware de los equipos como del software instalado en ellos, avisando ante cualquier cambio, intrusión, escasez de recursos, etc. a través de diferentes medios como pueden ser el email y los SMS.

Las vulnerabilidades detectadas en Nagios XI son debidas a la falta de comprobación de determinados parámetros de entrada y podrían conducir a ataques de Cross-Site Scripting o XSS.


En la versión 2011R1.8 de Nagios XI, dichas vulnerabilidades son las siguientes:

* es posible agregar parámetros a la URL después de login.php o index.php, por ejemplo, y estos no son debidamente comprobados posteriormente en "html/includes/pageparts.inc.php" o en la función “get_permalink_base” localizada en "html/includes/utils.inc.php".

* el parámetro "xiwindow" no se comprueba en la función "get_window_frame_url" incluida en "html/includes/pageparts.inc.php".

* los parámetros agregados a la URL después de "includes/components/xicore/recurringdowntime.php".

* los parámetros de entrada "height", "service", y "width" utilizados en la URL "reports/alertheatmap.php".

* el parámetro de entrada "service" usado en "reports/histogram.php", "reports/statehistory.php", y "reports/notifications.php", no es comprobado posteriormente en la función "get_service_status_detail_link" localizada en "includes/utils-links.inc.php".

* los parámetros "host" y "service" utilizados en "reports/notifications.php" no son comprobados en la función "get_host_status_detail_link" localizada en "includes/utils-links.inc.php".

En la versión 2011R1.9 de Nagios XI, las vulnerabilidades que podrían permitir ataques XSS son las siguientes:

* el parámetro "hostgroup" utilizado en "includes/components/xicore/status.php" no es debidamente comprobado.

* el parámetro "host" usado en "reports/alertheatmap.php".

* el parámetro "host" utilizado en "reports/histogram.php", "reports/statehistory.php" y "reports/notifications.php" no es debidamente comprobado en la función "get_service_status_detail_link" localizada en "includes/utils-links.inc.php".

Ninguna de las vulnerabilidades anteriores tiene asignado CVE.

Las vulnerabilidades de Nagios XI 2011R1.8 han sido corregidas en la versión 2011R1.9. Sin embargo, las que afectan a la versión 2011R1.9 no han sido corregidas por el momento, siendo necesario editar el código fuente para asegurar la correcta comprobación de los parámetros y corregir de esta forma dichas vulnerabilidades.


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/cross-site-scripting-en-nagios-xi.html#comments

Más información:

Nagios XI releases notes
http://assets.nagios.com/downloads/nagiosxi/CHANGES-2011.TXT



Fuente:
Juan José Ruiz
jruiz@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Ejecución de código arbitrario en Winamp.

Se han anunciado dos vulnerabilidades en Winamp (versiones 5.622 y anteriores), que podrían permitir a un atacante remoto la ejecución de código arbitrario.




Winamp es uno de los reproductores de audio y vídeo más populares para la plataforma Windows, aunque también está disponible para otras como Mac y Android. Winamp soporta una gran cantidad de formatos multimedia, entre los que se encuentran MID, MIDI, MP1, MP2, MP3, MP4, AAC, Ogg Vorbis, WAV, WMA, CDA, KAR (Karaoke), AVI, MPEG y NSV.

La vulnerabilidad, con CVE-2011-3834, reside en dos desbordamientos de enteros en el plugin "in_avi.dll", de tal forma que un atacante puede crear un archivo AVI que podrá permitir la ejecución de código arbitrario con los privilegios del usuario.

Se ha publicado la versión 5.623 que corrige estos problemas:
http://www.winamp.com/media-player/es


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/ejecucion-de-codigo-arbitrario-en.html#comments

Más información:

Winamp AVI Processing Two Integer Overflow Vulnerabilities
http://secunia.com/secunia_research/2011-81/

Winamp 5.623 (Latest)
http://www.winamp.com/help/Version_History#Winamp_5.623_.28Latest.29



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Actualización de seguridad para Google Chrome.

Google ha publicado la versión 16.0.912.63 de su navegador Chrome para todas las plataformas (Windows, Mac, Linux y Chrome Frame). En esta ocasión se han corregido 15 vulnerabilidades: seis consideradas de gravedad ...




... alta, siete como media y dos de nivel bajo.


La rama 16 de Chrome contiene novedades sobre versiones anteriores, que incluyen mejoras en Sync y la posibilidad de crear múltiples perfiles para una única instancia del navegador.

Los errores encontrados afectan a diferentes componentes: en libxml; en FileWatcher, un problema de falsificación de la barra de URL; en el tratamiento de SVG, de v8 i18n y de vídeo YUV. Así como diversos problemas asociados al tratamiento de PDFs.

Los CVE asignados a las vulnerabilidades son:
CVE-2011-3903, CVE-2011-3905, CVE-2011-3906, CVE-2011-3907, CVE-2011-3908, CVE-2011-3909, CVE-2011-3910, CVE-2011-3911, CVE-2011-3912, CVE-2011-3913, CVE-2011-3914, CVE-2011-3915, CVE-2011-3916, CVE-2011-3917 y CVE-2011-3904.

Según la política de la compañía estas vulnerabilidades han supuesto un total de 6.000 dólares en recompensas a los descubridores de los problemas.

Chrome se actualizará automáticamente en los equipos así configurados.


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/actualizacion-de-seguridad-para-google.html#comments

Más información:

Stable Channel Update
http://googlechromereleases.blogspot.com/2011/12/stable-channel-update.html



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

El 66% de los USBs extraviados contienen malware.

Un estudio realizado por Sophos con unidades USB perdidas por los usuarios revela que más dos tercios de las mismas estaban infectadas con malware y contenían información privada sin



Sophos, compañía de seguridad TI y protección de datos, ha realizado un estudio en profundidad acerca del contenido de memorias USB extraviadas, evidenciando que un 66% de las mismas son portadoras de malware, así como de información personal sin cifrar.

El estudio, llevado a cabo por la sede australiana de Sophos utilizando como muestra 50 unidades USB encontradas en el transporte público de Sydney y adquiridas en subasta como objetos perdidos, pretende sensibilizar a los usuarios acerca de los riesgos que supone el uso de estos populares dispositivos sin tomar las medidas de seguridad y protección adecuadas.

Concretamente, el análisis reveló que las unidades USB extraviadas contenían gran cantidad de datos acerca de sus antiguos propietarios, sus familias, círculos de amigos o compañeros de trabajo. Entre los archivos localizados se encontró un amplio abanico de información sensible como documentación fiscal, datos de matriculación de colegios, universidades, proyectos laborales, álbumes de fotos de familia o amigos, así como códigos fuente de software y de páginas web.

Lo preocupante, según Sophos, es que nadie entre los propietarios había utilizado ningún tipo de cifrado para proteger dichos archivos de “terceras personas” ante posibles extravíos o robos.

“Es sorprendente el hecho de que los usuarios no sean conscientes de la importancia de cuidar la seguridad en este tipo de dispositivos. Si bien este estudio está realizado basándose en las unidades perdidas en el transporte público de Sydney, no hay razón para no creer que podamos encontrarnos una situación similar en el metro de Madrid o de Barcelona”, señala Pablo Teijeira, Corporate Account Manager de Sophos Iberia y experto en seguridad.

Sophos aconseja a todos los usuarios de ordenadores que cifren toda su información y datos personales o de negocios antes de almacenarlos en llaves USB, de manera que no puedan ser accesibles si estos dispositivos son extraviados. Además, alerta sobre el hecho de que las correctas actualizaciones de antivirus son básicas, incluso para los usuarios de Mac –es reseñable que algunas de las llaves USB analizadas pertenecían a propietarios de Mac, pero contenían malware de PC-. Siguiendo este último consejo se puede prevenir la expansión de malware y los usuarios pueden sentirse protegidos a la hora de intercambiar sus memorias USB.

Como conclusión, Teijeria señala que “son muchos los riesgos que corren todos esos usuarios que desconocen que llevan malware en sus bolsillos y también los que pasan por alto la importancia de cifrar la información personal. Descuidar la seguridad puede acarrear pérdida de datos o robos de identidad, problemas fácilmente solucionables con un antivirus y un cifrado en el momento adecuado”.


O bien descubrir más detalles acerca de este estudio en:
http://nakedsecurity.sophos.com/2011/12/07/lost-usb-keys


Acerca de Sophos

Más de 100 millones de usuarios en 150 países confían en Sophos como la más completa protección frente a ataques y fuga de datos. Sophos mantiene su compromiso de proveer soluciones de seguridad y protección de datos con una gestión simple, despliegue y uso que permite ofrecer el más bajo coste de propiedad de la industria.

Sophos ofrece unas soluciones premiadas de cifrado, seguridad para el puesto de trabajo, correo, web y control de acceso a la red, respaldadas por SophosLabs – su red global de centros inteligentes. Con más de dos décadas de experiencia, Sophos es reconocida como líder en seguridad y protección de datos por las firmas de analistas más influyentes y ha recibido numerosos premios de la industria.

Sophos tiene su sede en Boston, MA y Oxford, Reino Unido. Para más información visite www.sophos.com / www.esp.sophos.com




Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Actualización del kernel de Windows contra la vulnerabilidad del troyano Duqu.

Dentro del conjunto de boletines de seguridad de diciembre publicado este martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS11-087) de una actualización del kernel de Windows ...




... destinada a solucionar una vulnerabilidad crítica.


La vulnerabilidad corregida puede permitir la ejecución remota de código arbitrario, pero además es de especial relevancia al tratarse del problema del que se aprovecha de forma activa el troyano Duqu; sin duda el malware del que más se ha hablado en los últimos meses.

Anteriormente y hasta la espera de la publicación de este boletín, Microsoft había publicado un aviso de seguridad en el que explicaba contramedidas efectivas para evitar ataques. En el boletín recién publicado, Microsoft también ofrece las medidas necesarias para deshacer dicha solución provisional.

La vulnerabilidad corregida, clasificada con CVE-2011-3402, reside en el tratamiento incorrecto de un archivo de fuentes TrueType específicamente creado. El problema se centra en el controlador de sistema win32k.sys.

Un fallo al tratar fuentes TrueType permite que una aplicación eleve privilegios y consiga control total del sistema.

Como ya advertimos anteriormente es importante la actualización debido a que este problema está siendo actualizado activamente, además de ser aprovechable a través de cualquier programa que utilice ciertas fuentes TrueType. Cabe recordar que no solo ejecuta código, sino que lo hace con los máximos privilegios.

La actualización puede descargarse directamente desde el boletín publicado
http://technet.microsoft.com/es-es/security/bulletin/ms11-087
en función de la versión de Windows o a través de Windows Update.


sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/actualizacion-del-kernel-de-windows.html#comments

Más información:

una-al-dia (02/11/2011) Duqu, más información y algunas dudas
http://unaaldia.hispasec.com/2011/11/duqu-mas-informacion-y-algunas-dudas.html

Boletín de seguridad de Microsoft MS11-087 - Crítica Una vulnerabilidad en los controladores en modo kernel de Windows podría permitir la ejecución remota de código (2639417)
http://technet.microsoft.com/es-es/security/bulletin/ms11-087

MS11-087: Vulnerability in Windows kernel-mode drivers could allow elevation of privilege: December 13, 2011
http://support.microsoft.com/kb/2639417



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
... destinada a solucionar una vulnerabilidad crítica.


La vulnerabilidad corregida puede permitir la ejecución remota de código arbitrario, pero además es de especial relevancia al tratarse del problema del que se aprovecha de forma activa el troyano Duqu; sin duda el malware del que más se ha hablado en los últimos meses.

Anteriormente y hasta la espera de la publicación de este boletín, Microsoft había publicado un aviso de seguridad en el que explicaba contramedidas efectivas para evitar ataques. En el boletín recién publicado, Microsoft también ofrece las medidas necesarias para deshacer dicha solución provisional.

La vulnerabilidad corregida, clasificada con CVE-2011-3402, reside en el tratamiento incorrecto de un archivo de fuentes TrueType específicamente creado. El problema se centra en el controlador de sistema win32k.sys.

Un fallo al tratar fuentes TrueType permite que una aplicación eleve privilegios y consiga control total del sistema.

Como ya advertimos anteriormente es importante la actualización debido a que este problema está siendo actualizado activamente, además de ser aprovechable a través de cualquier programa que utilice ciertas fuentes TrueType. Cabe recordar que no solo ejecuta código, sino que lo hace con los máximos privilegios.

La actualización puede descargarse directamente desde el boletín publicado
http://technet.microsoft.com/es-es/security/bulletin/ms11-087
en función de la versión de Windows o a través de Windows Update.


sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/actualizacion-del-kernel-de-windows.html#comments

Más información:

una-al-dia (02/11/2011) Duqu, más información y algunas dudas
http://unaaldia.hispasec.com/2011/11/duqu-mas-informacion-y-algunas-dudas.html

Boletín de seguridad de Microsoft MS11-087 - Crítica Una vulnerabilidad en los controladores en modo kernel de Windows podría permitir la ejecución remota de código (2639417)
http://technet.microsoft.com/es-es/security/bulletin/ms11-087

MS11-087: Vulnerability in Windows kernel-mode drivers could allow elevation of privilege: December 13, 2011
http://support.microsoft.com/kb/2639417



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Consejos para comprar seguro en Internet esta Navidad.

ESET, empresa líder en detección proactiva de amenazas informáticas, pone a disposición las 5 buenas prácticas a tener en cuenta para realizar compras online.




Durante las fiestas, las compras por medio de sitios de e-Commerce se incrementan sustancialmente, consolidándose como una alternativa rápida y cómoda para aquellos que desean evitar los negocios repletos al momento de conseguir los regalos para Navidad. Esta cuestión no resulta ajena a los cibercriminales, motivo por el cual es imperativo tener en cuenta ciertas buenas prácticas al momento de realizar compras en línea.

“Entre los principales riesgos a los que se puede ver expuesto el usuario a la hora de recurrir a servicios de e-Commerce para sus compras navideñas pueden mencionarse las estafas electrónicas, el robo de datos personales y el phishing”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.


Entre las 5 buenas prácticas a la hora de realizar las compras navideñas a través de Internet se encuentran:

1. Actualizar su sistema y aplicaciones:
Mantener su sistema y sus aplicaciones actualizados le permitirá estar protegido de las amenazas que utilizan vulnerabilidades ya corregidas por los proveedores de los mismos.

2. Comprar a través de servicios de e-Commerce con una reputación conocida o recomendada:
Para evitar ser estafado al realizar una compra o ser víctima de un robo de datos bancarios, es recomendable realizar las compras a través de servicios con reputación alta o recomendados.

3. Evitar enlaces en los correos electrónicos:
Dado que en muchas ocasiones los cibercriminales utilizan técnicas de Ingeniería Social a través de correo para atraer a sus víctimas y así poder hurtar sus datos bancarios, se debe evitar hacer clic en los enlaces que se reciben por esta vía. Para ingresar a los sitios donde se presentan las ofertas, se recomienda escribir la dirección de la página web en el navegador y verificar que esta oferta realmente exista.

4. Verificar la seguridad del e-Commerce:
Es indispensable verificar que el sitio en el que se encuentra navegando envíe los datos de manera cifrada, es decir, que opere bajo el protocolo HTTPS en lugar de HTTP. Puede chequear esto en la barra de direcciones, delante de la URL del sitio.

5. No utilizar conexiones Wi-Fi de dudosa confiabilidad:
En caso de conectarse desde un dispositivo móvil, recuerde que las redes wi-fi públicas, sean libres o protegidas por contraseña, pueden estar siendo interceptadas, por lo que es recomendable realizar transacciones en línea a través de una red propia o de alguien de su confianza.

La educación cobra un papel fundamental en la prevención de los más sofisticados ataques informáticos. Es por esto que ESET Latinoamérica ha desarrollado la primera Plataforma de Educación en Línea con interesantes cursos para capacitar a los usuarios en el uso correcto de los recursos de Internet y la prevención de amenazas que atentan contra una navegación segura. Dicha Plataforma cuenta además con un curso sobre “Seguridad en transacciones comerciales en línea”.


Si desea acceder la Plataforma Educativa en Línea de ESET Latinoamérica y realizar el curso “Seguridad en transacciones comerciales en línea” para conocer más sobre las mejores formas de operar en Internet, visite: http://edu.eset-la.com/

Copyright © 1992–2011 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marca registrada de sus respectivas empresas.


Acerca de ESET

Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Londres (Reino Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (México).

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.



Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Microsoft cierra el año 2011 con 13 boletines de seguridad.

Este martes Microsoft ha publicado 13 boletines de seguridad (del MS11-087 al MS11-99) correspondientes a su ciclo habitual de actualizaciones



Según la propia clasificación de Microsoft tres de los boletines tienen un nivel de gravedad "crítico", mientras que el resto presentan un nivel "importante". En total se han resuelto 19 vulnerabilidades.

A esperas de acabar el año, Microsoft ha publicado un total de 99 boletines (el año pasado publicó 106 boletines), en los que ha corregido un total de 194 vulnerabilidades. Durante el 2011 la compañía de Redmond no ha publicado ningún boletín fuera de su ciclo habitual.

Los boletines "críticos" son:

* MS11-087: Se trata de una actualización destinada a solucionar una vulnerabilidad de ejecución remota de código arbitrario si un usuario abre un documento especialmente diseñado o visita una página web maliciosa que inserta archivos de fuentes TrueType. Esta actualización es de gran importancia debido a que viene a corregir el problema del que se aprovecha Duqu (el troyano del que tanto se ha hablado en los últimos meses). Afecta a Microsoft Windows XP, Server 2003, Vista, Windows 7 y Windows Server 2008.

* MS11-090: Actualización de seguridad acumulativa de bits de interrupción de ActiveX contiene nuevos bits de interrupción y todos los bits de interrupción publicados anteriormente. Afecta a Microsoft Windows XP, Server 2003, Vista, Windows 7 y Windows Server 2008.

* MS11-092: Actualización que soluciona una vulnerabilidad de ejecución remota de código arbitrario en el Reproductor de Windows Media y Windows Media Center, a través de un archivo de grabación de vídeo digital de Microsoft (.dvr-ms) específicamente creado.

Los boletines clasificados como "importantes" son:

* MS11-088: Actualización para solucionar una vulnerabilidad en Microsoft Office IME (chino).

* MS11-089: Trata de una vulnerabilidad en Microsoft Office, que podría permitir la ejecución remota de código si un usuario abre un archivo de Word especialmente creado. Afecta a Microsoft Office 2007, 2010 y Office para Mac 2011.

* MS11-091: Boletín destinado a corregir tres vulnerabilidades en Microsoft Office, que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de Publisher específicamente diseñado. Afecta a Microsoft Office 2007 y 2010.

* MS11-093: Actualización para corregir una vulnerabilidad en OLE podría permitir la ejecución remota de código. Afecta a Windows XP y Windows Server 2003.

* MS11-094: Boletín destinado a corregir dos vulnerabilidades en Microsoft Office, que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de PowerPoint específicamente diseñado. Afecta a Microsoft Office 2007, 2010 y Microsoft Office 2008 para Mac.

* MS11-095: Actualización para corregir una vulnerabilidad de ejecución remota de código en Active Directory, Active Directory Application Mode
(ADAM) y en el servicio de directorio ligero de Active Directory (AD LDS).

* MS11-096: Actualización para corregir una vulnerabilidad en Microsoft Office, que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de Excel específicamente manipulado. Afecta a Microsoft Office 2003 y Microsoft Office 2004 para Mac.

* MS11-097 Actualización para corregir una vulnerabilidad de elevación de privilegios en el subsistema de tiempo de ejecución de cliente-servidor de Windows. Afecta a Microsoft Windows XP, Server 2003, Vista, Windows 7 y Windows Server 2008.

* MS11-098: Actualización para corregir una vulnerabilidad de elevación de privilegios en el kernel de Windows. Afecta a Windows XP, Server 2003, Vista, Windows 7 y Windows Server 2008.

* MS11-099: Actualización acumulativa para Microsoft Internet Explorer que además soluciona tres nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 6, 7, 8 y 9.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/11/duqu-mas-informacion-y-algunas-dudas.html#comments

Más información:

Resumen del boletín de seguridad de Microsoft de diciembre 2011
http://technet.microsoft.com/es-es/security/bulletin/ms11-dec

una-al-dia (02/11/2011) Duqu, más información y algunas dudas
http://unaaldia.hispasec.com/2011/11/duqu-mas-informacion-y-algunas-dudas.html

Boletín de seguridad de Microsoft MS11-087 - Crítica Una vulnerabilidad en los controladores en modo kernel de Windows podría permitir la ejecución remota de código (2639417)
http://technet.microsoft.com/es-es/security/bulletin/ms11-087

Boletín de seguridad de Microsoft MS11-088 - Importante Una vulnerabilidad en Microsoft Office IME (chino) podría permitir la elevación de privilegios (2652016)
http://technet.microsoft.com/es-es/security/bulletin/ms11-088

Boletín de seguridad de Microsoft MS11-089 - Importante Una vulnerabilidad en Microsoft Office podría permitir la ejecución remota de código (2590602)
http://technet.microsoft.com/es-es/security/bulletin/ms11-089

Boletín de seguridad de Microsoft MS11-090 - Crítica Actualización de seguridad acumulativa de bits de interrupción de ActiveX (2618451) http://technet.microsoft.com/es-es/security/bulletin/ms11-090

Boletín de seguridad de Microsoft MS11-091 - Importante Vulnerabilidades en Microsoft Publisher podrían permitir la ejecución remota de código (2607702)
http://technet.microsoft.com/es-es/security/bulletin/ms11-091

Boletín de seguridad de Microsoft MS11-092 - Crítica Una vulnerabilidad en Windows Media podría permitir la ejecución remota de código (2648048)
http://technet.microsoft.com/es-es/security/bulletin/ms11-092

Boletín de seguridad de Microsoft MS11-093 - Importante Una vulnerabilidad en OLE podría permitir la ejecución remota de código (2624667)
http://technet.microsoft.com/es-es/security/bulletin/ms11-093

Boletín de seguridad de Microsoft MS11-094 - Importante Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código (2639142)
http://technet.microsoft.com/es-es/security/bulletin/ms11-094

Boletín de seguridad de Microsoft MS11-095 - Importante Una vulnerabilidad en Active Directory podría permitir la ejecución remota de código (2640045)
http://technet.microsoft.com/es-es/security/bulletin/ms11-095

Boletín de seguridad de Microsoft MS11-096 - Importante Una vulnerabilidad en Microsoft Excel podría permitir la ejecución remota de código (2640241)
http://technet.microsoft.com/es-es/security/bulletin/ms11-096

Boletín de seguridad de Microsoft MS11-097 - Importante Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2620712)
http://technet.microsoft.com/es-es/security/bulletin/ms11-097

Boletín de seguridad de Microsoft MS11-098 - Importante Una vulnerabilidad en el kernel de Windows podría permitir la elevación de privilegios (2633171)
http://technet.microsoft.com/es-es/security/bulletin/ms11-098

Boletín de seguridad de Microsoft MS11-099 - Importante Actualización de seguridad acumulativa para Internet Explorer (2618444)
http://technet.microsoft.com/es-es/security/bulletin/ms11-099



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Cinco reglas de oro para estar seguros en Facebook esta Navidad

En esta época del año aumenta el envío de mensajes y felicitaciones, y debido a ello, la compañía danesa SPAMfighter facilita cinco reglas básicas de prevención y autoprotección a los usuarios que tengan perfil en ...




... alguna red social como Facebook para hacer frente a las nuevas amenazas de los spammers.


Prevenir situaciones de riesgo es la primera regla básica para vivir seguro en Internet, y sobre todo en la gran marea de las redes sociales.

Debido a la actual polémica sobre la falta de seguridad y privacidad en el mundo cibernético y el aumento del spam y el fraude en Facebook, existe una creciente necesidad de que el usuario esté al corriente de las acciones que puedan comprometer su perfil en una red social como Facebook.

Desde SPAMfighter, líder europeo en el desarrollo de filtros antispam, muestran a los usuarios cinco reglas de oro para estar seguros en Facebook esta Navidad, una de las épocas del año preferidas por los ciberdelincuentes, que cada vez se las ingenian mejor para hacerse con la confianza del usuario para convertirlo en una nueva víctima.

La primera regla es tener una contraseña segura. Las contraseñas como "1234", "ABCD" o "AAAA" son tan fáciles para ser craqueadas por los piratas informáticos que se recomeinda utilizar al menos una letra en mayúscula y por lo menos un número y un símbolo, como "BCN5@ya”.

También es importante rechazar solicitudes de amistad de personas desconocidas. Cuando se acepta una nueva solicitud de una nueva fuente, el perfil y el resto de información personal se muestra a esa persona desconocida.

Ser cauto a la hora de instalar nuevas aplicaciones de Facebook. Cuando queremos descargar nuevas aplicaciones a la página de Facebook, se recomienda hacer una búsqueda rápida en Google antes de la instalación para conocer su legitimidad y evitar problemas como que un programa contenga un troyano.

No abrir enlaces de amigos que contengan un asunto "agresivo". Este tipo de enlaces pocas veces son compartidos por las amistades. Los enlaces se propagan automáticamente a través de los perfiles, ya que ellos mismos introducen estas recomendaciones, por lo tanto se tratará de una Web que probablemente esté infectada con malware.

Finalmente es importante informar a Facebook. Si un usuario cree que ha sido víctima de un ataque de ciberdelincuentes, es necesario que se ponga en contacto con Facebook para explicar el problema.


Acerca de SPAMfighter: www.spamfighter.com/Lang_ES/

SPAMfighter basa su efectividad en su comunidad de usuarios que luchan de forma activa contra el spam. Gracias a la combinación del uso de tecnología galardonada con varios premios por el fácil manejo del programa y por su comunidad global de más de 7,8 millones de usuarios en todo el mundo, SPAMfighter ofrece protección efectiva y eficiente durante las 24h los 7días de forma gratuita. Cada día SPAMfighter filtra más de 52 millones de mensajes de spam a partir de 59 de millones de mensajes de correo electrónico recibidos por más de 7,7 millones de usuarios en 224 países.
*Para más información: www.spamfighter.com/Lang_ES/



Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Sophos presenta la más completa protección para End Point.

Gestión de parches, amplias capacidades de protección y filtrado web y funcionalidad de cifrado todo ello completamente integrado.



Sophos, compañía de seguridad TI y protección de datos, ha anunciado la disponibilidad de la última versión de su solución Endpoint Security, actualmente líder del mercado, y que integra nuevas funcionalidades como Gestión de Parches, amplia capacidad de protección y filtrado web y cifrado.

Reducción de la exposición a los Ataques

Según estimaciones de la industria, el 90% de los ataques perpetrados con éxito han sido contra vulnerabilidades para las que ya existía un parche. A pesar de esta estadística, muchos ordenadores no tienen los últimos parches de seguridad instalados, poniendo a las organizaciones en grave riesgo frente a una gran variedad de amenazas de malware. La gestión y seguimiento de parches consume demasiado tiempo y a menudo es difícil ver qué ordenadores tienen realmente instalados parches críticos de manera correcta. Sin esta visibilidad, los administradores TI no tienen un método sencillo de identificar los ordenadores con mayor riesgo.

Sophos Patch Assessment, función incluida en Sophos Endpoint Secuirty 10, identifica, prioriza y escanea parches relacionados con amenazas críticas para la seguridad. Con el respaldo de SophosLabs, los departamentos de Seguridad y TI pueden conocer sobre qué amenazas previene un parche, de las más a las menos críticas. Sophos Patch Assessment además de permitir escanear parches para el mundo Microsoft, también permite escanear parches de terceros fabricantes tales como Adobe, Apple, Citrix, Skype, entre otros. Esto es particularmente importante ya que la mayoría de los parches de hoy día ya no son de Microsoft.

Protección Web y Filtrado de contenidos ubicuos

Los fabricantes de seguridad ahora combinan datos basados en la reputación con el filtrado de URL para bloquear a los usuarios de accesos a sitios que se saben infectados o sitos que con frecuencia albergan malware o contenido indeseado. El filtrado de URL basado en la reputación que realiza búsquedas en tiempo real en la base de datos del fabricante de seguridad es especialmente efectivo para bloquear miles de nuevos sitios con malware, ataques que infectan la optimización de los motores de búsqueda (SEO) y de secuestros de sitios de confianza.

Sophos Endpoint Secuirty también integra Sophos Web Filtering haciendo fácil la instalación de una política inteligente de navegación para las 14 primeras categorías más inadecuadas dentro de la Consola Endpoint Enterprise. Con Sophos Web Filtering, los usuarios están protegidos de estos sites allá donde vayan, sin necesidad de un software o infraestructura adicional. Sophos Web Filtering permite un mejor rendimiento para los usuarios a través de un escaneo local, sin tener que recurrir a otro dispositivo en el Centro de Datos y reduciendo así el número de cajas necesarias para gestionar el acceso a la web.

En una reciente encuesta llevada a cabo en Naked Security se preguntó si las compañías debían bloquear el acceso a websites con contenido ofensivo, y más del 77% de los 4.600 participantes confirmaron la necesidad del bloqueo de las mismas.

El cifrado se hace sencillo

El cifrado completo de disco en Sophos Endpoint permite que los datos almacenados en ordenadores de sobremesa o portátiles estén completamente protegidos, permitiendo a los administradores TI cifrar los puestos de trabajo y ver su estado. Además, Sophos Encryption está integrado en la última versión de Sophos Endpoint, sin necesidad de desplegar una consola independiente, haciendo más rápida y fácil la instalación de un cifrado completo de disco en los ordenadores con tan sólo seis clics.

Según “Buyer's Guide to Endpoint Protection Platforms,” de Gartner, December 15, 2010,”la combinación de tecnologías múltiples en un sola plataforma, EPPs (endpoint protection platforms) tenderán a incrementar la seguridad mientras que se reducirá la complejidad, el coste y su gestión”.

"Nuestro objetivo siempre ha sido el de ofrecer a los clientes la más completa seguridad en cualquier lugar, sin ningún tipo de complejidad. Las características incluidas en Sophos Endpoint 10, primera de la industria, reafirman dicho objetivo” confirma Sahun Paice, Vicepresidente y Product Manager de Sophos. “Sophos Endpoint 10 es el resultado de una colaboración estrecha con nuestros clientes y socios, y hemos conseguido mejorar las funcionalidades, ofrecer mayor protección web, identificar parches y gestión integrada de cifrado de disco. Ahora es más fácil que nunca encontrar ordenadores en peligro, gestionar alertas, implantar políticas y eliminar amenazas”.

“Nosotros ofrecemos servicios de telecomunicaciones, redes, elaboración y servicios de gestión de proyectos a compañías de todo el mundo con más de 5.000 puntos finales, por lo que no hace falta decir que tenemos a mucha gente manejando a todas horas datos sensibles para iniciativas críticas.” Afirma Roger Dion, Director Corporativo de Sistemas de Información de Bell Technical Solutions. “Como clientes de Sophos desde hace tiempo, estamos particularmente contentos con el Control Web y la gestión de parches en su última solución Endpoint. La habilidad de reducir el tiempo de gestión al tiempo que se mantiene la seguridad de los puestos de los empleados es una increíble proposición de valor”

“Hemos recibido una magnifica opinión de Sophos Endpoint 10 por parte de nuestros clientes, en particular sobre la gestión de vulnerabilidades” comenta Paul Prior, Managing director de Foursys. “Con esta importante funcionalidad (evaluación y eliminación de vulnerabilidades) de múltiples fabricantes, especialmente Adobe, los más preocupados por la seguridad de red pueden encontrar un gran aliado. Además, tener todo desde la consola que ya tenía Sophos es un punto muy atractivo”


Acerca de Sophos

Más de 100 millones de usuarios en 150 países confían en Sophos para obtener la mejor protección contra amenazas complejas y fugas de datos. Nuestro objetivo es ofrecer soluciones de seguridad y protección de datos fáciles de administrar, implementar y utilizar, con el coste total de propiedad más bajo del sector. Sophos ofrece soluciones galardonadas de cifrado, seguridad para estaciones, internet, correo electrónico y control del acceso a la red, con el respaldo de SophosLabs, nuestra red de centros de investigación de amenazas. Más de dos décadas de experiencia, el reconocimiento de los mejores analistas y numerosos premios del sector sitúan a Sophos como uno de los líderes en seguridad y protección de datos. Sophos cuenta con sedes en Boston (EE. UU.) y en Oxford (Reino Unido).

Revelación de información sensible en PuTTY.

Se ha publicado la versión 0.62 de PuTTY, uno de los clientes SSH más utilizados en la plataforma Windows. La actualización solventa un problema que permitiría obtener la contraseña utilizada en ...




... conexiones realizadas con servidores SSH2.


PuTTY es una implementación Open Source gratuita de los protocolos Telnet y SSH para plataformas Win32 y Unix.

El fallo se presenta cuando el cliente se conecta a servidores SSH2, ya que tras la autenticación no se borra la contraseña de acceso, permaneciendo en memoria cuando debería haber sido eliminada de ella.

El fallo apareció al incluir la característica de los servidores SSH2 llamada "keyboard-interactive", que al añadirse a la aplicación no se tuvo en cuenta el borrado de toda la información sensible presente en memoria.

De esta forma, si algún proceso se hace con el control de PuTTY puede rastrear la memoria del proceso en busca de la clave utilizada para la conexión. El dato también puede quedar accesible si se produce un error con un volcado de memoria en un archivo.

Se ha confirmado que las versiones afectadas por esta vulnerabilidad van de la 0.59, a la 0.61 del cliente SSH. A pesar de todos los esfuerzos puestos a la hora de manejar los datos sensibles de la aplicación, desde la misma página del aviso, se advierte que no es posible una seguridad completa frente a estos ataques. Ya que en algún momento siempre será necesaria la presencia de información sensible en memoria, que puede quedar accesible por algún proceso malicioso. Desde la página oficial de PuTTY se recomienda actualizar a la última versión (actualmente 0.62).
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/revelacion-de-informacion-sensible-en.html#comments

Más información:

PuTTY vulnerability password-not-wiped
http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/password-not-wiped.html



Fuente:
Javier Rascón
jrascon@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Vulnerabilidad remota en Apache Struts.

Se ha anunciado una vulnerabilidad en Apache Struts que podría permitir a un atacante remoto ejecutar comandos arbitrarios en los sistemas afectados.




Struts es una herramienta gratuita de código abierto para el desarrollo de aplicaciones Web Java EE bajo el patrón de arquitectura de software Modelo-Vista-Controlador (MVC). Anteriormente se desarrollaba como parte del proyecto Jakarta de la Apache Software Foundation, pero actualmente es un proyecto independiente conocido como Apache Struts.

La vulnerabilidad reside en un fallo en la limpieza de limpieza de entradas, que puede permitir a un atacante remoto inyectar y ejecutar expresiones OGNL si se produce un error de conversión.

Se recomienda actualizar a Apache Struts 2.2.3.1 disponible desde:
http://struts.apache.org/download.cgi#struts2231


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/vulnerabilidad-remota-en-apache-struts.html#comments

Más información:

Version Notes 2.2.3.1
http://struts.apache.org/2.2.3.1/docs/version-notes-2231.html

Vulnerability: User input is evaluated as an OGNL expression when there's a conversion error
https://issues.apache.org/jira/browse/WW-3668



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Solucionadas dos vulnerabilidades en Asterisk.

Se han corregido dos vulnerabilidades en Asterisk, que podrían permitir a atacantes provocar denegaciones de servicio o enumerar los usuarios SIP.



Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primero de los fallos solucionados, identificado por Digium como AST-2011-013 afecta a todas las versiones de Asterisk. Este problema permite a un atacante remoto enumerar nombres de usuario SIP cuando la configuración NAT general difiere de la configuración NAT de user/peer.

La segunda de las vulnerabilidades afecta a las versiones 1.6.2.x y 1.8.x. Digium ha identificado este fallo como AST-2011-014 y permitiría a un atacante remoto causar una denegación de servicio mediante el envió de una solicitud SIP especialmente manipulada. Dicha solicitud causaría una eliminación de referencia a puntero nulo, lo que provoca la denegación de servicio. Se ven afectados los sistemas con la opción "automon" activa en el archivo de "features.conf", que no se trata de la configuración por defecto.

Existen exploits conocidos para ambas vulnerabilidades por lo que se recomienda la actualización de Asterisk o en su defecto aplicar los parches correspondientes. Actualmente ambas vulnerabilidad se encuentran en proceso de confirmación de CVE siendo el CVE-2011-4597 para la vulnerabilidad identificada como AST-2011-013 y el CVE-2011-4598 para la vulnerabilidad identificada como AST-2011-014.

Para corregir estos problemas Digium ha publicado las versiones 1.4.43, 1.6.2.21 y 1.8.7.2.


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/solucionadas-dos-vulnerabilidades-en.html#comments

Más información:

Asterisk Project Security Advisory - AST-2011-013 Possible remote enumeration of SIP endpoints with differing NAT settings http://downloads.asterisk.org/pub/security/AST-2011-013.html

Asterisk Project Security Advisory - AST-2011-014 Remote crash possibility with SIP and the “automon” feature enabled http://downloads.asterisk.org/pub/security/AST-2011-014.html

CVE Request -- Asterisk -- AST-2011-013 and AST-2011-014
http://seclists.org/oss-sec/2011/q4/488



Fuente:
Borja Luaces
bluaces@hispasec.com
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Microsoft publicará 14 boletines de seguridad el próximo martes 13 de diciembre 2011.

Siguiendo con su ciclo habitual de publicación de parches de seguridad los segundos martes de cada mes, Microsoft publicará este martes 13 de Diciembre 14 boletines de seguridad, del MS11-083 al MS11-096.



Los fallos afectarían a toda la gama de sistemas operativos Windows, Internet Explorer y la suite ofimática Microsoft Office.

Tres de los boletines han sido catalogados como críticos y se especula que en uno de ellos se incluirá un parche para la vulnerabilidad encontrada en el motor de parseo de fuentes TrueType explotado recientemente por el malware Duqu. También se espera un parche contra la vulnerabilidad en TLS 1.0 y SSL 3.0 explotada por BEAST.

Por otro lado, como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool que estará disponible desde Microsoft Update, Windows Server Update Services y el centro de descargas.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/microsoft-publicara-14-boletines-de.html#comments

Más información:

Microsoft Security Bulletin Advance Notification for December 2011
http://technet.microsoft.com/en-us/security/bulletin/ms11-dec



Fuente:
Borja Luaces
bluaces@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Actualización del kernel para Red Hat Enterprise Linux 6.

Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 6 que solventa 4 vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de ...




... servicio o revelar información sensible.


Los problemas corregidos se deben a errores en el sistema de archivos proc, en el tratamiento de paquetes VLAN (virtual LAN) para interfaces en modo promiscuo con el uso del driver be2net o en la función ext4_ext_convert_to_initialized().

La lista de CVEs relacionados son: CVE-2011-1020, CVE-2011-3347, CVE-2011-3638 y CVE-2011-4110.

Además se han solucionado otros fallos de menor importancia. Ésta actualización está disponible desde Red Hat Network.


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/actualizacion-del-kernel-para-red-hat.html#comments

Más información:

Moderate: Red Hat Enterprise Linux 6 kernel security, bug fix and enhancement update
https://rhn.redhat.com/errata/RHSA-2011-1530.html



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Diversas vulnerabilidades en Opera.

Se han anunciado diversas vulnerabilidades en el navegador Opera (versiones anteriores 11.60) que podrían permitir a un atacante remoto obtener información sensible y en determinadas ocasiones un ...



... usuario remoto podrá comunicarse entre dominios.


Uno de los problemas reside en que el navegador no gestiona adecuadamente las restricciones de dominio de nivel superior de dos letras (como .no o .uk) y algunos de los de tres letras. Debido a que no siguen patrones fijos para considerarse como parte del propio dominio base, en algunos casos requieren dos caracteres punto ("."), mientras que en otros solo se requiere uno.

Los sitios solo deben permitir asignar cookies para su propio nombre de dominio base, y sólo se debe permitir que compartan código script con sus propios subdominios. Sin embargo debido al error al determinar cuantos caracteres punto se necesitan para cada dominio de nivel superior, Opera no aplica la regla de forma correcta para algunos dominios de nivel superior. Como resultado, algunos dominios pueden establecer cookies para dominios fuera de sus subdominios. De forma similar, permite que los sitios asignen su contexto de scripting para dominios de nivel superior, de forma que puede comunicarse con otros sitios que tengan su contexto de scripting para dominios de nivel superior.

Un segundo problema (de gravedad baja) reside las especificaciones SSL v3.0 y TLS 1.0, de forma que un atacante remoto con la posibilidad de realizar ataques "hombre en el medio" podría llegar a descifrar sesiones SSL/TLS.

También existe una vulnerabilidad de gravedad baja, en el tratamiento del operador "in" de JavaScript que no restringe de forma adecuada el acceso de dominios cruzados, de forma que puede permitir a sitios web acceder a comprobar la existencia de variables en sitios de otros dominios.

Otro problema se presenta en que en determinadas ocasiones la revocación de certificados no se trata de forma adecuada. Por ultimo, también se ha anunciado una vulnerabilidad de impacto "moderadamente severo" de la que no se ha facilitado ningún detalle.

Opera ha publicado la versión 11.60 que corrige los problemas, que puede descargarse desde:
http://www.opera.com/download/


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/diversas-vulnerabilidades-en-opera.html#comments

Más información:

Opera 11.60 for Windows changelog
http://www.opera.com/docs/changelogs/windows/1160/

Opera 11.60 for Mac changelog
http://www.opera.com/docs/changelogs/mac/1160/

Opera 11.60 for UNIX changelog
http://www.opera.com/docs/changelogs/unix/1160/

Pages can set cookies and communicate cross-site for some top level domains
http://www.opera.com/support/kb/view/1003/

A weakness in the SSL v3.0 and TLS 1.0 specifications can allow eavesdropping attacks against some applications
http://www.opera.com/support/kb/view/1004/

JavaScript "in" operator allows leakage of cross-domain information
http://www.opera.com/support/kb/view/1005/



Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Adobe avisa de vulnerabilidad '0-day' en Adobe Reader y Acrobat

Adobe ha publicado el aviso de seguridad APSA11-04 en el que confirma la existencia de una vulnerabilidad en diferentes versiones de Adobe Reader y Acrobat.




El problema que permite la ejecución de código está siendo aprovechado por atacantes.


La vulnerabilidad, con CVE-2011-2462, se ha considerado como crítica y afecta a Adobe Reader X (10.1.1 y versiones anteriores) para Windows y Macintosh, Adobe Reader 9.4.6 (y versiones 9.x anteriores) para UNIX, y Adobe Acrobat X (10.1.1) y versiones anteriores para Windows y Macintosh.

El problema reside en un problema de tratamiento inadecuado de datos del tipo U3D que puede dar lugar a errores de memoria. Adobe confirma que la vulnerabilidad puede provocar la caída del sistema y potencialmente permitir a un atacante tomar el control de los sistemas afectados.

También se confirma que la vulnerabilidad se está explotando de forma activa en la actualidad, en ataques dirigidos contra Adobe Reader 9.x sobre Windows.

En el boletín de seguridad la compañía informa que está finalizando una actualización para el problema en Adobe Reader 9.x y Acrobat 9.x para Windows no más tarde de la semana que viene (la semana del 12 de diciembre de 2011).

Como Adobe Reader X Protected Mode y Adobe Acrobat X Protected View pueden proteger de la ejecución de un "exploit" de este tipo, se planea corregir este problema en Adobe Reader X y Acrobat X para Windows con la actualización de seguridad para Adobe Reader y Acrobat del próximo trimestre, actualmente programada para el 10 de enero de 2012. Igualmente, Adobe planea corregir el resto de versiones afectadas en dicha actualización.

El Modo Protegido y la Vista Protegida de Adobe Reader X (Adobe Reader X Protected Mode y Adobe Acrobat X Protected View) se encuentran activos por defecto y pueden evitar la ejecución de un ataque de este tipo. Para verificar que Protected View para Acrobat X está activo, en:
Edición >Preferencias > Securidad (mejorada) y confirmar que se encuentran
marcados "Archivos de ubicaciones potencialmente no seguras" o "Todos los archivos" con "Activar seguridad mejorada". Para verificar que el Modo Protegido de Adobe Reader X está activo, comprobar que en
Edición >Preferencias >General se encuentra marcado "Activar modo protegido al
iniciar”.


Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/adobe-avisa-de-vulnerabilidad-0-day-en.html#comments


Más información:

Security Advisory for Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa11-04.html


Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Se detectó el primer bootkit para Windows 8.

El descubrimiento de un bootkit para Window 8 y las amenazas hacia dispositivos móviles con sistemas operativos Android ocuparon el centro de la escena en materia de seguridad informática durante el mes de noviembre.




Durante noviembre, apareció el primer exploit para saltar las políticas de seguridad de Windows 8, bautizado con el nombre de Stoned Bootkit. Además, el Laboratorio de ESET Latinoamérica descubrió un nuevo malware para equipos móviles con sistemas operativos Android controlado a través de la utilización de blogs con posts cifrados y cuyo objetivo principal es convertir al dispositivo en parte de una botnet.

Stoned Bootkit es un exploit que permite vulnerar sistemas operativos Windows 8 para luego instalar el bootkit y comprometer así la seguridad del sistema desde su inicio. Por su parte dicho bootkit posee algunas novedades respecto a otros, ya que ataca a todas las versiones de Windows, desde XP hasta 7. Además, sobrepasa el mecanismo de cifrado de unidades, denominado TrueCrypt.

“La detección de este tipo de vulnerabilidades pone en evidencia una vez más la importancia de mantener los equipos provistos con un solución de seguridad eficiente y con usuarios capacitados y debidamente informados sobre las amenazas que pueden poner en peligro la seguridad de sus sistemas”, asegura Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

También durante noviembre, se descubrió una nueva amenaza conocida como AnserverBot que incorpora una serie de funcionalidades de alta complejidad con el objetivo de convertir dispositivos móviles con sistemas operativos Android en parte de una botnet. Este malware cuenta con capacidades para la carga dinámica de código, la ofuscación de código, el cifrado de datos, la auto verificación de firmas, como así también, la posibilidad de detectar y eliminar ciertas herramientas de seguridad para dispositivos móviles.

La particularidad de AnserverBot es que su gestión y comunicación con el centro de control (C&C) de la red de dispositivos zombies se realiza a través de la utilización de blogs con posts cifrados, que son leídos por el código malicioso.

“Como anticipamos en nuestro informe “Tendencias 2012: el malware, a los móviles”, el número de ataques informáticos dirigidos especialmente a dispositivos móviles y en particular a aquellos con sistemas operativos Android se encontrará en alza durante el año próximo. La aparición de AnserverBot confirma esta tendencia, siendo uno de los códigos maliciosos para Android más avanzados que se han detectado hasta el día de hoy, ya que implementa metodologías para complicar su análisis y ocultar su comunicación con el centro de control”, agrega Pablo Ramos, Especialista de Awareness & Research de ESET Latinoamérica.

Finalmente, en noviembre se descubrió un nuevo troyano bancario que ataca a clientes de 5 prestigiosos bancos brasileros. La campaña de propagación de este ataque comienza a través de correos falsos, uno de los canales más utilizados por los cibercriminales para lograr un mayor número de infecciones. Cuando se ejecuta este código malicioso en un sistema desprotegido, este descomprime dentro de la carpeta temporal del sistema una serie de archivos que serán utilizados para modificar el equipo con el objetivo de direccionar las conexiones del usuario a los servidores de phishing.


Copyright © 1992–2011 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marca registrada de sus respectivas empresas.


Acerca de ESET

Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Londres (Reino Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (México).

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.




Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com