Noticias

Google publica Chrome 52 y corrige 48 vulnerabilidades

Hispasec - Sat, 23/07/2016 - 22:30
Google anuncia una nueva versión de su navegador Google Chrome 52. Se publica la versión 52.0.2743.82 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 48 nuevas vulnerabilidades. 
Entre las principales novedades cabe destacar la integración de "screen mirroring" con Chromecast y Hangouts, así como la activación por defecto de Material Design en macOS.
Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 48 nuevas vulnerabilidades, solo se facilita información de 17 de ellas (11 de gravedad alta y 6 de importancia media).
Se corrigen vulnerabilidades por escape de la sandbox en PPAPI, falsificaciones de URL, desbordamiento de búfer en sfntly, salto de la política de seguridad de contenido, corrupción de memoria en V8, confusion de origen en autenticación proxy y filtrado de URL a través de script PAC y escucha del historial con HSTS y CSP. También problemas por uso de memoria después de liberar en extensiones, Blink y libxml. Así como salto de la política de mismo origen en Blink, V8 y Service Workers. Se han asignado los CVE-2016-1706 al CVE-2016-1711 y CVE-2016-5127 al CVE-2016-5137.
También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-1705). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 21.000 dólares en recompensas a los descubridores de los problemas, si bien hay 11 vulnerabilidades en klas que la cuantía del premio aun está por determinar.
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.
Más información:
Stable Channel Updatehttp://googlechromereleases.blogspot.com.es/2016/07/stable-channel-update.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero


Categories: Seguridad

Múltiples vulnerabilidades en PHP

Hispasec - Fri, 22/07/2016 - 22:00
Se han publicado las actualizaciones para las ramas 5.5, 5.6 y 7.0 de PHP que solucionan diversas vulnerabilidades, entre ellas la famosa HTTPoxy.
Estas actualizaciones corrigen fallos que podrían ser explotados para provocar denegaciones de servicio y afectar a la confidencialidad. En concreto, se solucionan desbordamientos de memoria en virtual_file_ex, _gdContributionsAlloc(), simplestring_addn y php_stream_zip_opener. Errores de uso de memoria tras liberación en unserialize(), accesos fuera de límite en locale_accept_from_http y exif_process_IFD_in_MAKERNOTE y acceso a archivos arbitrarios a través de gdImageTrueColorToPaletteBody. Estas vulnerabilidades no tienen código CVE asignado.
Además se soluciona la vulnerabilidad conocida como HTTPoxy, que podría permitir a un atacante remoto redirigir todo el tráfico HTTP a un proxy bajo su control, lo que facilitaría el espiar o modificar todas las conexiones que realice el servidor (CVE-2016-5385).
Como siempre, se recomienda actualizar cuanto antes a las últimas versiones 7.0.9, 5.6.24 y 5.5.38 desde http://www.php.net/downloads.php
Más información:
PHP ChangeLogVersion 7.0.9 http://php.net/ChangeLog-7.php#7.0.9Version 5.6.24 http://php.net/ChangeLog-5.php#5.6.24Version 5.5.38 http://php.net/ChangeLog-5.php#5.5.38
una-al-dia (20/07/2016) ¿Colega, dónde está mi Proxy?http://unaaldia.hispasec.com/2016/07/colega-donde-esta-mi-proxy.html


Francisco Salidofsalido@hispasec.com
Categories: Seguridad

El éxito de Pokémon Go o el punto de no retorno en la vida móvil

Canal PDA - Fri, 22/07/2016 - 11:55
La reacción de la prensa impresa ante la aparición clamorosa de Pokémon Go revela las dos tensiones entre las que se mueve la mente periodística: la atracción por la novedad que le reclama tanto el afán de nuevas modas que mueve al público y que dirige el espíritu de curiosidad que está en el origen […]
Categories: PDA / PPC

Yo no tengo el Pokémon Go. ¿Y tú?

Canal PDA - Fri, 22/07/2016 - 11:22
Noticias, chistes, reclamos publicitarios. Hasta un niño sirio con una foto de los personajes ha recorrido la red estos días. Pero os lo confieso, yo no tengo instalado Pokémon Go. Me interesa el fenómeno desde otro punto de vista, desde el marketing y la publicidad. Un nuevo fenómeno donde todo el mundo ya quiere hacer […]
Categories: PDA / PPC

¿Colega, dónde está mi Proxy?

Hispasec - Thu, 21/07/2016 - 15:40
Hoy traemos a la palestra una vulnerabilidad genérica que afecta a varias implementaciones del protocolo GCI y que permite, de manera trivial, forzar al servidor a usar un proxy controlado por un atacante.
¡nombre, logo y web!Los autores han decidido llamarla httpoxy (en un futuro habrá asignaturas en las universidades dedicadas a nombrar vulnerabilidades), un juego de palabras con las palabras "proxy" y "poxy".

¿En qué consiste?
La explicación es tremendamente sencilla. Cuando el servidor atiende las peticiones de los clientes (navegadores) le pasa la petición completa al script o ejecutable que hace de GCI, cabeceras incluidas. Al procesar las cabeceras del cliente si se encuentra una cabecera denominada "Proxy" cogerá el valor y lo pondrá como valor de la variable de entorno del servidor "HTTP_PROXY".
Es típico de CGI funcionar así. A cada cabecera del cliente le prepone el "HTTP_" y la cambia a mayúsculas. No es un defecto que ocurra por procesar cierto valor, simplemente es una colisión de nombres ya que HTTP_PROXY se usa en otros contextos independientes de CGI.
El problema con esta variable de entorno es que le estamos diciendo a todos los procesos, que le hagan caso y la tengan en su entorno, que envíen todas las peticiones HTTP a través de ese proxy.
De este modo, lo que estamos es manipulando al servidor vía GCI para forzar el uso de un proxy. Si tenemos controlado el proxy nos llegarán las respuestas del servidor, con lo que podemos hacer un hombre en el medio con todo el tráfico en texto claro (no, no funcionaría con el tráfico cifrado) o simplemente ralentizar las respuestas para degradar el servicio.

¿A qué afecta?
Bien. Tranquilidad. Si tu servidor no sirve un entorno GCI no hay de que preocuparse, en principio. Esto solo afecta a GCI, que es un autentico vestigio de otros tiempos en los que la gente hablaba por teléfonos que residían en pequeños habitáculos puestos en la calle a cambio de insertarles monedas de metal.
Tampoco afecta a FastCGI, alternativa "más moderna" que no usa variables de entorno para comunicar al proceso receptor los valores de las peticiones de los clientes.
Ahora bien, si el entorno del servidor da soporte a CGI la cosa cambia. Como sabemos, CGI es soportado por cualquier lenguaje que se ejecute en el servidor. Incluso llegaron a existir CGIs corriendo sobre bash (en serio, no es broma) o binarios en C (recordad, ¡teléfonos en la calle!) atendiendo peticiones HTTP. Pues bien, algunos lenguajes ya parchearon esta vulnerabilidad hace tiempoy de manera independiente, como Ruby o Perl, pero no todos... hasta que la vulnerabilidad volvió a cobrar protagonismo.
En algo así como un revival, alguien se dio cuenta de que lo que parchearon en algunos lenguajes y herramientas se podía reproducir en otros lenguajes, como por ejemplo PHP (¿Sorprendido?), Python y el recién llegado Go. Además se han parcheado los servidores ApacheHTTP Server y Apache Tomcat para evitar que esto ocurra. Es de esperar que otros lenguajes y herramientas se unan y saquen los oportunos parches ya que este fallo es un error de diseño y por lo tanto transversal a todo el bestiario de librerías, implementaciones y herramientas que usen CGI.
Por cierto si estabas a punto de dejar de leer pensando que no afecta a Microsoft IIS, sí que afecta en cierto modo, como por ejemplo derivado del uso de la librería cURL, tal y como comentan en la nota enlazada.

Prueba de concepto y más información
Los autores nos han dejado un legado para la posteridad en forma de página web con su logo y dominio, como viene siendo costumbre, aquí.
No es recomendable hacer una prueba de concepto en entornos de producción, ya que si funciona todo el tráfico HTTP saliente del servidor se dirigirá al proxy indicado por la petición manipulada, pero si se insiste los autores han dejado código en un repositorio de GitHub.
Más información:
httpoxyhttps://httpoxy.org/
The CERT vulnerability note - VU#797896CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variableshttps://www.kb.cert.org/vuls/id/797896
Red Hat advisoryHTTPoxy - CGI "HTTP_PROXY" variable name clashhttps://access.redhat.com/security/vulnerabilities/httpoxy
Apache Software Foundation Projects and "httpoxy" CERT VU#797896https://www.apache.org/security/asf-httpoxy-response.txt
Microsoft advisory KB3179800IIS CGI HTTP_PROXY header requests may be redirectedhttps://support.microsoft.com/en-us/kb/3179800
Mitigating the HTTPoxy Vulnerability with NGINXhttps://www.nginx.com/blog/mitigating-the-httpoxy-vulnerability-with-nginx/
Drupal Core - Highly Critical - Injection - SA-CORE-2016-003 https://www.drupal.org/SA-CORE-2016-003


David Garcíadgarcia@hispasec.comTwitter: @dgn1729

Categories: Seguridad

Lleida.net prestará a Zurich servicios de notificación y contratación electrónica

Canal PDA - Thu, 21/07/2016 - 10:20
Lleida.net, empresa líder en el ámbito de la certificación y notificación electrónica, ha llegado a un acuerdo con el grupo asegurador Zurich para convertirse en su proveedor de servicios tecnológicos en el ámbito de la notificación y contratación electrónica. Este acuerdo, que tiene una validez de tres años, implica que Lleida.net actúe como tercero de […]
Categories: PDA / PPC

Wuaki.tv lanza su nueva app de iOS con relevantes mejoras en navegación y búsqueda

Canal PDA - Thu, 21/07/2016 - 09:38
Wuaki.tv ha anunciado hoy el lanzamiento de una nueva aplicación de iOS totalmente rediseñada y con importantes cambios respecto a la anterior versión.Una de los principales mejoras es la diferenciación más clara entre el contenido disponible en suscripción y compra/alquiler mediante dos opciones principales en el menú: “Suscripción” y “Tienda”. Con este perfeccionamiento se pretende […]
Categories: PDA / PPC

Oracle corrige 276 vulnerabilidades en su actualización de seguridad de julio

Hispasec - Wed, 20/07/2016 - 23:30
Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de julio. Contiene parches para 276 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
La gran cantidad de problemas corregidos, que en esta ocasión se eleva a las 276 vulnerabilidades, convierte a este boletín de seguridad como el más numeroso de todos los publicados por Oracle hasta la fecha. Los fallos se dan en varios componentes de múltiples productos: 
  • Application Express, versiones anteriores a 5.0.4
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle Access Manager, versiones 10.1.4.x y 11.1.1.7
  • Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0 y 11.2.1.0.0
  • Oracle Directory Server Enterprise Edition, versiones 7.0 y 11.1.1.7.0
  • Oracle Exalogic Infrastructure, versiones 1.x, 2.x
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.3.0 y 12.2.1.0
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle HTTP Server, versiones 11.1.1.9 y 12.1.3.0
  • Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0 y 12.2.1.0.0
  • Oracle Portal, versión 11.1.1.6
  • Oracle TopLink, versiones 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Oracle WebCenter Sites, versiones 11.1.1.8 y 12.2.1.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0 y 12.2.1.0
  • Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
  • Hyperion Financial Reporting, versión 11.1.2.4
  • Enterprise Manager Base Platform, versiones 12.1.0.5 y 13.1.0.0
  • Enterprise Manager for Fusion Middleware, versiones 11.1.1.7 y 11.1.1.9
  • Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2 y 12.3.2
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.4 y 9.3.5
  • Oracle Demand Planning, versiones 12.1 y 12.2
  • Oracle Transportation Management, versiones 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.0 y 6.4.1
  • PeopleSoft Enterprise FSCM, versiones 9.1 y 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.53, 8.54 y 8.55
  • JD Edwards EnterpriseOne Tools, versión 9.2.0.5
  • Oracle Knowledge, versión 8.5.x
  • Siebel Applications, versiones 8.1.1, 8.2.2, IP2014, IP2015 y IP2016
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.10
  • Oracle Communications ASAP, versiones 7.0, 7.2 y 7.3
  • Oracle Communications Core Session Manager, versiones 7.2.5 y 7.3.5
  • Oracle Communications EAGLE Application Processor, versión 16.0
  • Oracle Communications Messaging Server, versiones 6.3, 7.0, 8.0, anteriores a 7.0.5.37.0 y 8.0.1.1.0
  • Oracle Communications Network Charging and Control, versiones 4.4.1.5.0, 5.0.0.1.0, 5.0.0.2.0, 5.0.1.0.0 y 5.0.2.0.0
  • Oracle Communications Operations Monitor, versiones anteriores a 3.3.92.0.0
  • Oracle Communications Policy Management, versiones anteriores a 9.9.2
  • Oracle Communications Session Border Controller, versiones 7.2.0 y 7.3.0
  • Oracle Communications Unified Session Manager, versiones 7.2.5 y 7.3.5
  • Oracle Enterprise Communications Broker, versiones anteriores a PCz 2.0.0m4p1
  • Oracle Banking Platform, versiones 2.3.0, 2.4.0, 2.4.1 y 2.5.0
  • Oracle Financial Services Lending and Leasing, versiones 14.1 y 14.2
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.1, 12.0.2 y 12.0.3
  • Oracle Health Sciences Clinical Development Center, versiones 3.1.1.x y 3.1.2.x
  • Oracle Health Sciences Information Manager, versiones 1.2.8.3, 2.0.2.3 y 3.0.1.0
  • Oracle Healthcare Analytics Data Integration, versión 3.1.0.0.0
  • Oracle Healthcare Master Person Index, versiones 2.0.12, 3.0.0 y 4.0.1
  • Oracle Documaker, versiones anteriores a 12.5
  • Oracle Insurance Calculation Engine, versiones 9.7.1, 10.1.2 y 10.2.2
  • Oracle Insurance Policy Administration J2EE, versiones 9.6.1, 9.7.1, 10.0.1, 10.1.2, 10.2.0 y 10.2.2
  • Oracle Insurance Rules Palette, versiones 9.6.1, 9.7.1, 10.0.1, 10.1.2, 10.2.0 y 10.2.2
  • MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0 y 10.8.1
  • Oracle Retail Central, Back Office, Returns Management, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1, 12.0 y 13.0
  • Oracle Retail Integration Bus, versiones 13.0, 13.1, 13.2, 14.0, 14.1 y 15.0
  • Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2 y 15.0
  • Oracle Retail Service Backbone, versiones 13.0, 13.1, 13.2, 14.0, 14.1 y 15.0
  • Oracle Retail Store Inventory Management, versiones 12.0, 13.0, 13.1, 13.2, 14.0 y 14.1
  • Oracle Utilities Framework, versiones 2.2.0.0.0, 4.1.0.1.0, 4.1.0.2.0, 4.2.0.1.0, 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0 y 4.3.0.2.0
  • Oracle Utilities Network Management System, versiones 1.10.0.6.27, 1.11.0.4.41, 1.11.0.5.4, 1.12.0.1.16, 1.12.0.2.12 y 1.12.0.3.5
  • Oracle Utilities Work and Asset Management, versión 1.9.1.2.8
  • Oracle In-Memory Policy Analytics, versión 12.0.1
  • Oracle Policy Automation, versiones 10.3.0, 10.3.1, 10.4.0, 10.4.1, 10.4.2, 10.4.3, 10.4.4, 10.4.5, 10.4.6, 12.1.0 y 12.1.1
  • Oracle Policy Automation Connector for Siebel, versiones 10.3.0, 10.4.0, 10.4.1, 10.4.2, 10.4.3, 10.4.4, 10.4.5 y 10.4.6
  • Oracle Policy Automation for Mobile Devices, versión 12.1.1
  • Primavera Contract Management, versión 14.2
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2 y 16.1
  • Oracle Java SE, versiones 6u115, 7u101 y 8u92
  • Oracle Java SE Embedded, versión 8u91
  • Oracle JRockit, versión R28.3.10
  • 40G 10G 72/64 Ethernet Switch, versión 2.0.0
  • Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a XCP 2320
  • ILOM, versiones 3.0, 3.1 y 3.2
  • Oracle Switch ES1-24, versión 1.3
  • Solaris, versiones 10 y 11.3
  • Solaris Cluster, versiones 3.3 y 4.3
  • SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers y versiones anteriores a XCP 1121
  • Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versión 1.2
  • Sun Data Center InfiniBand Switch 36, versiones anteriores a 2.2.2
  • Sun Network 10GE Switch 72p, versión 1.2
  • Sun Network QDR InfiniBand Gateway Switch, versiones anteriores a 2.2.2
  • Oracle Secure Global Desktop, versiones 4.63, 4.71 y 5.2
  • Oracle VM VirtualBox, versiones anteriores a 5.0.26
  • MySQL Server, versiones 5.5.49 y anteriores, 5.6.30 y anteriores, 5.7.12 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
  • Nueve nuevas vulnerabilidades corregidas en Oracle Database Server, cinco de ellas explotables remotamente sin autenticación. Afectan a los componentes: OJVM, JDBC, Portable Clusterware, Data Pump Import, Application Express, RDBMS, DB Sharding y Database Vault.    
  • Otras 40 vulnerabilidades afectan a Oracle Fusion Middleware. 35 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), Oracle Access Manager, Oracle Business Intelligence Enterprise Edition, Oracle Directory Server Enterprise Edition, Oracle Exalogic Infrastructure, Oracle GlassFish Server, Oracle HTTP Server, Oracle JDeveloper, Oracle Portal, Oracle TopLink, Oracle WebCenter Sites y Outside In Technology.      
  • Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, siete de ellas explotables remotamente sin autenticación. Afectan a Enterprise Manager Base Platform, Enterprise Manager for Fusion Middleware y Enterprise Manager Ops Center.      
  • Dentro de Oracle Applications, 23 parches son para Oracle E-Business Suite, 25 parches son para la suite de productos Oracle Supply Chain, 7 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards y 16 para Oracle Siebel CRM.      
  • Se incluyen también 16 nuevos parches para Oracle Communications Applications, 10 de ellos tratan vulnerabilidades explotables remotamente sin autenticación. De forma similar 5 nuevas correcciones para Oracle Health Sciences Applications, aunque solo una de ellas podría ser explotable remotamente sin autenticación. También incluyen ocho parches para Oracle Insurance Applications, aunque ninguna de las vulnerabilidades es explotable remotamente sin autenticación.     
  • Esta actualización contiene 16 nuevas actualizaciones de seguridad para Oracle Retail Applications, seis de ellas explotables remotamente sin autenticación. Otras tres actualizaciones para Oracle Utilities Applications, cuatro para Oracle Policy Automation y 15 para la suite de productos Oracle Primavera.      
  • También se incluyen cuatro nuevos parches de seguridad para software Oracle Financial Services. Tres de las vulnerabilidades podrían explotarse de forma remota sin autenticación.      
  • En lo referente a Oracle Java SE se incluyen 13 nuevos parches de seguridad, nueve referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.      
  • Para la suite de productos Oracle Sun Systems se incluyen 34 nuevas actualizaciones, ocho de ellas afectan directamente a Solaris.     
  • 22 nuevas vulnerabilidades afectan a MySQL Server (tres de ellas podrían ser explotada por un atacante remoto sin autenticar).      
  • Esta actualización también contiene cuatro parches para Oracle Linux y Virtualización y otro para Oracle Hyperion.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en: Oracle Critical Patch Update Advisory – July 2016http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html
Más información:
Oracle Critical Patch Update Advisory - July 2016http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html


Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Los mayores accionistas de Ericsson coinciden en reclamar la marcha de Vestberg

Canal PDA - Wed, 20/07/2016 - 17:44
Los dos mayores accionistas de Ericsson están de acuerdo en que Hans Vestberg, el asediado consejero delegado de la empresa, debe dejar la dirección de la misma, a la vista de los decepcionantes resultados del segundo trimestre que se acaban de conocer. Así lo asegura el diario Dagens Industri.El descontento con el máximo responsable de […]
Categories: PDA / PPC

Microsoft oculta su fracaso en móviles presumiendo de éxito en la nube

Canal PDA - Wed, 20/07/2016 - 17:38
Satya Nadella, máximo responsable de Microsoft, ha asegurado que el negocio de su empresa en la nube “muestra un impulso considerable entre los clientes”, al tiempo que sus activiades en móviles siguen la trayectoria descendente prevista. Durante el trimestre pasado (el cuarto de su ejercicio fiscal), la facturación de la división de “Informática más personal” […]
Categories: PDA / PPC

Samsung añade la función de pagos al reloj Gear S2

Canal PDA - Wed, 20/07/2016 - 17:35
Una actualización de la aplicación Samsung Gear ha añadido la compatibilidad con el servicio Samsung Pay para los propietarios del reloj inteligente Gear S2 en los EEUU, según informa Droid Life.Los clientes del fabricante coreano en varios países -incluida España- ya podían utilizar el servicio de pago en algunos teléfonos de gama alta, pero ahora […]
Categories: PDA / PPC

Reduciendo el uso de Adobe Flash en Firefox

Canal PDA - Wed, 20/07/2016 - 17:23
Los plugins de navegador, especialmente Flash, nos han permitido disfrutar de algunas de nuestras experiencias favoritas en la web, bien a través de vídeos u otro contenido interactivo. Sin embargo, con frecuencia, los plugins suponen problemas de estabilidad, rendimiento y seguridad para los navegadores. Un precio que los usuarios no han de pagar.Mozilla y la […]
Categories: PDA / PPC

Sophos es el primero en introducir el cifrado de archivos “Always-On” para información que se comparte en Windows, Mac, iOS y Android

Canal PDA - Wed, 20/07/2016 - 13:13
Sophos (LSE: SOPH), líder global en seguridad para protección de redes y endpoints, ha anunciado Sophos SafeGuard Encryption 8, una nueva solución de cifrado sincronizado que protege contra el robo de datos a través de software malicioso, ciberataques o filtraciones accidentales. Las empresas ahora pueden adoptar las mejores prácticas de cifrado a nivel de archivo […]
Categories: PDA / PPC

Yoigo dispara sus resultados en el segundo trimestre de 2016

Canal PDA - Wed, 20/07/2016 - 11:23
Yoigo, el cuarto operador móvil con red propia de España, ha presentado hoy las cuentas correspondientes al segundo trimestre de 2016. La compañía, que sigue mejorando sus resultados, ha obtenido unas ventas de 210 millones de euros, y ha incrementado los ingresos por servicios en un 6%, alcanzando un EBITDA de 28 millones de euros, […]
Categories: PDA / PPC

Cigna combate el estrés con realidad virtual

Canal PDA - Wed, 20/07/2016 - 10:34
Las nuevas tecnologías han cambiado nuestros hábitos y forma de relacionarnos y estar conectado a Internet se ha convertido en una de las necesidades sociales más relevantes de nuestro día a día. Según el informe “Cigna 360 Wellbeing Score. Spain Report”, último estudio internacional de Cigna, fruto de más de 15.000 encuestas a nivel global […]
Categories: PDA / PPC

Cisco reta a los emprendedores en la era digital

Canal PDA - Wed, 20/07/2016 - 10:09
¿Tienes una idea disruptiva para facilitar la transformación digital de empresas o Administraciones? Innovadores, emprendedores, desarrolladores, investigadores, estudiantes o cualquiera con un prototipo, negocio o solución incipiente pueden presentar su idea hasta el próximo 31 de agosto.En su tercera edición, Cisco Innovation Grand Challenge es una competición global que premia las tecnologías, productos o modelos […]
Categories: PDA / PPC

Novedades en AMP para anuncios de web móvil

Canal PDA - Wed, 20/07/2016 - 09:41
Una de nuestras prioridades desde que Google fue fundada ha sido ofrecer una mejor experiencia a los usuarios, desde los productos que desarrollamos y los anuncios que mostramos a nuestra forma de hacer negocios con nuestros partners y clientes. Este año, nuestro objetivo es analizar cómo podemos trabajar juntos para crear unas experiencias publicitarias mejores […]
Categories: PDA / PPC

¡Nuevo bono de llamadas ilimitadas!

Canal PDA - Wed, 20/07/2016 - 08:02
La única ilimitada de voz compatible con bonos de 100MB, 500MB, bonos de finde, de noche… y muchas más opciones! Imágenes integradas 1 ¡Hola otra vez! En simyo tenemos más novedades, esperamos que te gusten.En capítulos anteriores… En los últimos meses hemos lanzado bonos de Noche, de Finde, de Roaming… esto es un no parar! […]
Categories: PDA / PPC

Apple publica actualizaciones para múltiples productos: OS X El Capitan, Safari, iOS, watchOS, iTunes y tvOS

Hispasec - Tue, 19/07/2016 - 22:30
Apple ha publicado actualizaciones para sus productos más destacados: una nueva versión de OS X (OS X El Capitan 10.11.6) y Security Update 2016-004, iOS 9.3.3, Safari 9.1.2, tvOS 9.2.2, iTunes 12.4.2 y watchOS 2.2.2. En total se solucionan 79 nuevas vulnerabilidades (aunque muchas de ellas se presentan en múltiples sistemas).
Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.
Se ha publicado OS X El Capitan v10.11.6 y Security Update 2016-004 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y posteriores; destinado a corregir 60 vulnerabilidades, la mayoría de ellas podrían llegar a permitir la ejecución de código arbitrario. Afectan a componentes tan importantes como apache_mod_php, Audio, bsdiff, CFNetwork, CoreGraphics, FaceTime, Graphics Drivers, ImageIO, Intel Graphics Driver, IOHIDFamily, IOSurface, Kernel, libc++abi, libexpat, LibreSSL, libxml2, libxslt, Login Window, OpenSSL, QuickTime, Safari Login AutoFill y Sandbox Profiles. OS X El Capitan v10.11.6 también incluye el contenido de seguridad de Safari 9.1.2.
Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 9.1.2 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6. Se solucionan 12 vulnerabilidades relacionadas principalmente con problemas en WebKit (el motor de navegador de código abierto que es la base de Safari). Con identificadores CVE-2016-4583 al CVE-2016-4586, CVE-2016-4589 al CVE-2016-4592, CVE-2016-4622 al CVE-2016-4624 y CVE-2016-4651.
Por otra parte, iOS se actualiza a la versión 9.3.3 que soluciona 43 nuevas vulnerabilidades. Gran parte de los fallos podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes Calendar, CoreGraphics, FaceTime, ImageIO, IOAcceleratorFamily, IOHIDFamily, Kernel, libxml2, libxslt, Safari, Sandbox Profiles, Siri Contacts, Web Media, WebKit, WebKit JavaScript Bindings y WebKit Page Loading.
De forma similar, Apple publica WatchOS 2.2.2, destinada a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan hasta 26 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de código arbitrario. Los problemas corregidos afectan a los componentes CoreGraphics, ImageIO, IOAcceleratorFamily, IOHIDFamily, Kernel, libxml2, libxslt y Sandbox Profiles.
Apple también ha publicado iTunes 12.4.2 para Windows 7 (y posteriores) que corrige 15 vulnerabilidades en las librerías libxml2 y libxslt.
Por último, también ha publicado tvOS 9.2.2, el sistema operativo para Apple TV (de cuarta generación), que soluciona un total de 37 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes: CoreGraphics, ImageIO, ImageIO, IOAcceleratorFamily, IOHIDFamily, Kernel, libxml2, libxslt, Sandbox Profiles, WebKit y WebKit Page Loading.
Más información:
About the security content of OS X El Capitan v10.11.6 and Security Update 2016-004https://support.apple.com/en-us/HT206903
About the security content of Safari 9.1.2https://support.apple.com/en-us/HT206900
About the security content of iOS 9.3.3https://support.apple.com/en-us/HT206902
About the security content of watchOS 2.2.2https://support.apple.com/en-us/HT206904
About the security content of iTunes 12.4.2 for Windowshttps://support.apple.com/en-us/HT206901
About the security content of tvOS 9.2.2https://support.apple.com/en-us/HT206905


Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Marius Robles: “EATnomics, la nueva economía surgida de la innovación alimentaria, abre increíbles oportunidades para emprendedores e inversores”

Canal PDA - Tue, 19/07/2016 - 16:47
ESADE acogió ayer la primera sesión de FoodBiz Series, el ciclo de encuentros organizado por Reimagine Food que aborda la transformación que está viviendo el sector de la alimentación como consecuencia de los avances tecnológicos y los cambios sociales de hoy en día.En el encuentro, que analizaba la evolución histórica de la disrupción en la […]
Categories: PDA / PPC

Pages