Noticias

Ejecución de código en Adobe Reader para Android

Hispasec - Jue, 17/04/2014 - 22:00
Siguen los problemas para Adobe. En esta ocasión es Adobe Reader Mobile el producto afectado. La aplicación de Adobe para lectura de documentos pdf en dispositivos Android también se ve afectada por una grave vulnerabilidad.
Reader 11.2 para Android. Fuente: SecurifyAdobe ha publicado el boletín APSB14-12 que corrige una vulnerabilidad (con CVE-2014-0514) en Adobe Reader Mobile (versiones 11.1.3 y anteriores) para sistemas Android que permitiría la ejecución de código remoto debido a un fallo en la implementación de las APIs JavaScript. Según Google Play la aplicación está instalada en más de 100 millones de dispositivos.
En concreto el problema reside en que Adobe Reader para Android expone múltiples interfaces Javascript inseguras. Las siguientes clases exponen una o más interfaces Javascript: ARJavaScript, ARCloudPrintActivity y ARCreatePDFWebView. Esto podría permitir que al abrir un pdf malicioso un atacante remoto podrá lograr la ejecución de código Java arbitrario. El fallo fue reportado por la firma Securify de los Países Bajos, que ofrece mayor información del problema y hasta una prueba de concepto.
Adobe ha publicado la versión 11.2 de Adobe Reader Mobile disponible en Google Play, o desde este enlace.https://play.google.com/store/apps/details?id=com.adobe.reader
Más información:
Security update available for Adobe Reader Mobilehttp://helpx.adobe.com/security/products/reader-mobile/apsb14-12.html
Adobe Reader for Android exposes insecure Javascript interfaceshttp://www.securify.nl/advisory/SFY20140401/adobe_reader_for_android_exposes_insecure_javascript_interfaces.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categorías: Seguridad

Microsoft ya admite propuestas de “aplis universales”

Canal PDA - Jue, 17/04/2014 - 11:20
Microsoft ha abierto la puerta a los desarrolladores que deseen presentar aplicaciones para Windows Phone 8.1, así como “aplicaciones universales” que funcionen en smartphones, tabletas y ordenadores basados en los sistemas operativos de la empresa. Además de admitir propuestas de títulos creados para la inminente actualización del sistema operativo, los Dev Centers para Windows Phone […]
Categorías: PDA / PPC

Los primeros smartphones de Samsung con Tizen llegarán en junio

Canal PDA - Jue, 17/04/2014 - 11:19
Samsung tiene intención de lanzar smartphones con el sistema operativo Tizen de código abierto a finales del segundo trimestre. Así lo ha asegurado a Reuters un alto directivo de la firma surcoreana. Yoon Han-kil, vicepresidente sénior del equipo de estrategia de productos de Samsung, explica que el primer smartphone basado en Tizen que saldrá al […]
Categorías: PDA / PPC

Google aspira a lanzar el smartphone modular Ara en enero de 2015

Canal PDA - Jue, 17/04/2014 - 11:18
El primer teléfono modular fruto del Proyecto Ara de Google podría salir a la venta en enero de 2015 a un precio que ronde los 50 dólares (36 euros). La fecha ha sido revelada por su responsable, Paul Eremenko, durante la primera convención de desarrolladores de Ara, celebrada esta semana. “Lo llamamos el Teléfono Gris […]
Categorías: PDA / PPC

Telefonica y Blackstone lanzarán una plataforma de publicidad en móviles

Canal PDA - Jue, 17/04/2014 - 11:16
Telefónica y la firma de inversiones Blackstone se lanzan al mercado de la publicidad en el móvil con una nueva empresa bautizada Axonix, que utilizará la tecnología de MobClix para poner en marcha una plataforma de anuncios exclusivamente para móviles que pondrá en contacto a los editores con los potenciales anunciantes. Telefónica asegura que se […]
Categorías: PDA / PPC

Samsung presume del éxito del Galaxy S5, pero su coste de fabricación es “astronómico”

Canal PDA - Jue, 17/04/2014 - 11:15
Samsung asegura que su nuevo smartphone emblemático, el Galaxy S5, se está vendiendo mejor que su predecesor. Esta circunstancia es crucial para el fabricante surcoreano, dado que según un informe reciente, el terminal proporciona a la empresa un margen de beneficio más bajo que el de otros modelos de gama alta del mercado. “Por ahora, […]
Categorías: PDA / PPC

HearthStone, el nuevo juego de Blizzard, ya disponible en el App Store

Todo Pocket PC - Jue, 17/04/2014 - 10:45
Hace unos días nos llegaba la noticia de que HearthStone, el juego de cartas de Blizzard, había llegado a unas cuantas App Store entre las cuales no estaba la de nuestro país. Los más impacientes se registraron en las App Store de los países donde estaba disponible pero a partir de ayer mismo ya es posible descargar el juego desde la tienda de nuestro país.

HearthStone es un juego de cartas y estrategia con versión para Windows, Mac e iPad y según los primeros comentarios,
Categorías: PDA / PPC

Facebook prepara un servicio de dinero en el móvil

Canal PDA - Mié, 16/04/2014 - 14:18
Facebook está trabajando en un servicio de remesas internacionales mediante dispositivos móviles, que forma parte de su estrategia para entrar en los mercados emergentes, según una información que publica el diario Financial Times. El gigante de las redes sociales está negociando posibles alianzas con las firmas Azimo y Moni Technologies, especialistas en remesas a través […]
Categorías: PDA / PPC

iZettle frena su expansión geográfica para centrarse en nuevos servicios

Canal PDA - Mié, 16/04/2014 - 14:17
iZettle, la firma proveedora de sistemas móviles para el punto de venta, ha frenado su estrategia de despliegues, hasta ahora muy activa, para dedicarse a ofrecer más servicios a los clientes que ya tiene. Así lo ha explicado su fundador y consejero delegado, Jacob De Geer, en una entrevista con Mobile World Live. Entre noviembre […]
Categorías: PDA / PPC

Toshiba pone a la venta un portátil con pantalla de alta resolución

Todo Pocket PC - Mié, 16/04/2014 - 13:08

A través de un comunicado de prensa, Toshiba acaba de anunciar que pone a la venta un nuevo equipo portátil cuya principal característica es la de disponer de una pantalla de alta resolución capaz de soportar modos de 3840x2160 Ultra HD y 282 ppi, bastante por encima de las pantallas Retina de Apple que ofrecen resoluciones de 2880x1800 a 220 ppi.

Además, Toshiba asegura que cada una de estas pantallas ha sido calibrada de forma individual con
Categorías: PDA / PPC

Oracle corrige 104 vulnerabilidades en su actualización de seguridad de abril

Hispasec - Mié, 16/04/2014 - 09:03
Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica suboletín de seguridad de abril. Contiene parches para 104 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris o MySQL. 
Los fallos se dan en varios componentes de los productos:
  • Oracle Database 11g Release 1, versión 11.1.0.7
  • Oracle Database 11g Release 2, versiones 11.2.0.3 y 11.2.0.4
  • Oracle Database 12c Release 1, versión 12.1.0.1
  • Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.7 y 11.1.1.8
  • Oracle Fusion Middleware 12c Release 1, versiones 12.1.1.0 y 12.1.2.0
  • Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.8
  • Oracle Access Manager, versiones 10.1.4.3, 11.1.1.3.0, 11.1.1.5.0, 11.1.1.7.0, * 11.1.2.0.0, 11.1.2.1.0 y 11.1.2.2.0
  • Oracle Containers for J2EE, versión 10.1.3.5
  • Oracle Data Integrator, versión 11.1.1.3.0
  • Oracle Endeca Server, versión 2.2.2
  • Oracle Event Processing, versión 11.1.1.7.0
  • Oracle Identity Analytics, versión 11.1.1.5, Sun Role Manager, versión 5.0
  • Oracle OpenSSO, versión 8.0 Update 2 Patch 5
  • Oracle OpenSSO Policy Agent, versión 3.0-03
  • Oracle WebCenter Portal, versiones 11.1.1.7 y 11.1.1.8
  • Oracle WebLogic Server, versiones 10.0.2.0, 10.3.6.0, 12.1.1.0 y 12.1.2.0
  • Oracle Hyperion Common Admin, versiones 11.1.2.2 y 11.1.2.3
  • Oracle E-Business Suite Release 11i y 12i
  • Oracle Agile PLM Framework, versiones 9.3.1.1 y 9.3.3.0
  • Oracle Agile Product Lifecycle Management for Process, versiones 6.0.0.7 y 6.1.1.3
  • Oracle Transportation Management, versiones 6.3 y 6.3.4
  • Oracle PeopleSoft Enterprise CS Campus Self Service, versión 9.0
  • Oracle PeopleSoft Enterprise HRMS Talent Acquisition Manager, versiones 8.52 y 8.53
  • Oracle PeopleSoft Enterprise PT Tools, versiones 8.52 y 8.53
  • Oracle Siebel UI Framework, versiones 8.1.1 y 8.2.2
  • Oracle iLearning, versiones 6.0 y 6.1
  • Oracle JavaFX, versión 2.2.51
  • Oracle Java SE, versiones 5.0u61, 6u71, 7u51 y 8
  • Oracle Java SE Embedded, versión 7u51
  • Oracle JRockit, versiones R27.8.1 y R28.3.1
  • Oracle Solaris, versiones 9, 10 y 11.1
  • Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0 y 5.1
  • Oracle VM VirtualBox, versiones anteriores a 3.2.22, 4.0.24, 4.1.32, 4.2.24 y 4.3.10
  • Oracle MySQL Server, versiones 5.5 y 5.6

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
  • Dos nuevas vulnerabilidades corregidas en Oracle Database Server, que afectan al componente Core RDBMS.
       
  • Otras 20 vulnerabilidades afectan a Oracle Fusion Middleware. 13 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Access Manager, Oracle Containers for J2EE, Oracle Data Integrator, Oracle Endeca Server, Oracle Event Processing, Oracle Identity Analytics, Oracle OpenSSO, Oracle WebCenter Portal y Oracle WebLogic Server.
        
  • Tres actualizaciones afectan a Oracle Hyperion, dos de ellas podrían ser explotadas por un atacante remoto sin autenticar. El todos los casos el componente afectado es Hyperion Common Admin.
        
  • Dentro de Oracle Applications, 10 parches son para Oracle Supply Chain Products Suite, ocho para productos Oracle PeopleSoft, uno para Oracle Siebel CRM y uno para iLearning.
        
  • En lo referente a Oracle Java SE se incluyen 37 nuevos parches de seguridad. 35 de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar.
        
  • 14 nuevas vulnerabilidades afectan a MySQL Server, dos de ellas explotables de forma remota sin autenticación. Los componentes
         
  • Esta actualización también incluye tres parches que afectan a Solaris en sus versiones 9, 10 y 11.1 aunque ninguno de ellos es explotable remotamente sin autenticación (uno de ellos solo afecta a las plataformas SPARC64-X).

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en: Oracle Critical Patch Update Advisory - April 2014http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html
Más información:
Oracle Critical Patch Update Advisory - April 2014http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categorías: Seguridad

Investigadores consiguen saltar el escáner de huellas digitales del Samsung Galaxy S5

Hispasec - Mar, 15/04/2014 - 22:32
Al igual que el iPhone 5s, el nuevo Samsung Galaxy S5 tiene un lector de huellas digitales que permite al usuario utilizar su huella digital como credencial en operaciones como el bloqueo del terminal o realizar compras a través de diferentes aplicaciones. Y al igual que con el iPhone 5s, pocos días después de su comercialización, ya se ha descubierto una forma de saltar esta protección del nuevo modelo de Samsung.
Investigadores de la empresa alemana SRLabs han utilizado un método muy similar al ya empleado anteriormente con el iPhone 5s. Mediante un molde en silicona de la huella autorizada han conseguido burlar la autenticación a través de este sistema biométrico. Además no solo han conseguido acceder al terminar mediante la huella falsificada, sino que mediante el mismo sistema han conseguido utilizar la aplicación de PayPal del dispositivo y autorizar transferencias sin necesidad de contraseña.
Han publicado un vídeo en el que muestran como han realizado todo el proceso.
https://www.youtube.com/watch?v=sfhLZZWBn5Q
Tal y como SRLabs destaca, el fallo no tiene porque residir necesariamente en el propio escáner sino que puede tratarse de la forma en que éste se ha implementado. Un factor importante es que el Samsung Galaxy S5 permite ilimitados intentos de autenticación, lo que permite probar una huella falsa tantas veces como haga falta para desbloquear el dispositivo.
Más información:
una-al-dia (22/09/2013) El grupo Chaos Computer Club consigue saltar el sistema TouchID del iPhone 5shttp://unaaldia.hispasec.com/2013/09/el-grupo-chaos-computer-club-consigue.html

Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categorías: Seguridad

Dropbox ya no es sólo para almacenar y compartir ficheros

Canal PDA - Mar, 15/04/2014 - 14:19
Dropbox ha realizado diversos anuncios relativos a aplicaciones, diseñados para reflejar una transformación que ampliará sus funciones de almacenamiento y compartición en línea para transformarse en lo que la empresa denomina “un hogar para la vida”. El anuncio más destacado ha sido el de su nueva aplicación Carousel, que se une a la ya nutrida […]
Categorías: PDA / PPC

BlackBerry: “No vamos a dejar el negocio de los teléfonos”

Canal PDA - Mar, 15/04/2014 - 14:17
John Chen, consejero delegado de BlackBerry, ha recurrido al blog de la empresa para “aclarar” una información de Reuters según la cual la firma podría abandonar el negocio de los teléfonos, alegando la tradicional excusa de que “mis declaraciones fueron sacadas de contexto”. “Quiero asegurarles que no tengo intención alguna de vender ni de abandonar […]
Categorías: PDA / PPC

Yaap, la alianza de dinero móvil promovida por Telefónica, desvela sus planes

Canal PDA - Mar, 15/04/2014 - 14:16
Telefónica y dos de los tres mayores bancos españoles, CaixaBank y Santander, lanzarán durante los próximos meses un servicio de transferencia de fondos en modalidad P2P, que utilizará la recién presentada marca Yaap. La colaboración, que fue anunciada el año pasado, comenzará ofreciendo dos servicios. El primero es Yaap Money, con el que los usuarios […]
Categorías: PDA / PPC

Google actualiza las condiciones de uso de Gmail: Confirma que lee tus correos.

Todo Pocket PC - Mar, 15/04/2014 - 11:35
Cada uno es bien libre de confiar sus datos privados a quien le plazca. Personalmente hace mucho tiempo que ni a nivel personal y mucho menos a nivel profesional dejo mis datos en los servidores de Google, ni uso Chrome ni ninguno de sus servicios gratuitos, por eso de que esta empresa vive precisamente de esto, de que le ofrezcamos nuestros datos y ellos a cambio, nos lo agradezcan con publicidad personalizada.

Era por casi todos sabido que los correos electrónicos
Categorías: PDA / PPC

Asus pone a la venta el ZenFone, con procesador Intel

Todo Pocket PC - Mar, 15/04/2014 - 11:06
Uno de los grandes logros que ha consegudo Android es haber acercado la telefonía de gama alta a prácticamente todos los bolsillos, permitiendo que empresas chinas vendan dispositivos más que decentes a precios de derribo, convirtiéndolos en además de asequibles, muy interesantes para todos aquellos que no llegan a un Samsung o LG de gama alta.

Asus acaba de poner a la venta un dispositivo anunciado durante el CES Las Vegas y que se sitúa a medio camino entre los
Categorías: PDA / PPC

Vulnerabilidad en Android facilita la realización de ataques de phishing

Hispasec - Lun, 14/04/2014 - 20:46
Investigadores de FireEye han descubierto una nueva vulnerabilidad en Android que podría permitir a una aplicación maliciosa con permisos normales modificar los iconos de la pantalla principal de Android y modificarlos para que apunten a sitios web de phishing o a la propia aplicación maliciosa sin notificarlo al usuario. Google ha reconocido el problema y ha liberado un parche a sus socios OEM, aunque posiblemente tarde en llegar a los usuarios.
Android Open Source Project (AOSP) clasifica los permisos en Android en varios niveles: "normal", "dangerous", "system", "signature" y " development". Los permisos normales se conceden automáticamente en la instalación, sin pedir aprobación explícita del usuario (aunque el usuario siempre puede revisar los permisos antes de instalar).
En la última versión de Android 4.4.2 si una aplicación solicita tanto permisos peligrosos como permisos normales, el sistema solo muestra los permisos peligrosos. Si una aplicación solo solicita permisos normales, Android no los muestra al usuario. Sin embargo, FireEye ha descubierto que determinados permisos de la categoría "normal" pueden tener impactos peligrosos en la seguridad. Mediante el uso de estos permisos una aplicación maliciosa puede modificar los icosos de la página principal de forma que lanzen aplicaciones o sitios web de phishing.
La aplicación maliciosa abusa del conjunto de permisos:"com.android.launcher.permission.READ_SETTINGS" y "com.android.launcher.permission.WRITE_SETTINGS". Estos dos permisos permiten a una aplicación consultar, insertar, eliminar o modificar todos los ajustes de la configuración del "Launcher" (lanzador), incluyendo la modificación e inserción de iconos. Estos dos permisos están etiquetados como "normal" desde la primera versión de Android.
Como prueba de concepto desarrollaron una aplicación que hacía uso de estos dos permisos para modificar iconos legítimos de algunas aplicaciones sensibles para redirigirlas a otros sitios web. Con lo que confirmaron el problema en un Nexus 7 con Android 4.4.2. Google Play no evitó que la aplicación fuera publicada y no se mostró ningún aviso al usuario al descargarla e instalarla. Tras las pruebas, eliminaron tanto las webs empleadas como la aplicación de Google Play. Por lo que nadie ha podido verse afectado.
FireEye también confirma que la vulnerabilidad no está limitada a dispositivos Android que ejecuten AOSP. También se ven afectados otros dispositivos con Launchers no-AOSP incluyendo Nexus 7 con CyanogenMod 4.4.2, Samsung Galaxy S4 con Android 4.3 y HTC One con Android 4.4.2.
Google ha reconocido la vulnerabilidad y ha distribuido un parche a sus sociosOEM. Sin embargo, tal y como ya avisan en FireEye muchos fabricantes que hacen uso de Android son lentos a la hora de adaptar las actualizaciones de seguridad. Al igual que FireEye, nos unimos a la petición de que estos fabricantes solucionen las vulnerabilidades de forma más eficiente para proteger a los usuarios.
Más información:
Occupy Your Icons Silently on Androidhttp://www.fireeye.com/blog/technical/2014/04/occupy_your_icons_silently_on_android.html
App Manifest/<permission>http://developer.android.com/guide/topics/manifest/permission-element.html

Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categorías: Seguridad

Mensajes más interesantes de la semana (07 - 13 Abril)

PDA Expertos - Lun, 14/04/2014 - 07:00
El resumen semanal de los mejores posts en el Foro de PDAExpertos.com
Categorías: PDA / PPC

Divulgación de contraseñas en IBM SPSS Analytic Server

Hispasec - Dom, 13/04/2014 - 22:29
Se ha confirmado una vulnerabilidad en IBM SPSS Analytic Server que podría permitir a usuarios autenticados obtener todas las contraseñas. 
IBM SPSS Analytic Server es un paquete que pertenece a la familia SPSS, un programa estadístico informático muy usado en las ciencias sociales y las empresas de investigación de mercado.
El problema, con CVE-2014-0920, reside en que IBM SPSS Analytic Server escribe las contraseñas en texto plano en archivos de "log", de tal forma que cualquier usuario autenticado puede obtener dichas contraseñas.  
IBM ha publicado actualizaciones para corregir este problema, IBM SPSS Analytic Server 1.0.0.0 Interim Fix 002 y 1.0.1.0 Interim Fix 004, disponibles desdehttp://www.ibm.com/support/docview.wss?uid=swg24037298
Más información:
Security Bulletin: Password displayed in plaintext in logs (CVE-2014-0920)http://www-01.ibm.com/support/docview.wss?uid=swg21669506
IBM SPSS Analytic Server 1.0.0.0 Interim Fix 002 and 1.0.1.0 Interim Fix 004http://www-01.ibm.com/support/docview.wss?uid=swg24037298

Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categorías: Seguridad
Distribuir contenido