Noticias

Google publica Chrome 38 y corrige 159 vulnerabilidades

Hispasec - Mié, 08/10/2014 - 23:30
Google sigue con su ritmo de actualizaciones de Chrome, prácticamente una nueva versión cada mes. A finales de agosto publicaba Chrome 37, y poco más de un mes después anuncia la nueva versión 38 del navegador. Se publica la versión 38.0.2125.101 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 159 nuevas vulnerabilidades.
Según el aviso de Google se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.
La actualización incluye la corrección de 159 nuevas vulnerabilidades, incluyendo 113 correcciones menores encontradas con MemorySanitizer. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 159 vulnerabilidades, solo se facilita información de 13 de ellas.
Una combinación de fallos en V8 e IPC podría permitir la ejecución remota de código fuera de la sandbox (CVE-2014-3188). También se solucionan lecturas fuera de límites en PDFium (CVE-2014-3189 y CVE-2014-3198); vulnerabilidades por uso después de liberar memoria en Events (CVE-2014-3190), Rendering (CVE-2014-3191), DOM (CVE-2014-3192) y Web Workers (CVE-2014-3194).
Otras vulnerabilidades están relacionadas con fugas de información en V8 (CVE-2014-3195) y XSS Auditor (CVE-2014-3197). Un salto de permisos de Sandbox de Windows (CVE-2014-3196), una confusión de tipos en Session Management (CVE-2014-3193) y con V8 (CVE-2014-3199).
También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-3200). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 73.633,7 dólares en recompensas a los descubridores de los problemas.
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.
Más información:
Stable Channel Updatehttp://googlechromereleases.blogspot.com.es/2014/10/stable-channel-update.html
una-al-dia (26/08/2014) Google publica Chrome 37 y corrige 50 vulnerabilidadeshttp://unaaldia.hispasec.com/2014/08/google-publica-chrome-37-y-corrige-50.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categorías: Seguridad

Diversas vulnerabilidades en Bugzilla

Hispasec - Mar, 07/10/2014 - 23:45
Se han publicado nuevas versiones de Bugzilla para solucionar cuatro nuevas vulnerabilidades que podrían permitir a atacantes la creación de cuentas sin autorización, la realización de ataques cross-site scripting, la fuga de información y de ingeniería social.
Bugzilla es una herramienta de seguimiento de errores de código abierto, basada en web, y muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallos y vulnerabilidades, también permite determinar la prioridad y severidad de los mismos, agregar comentarios y propuestas de solución, designar responsables para cada uno de ellos, enviar mensajes de correo para informar de un error, etc.
El primero de los problemas (CVE-2014-1572) podría permitir que un atacante al crear una nueva cuenta Bugzilla anule determinados parámetros, lo que podría llevar a que el nuevo usuario se cree con una dirección de correo electrónico de la introducida originalmente. Esto podría facilitar al atacante que su cuenta de usuario sea añadida a determinados grupos, con mayor acceso a información, al basar la inclusión en grupos por ejemplo si la dirección es de un determinado dominio.
También se han encontrado múltiples problemas de cross-site scripting (CVE-2014-1573). Otro problema de fuga de información podría hacer visibles a todos los usuarios determinados comentarios marcados para un grupo interno (CVE-2014-1571). Y por último, resultados de búsqueda pueden exportarse como archivo CSV que pueden importarse por un programa de hoja de cálculo. Campos con valores especialmente formateados pueden ser interpretados como fórmulas que se pueden ejecutar y utilizar para atacar el sistema de un usuario.
Las correcciones para estos problemas se encuentran incluidas en las versiones 4.0.15, 4.2.11, 4.4.6, 4.5.6, disponibles desde: http://www.bugzilla.org/download/
Más información:
4.0.14, 4.2.10, 4.4.5, and 4.5.5 Security Advisoryhttp://www.bugzilla.org/security/4.0.14/

Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categorías: Seguridad

Sigue todo el VoIP2DAY desde Sinologic

Sinologic - Mar, 07/10/2014 - 12:13

En Sinologic estamos en contacto con diferentes compañeros y amigos que van a ayudar a que aquellos lectores que quieran saber de primera mano qué está ocurriendo en el VoIP2DAY, puedan hacerlo a través de una página especial desde donde podremos seguir todo lo que pase.

Por supuesto, siempre es mucho mejor poder ir, pero si queréis ver qué está ocurriendo, podéis seguirlo desde esta web que a partir de mañana se actualizará más frecuentemente cuando comience el evento.

La página es esta: http://www.sinologic.net/live/voip2day2014/

 

La entrada Sigue todo el VoIP2DAY desde Sinologic aparece primero en Sinologic.

Categorías: Asterisk

Airis continúa en la vanguardia tecnológica gracias a sus nuevas tabletas OnePAD

Canal PDA - Mar, 07/10/2014 - 11:01
Airis sigue incrementando su portfolio de tabletas e incorpora el modelo OnePAD 785I con pantalla capacitiva multitáctil a su ya extenso catálogo de productos. De esta manera, la empresa española se asegura que atiende la demanda cada vez más diversa que los usuarios hacen deeste tipo de dispositivos.La Tableta AIRIS OnePAD 785I cuenta con un […]
Categorías: PDA / PPC

BlaBlaCar lanza una nueva aplicación

Canal PDA - Mar, 07/10/2014 - 10:45
BlaBlaCar, la red social líder en España y Europa de coche compartido, lanza una nueva versión de su aplicación para iPhone y Android. Entre las mejoras que podrán encontrar los que se descarguen la nueva app, o los que actualicen su versión, será el acceso al historial de búsquedas previas y nuevos filtros de selección […]
Categorías: PDA / PPC

ZTE presenta la primera solución 4G Qcell a nivel mundial, para ofrecer una cobertura óptima interior

Canal PDA - Mar, 07/10/2014 - 10:11
ZTE Corporation (ZTE) (Códigos 0763.HK/000063.SZ), compañía que cotiza en bolsa y proveedor global de equipos de telecomunicaciones, soluciones red y telefonía, ha anunciado la primera solución 4G mundial de distribución activa que soporta multifrecuencia y despliegue de red multimodo, permitiendo a los operadores ofrecer redes convergentes con rendimiento superior en interiores.La nueva solución Qcell 4G […]
Categorías: PDA / PPC

Publicadas la séptima y octava píldoras formativas del proyecto Thoth dedicadas a Kerckhoffs y Turing

Hispasec - Lun, 06/10/2014 - 23:30
Se han publicado los vídeos séptimo y octavo de las píldoras formativas en seguridad de la información Thoth de Criptored con títulos "¿Qué son los principios de Kerckhoffs?" y "¿Qué relación existe entre Alan Turing y la criptografía?".
El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los tres minutos), muy didácticos y sobre temas muy específicos. Gracias al apoyo de Talentum Startups y Talentum School, el proyecto Thoth de píldoras formativas en seguridad de la información pasa a publicar dos píldoras cada mes, las dos en el mismo día.
La píldora 7, con la autoría de  Jorge Ramió , lleva por título ¿Qué son los principios de Kerckhoffs?y en ella se hace un repaso de la aportación del lingüista y criptógrafo holandés Auguste Kerckhoffs, quien publica en enero y febrero de 1883 en el "Journal des Sciences Militaires" el artículo "La cryptographie militaire", importante tratado sobre la criptografía en el que, entre otras cosas, establece lo que se conoce como postulados o principios de Kerckhoffs, de total actualidad 131 años después.
Acceso directo a la píldora 7: https://www.youtube.com/watch?v=gBedgwej5WU

La píldora 8, con la autoría de Román Ceano y Jorge Ramió, lleva por título ¿Qué relación existe entre Alan Turing y la criptografía? y en ella se hace una breve reseña de la vida del matemático inglés Alan Turing y sus aportes a la informática, muy especialmente a la criptografía. Se destaca su importante trabajo durante la Segunda Guerra Mundial, que permitió romper la máquina Enigma de los alemanes y cambiar con ello el rumbo de la historia, algo que nunca se le reconoció debidamente en vida.
Acceso directo a la píldora 8: https://www.youtube.com/watch?v=Qwpm5ttnnbs
Enlace recomendado: La máquina Enigma (Román Ceano) http://www.kriptopolis.com/enigma
También puede acceder a los vídeos, documentación en pdf y podcast en mp3 de estas píldoras así como todas las anteriores desde la página web del proyecto Thoth: http://www.criptored.upm.es/thoth/index.php
Se recuerda que estas píldoras se suben al canal YouTube con archivo de subtítulos, para personas con limitaciones auditivas. De la misma manera, se puede descargar desde la página web del proyecto el podcast de la píldora, más cómodo para personas con limitaciones visuales.
La próxima de entrega proyecto Thoth en noviembre de 2014 contempla la píldora 9 ¿Por qué busca la criptografía la confusión y la difusión? y la píldora 10 ¿Cómo se clasifican los sistemas de cifra clásica?


Jorge Ramió, Alfonso MuñozDirectores Proyecto Thoth
Categorías: Seguridad

Perú, segunda operación de Tuenti como operador móvil en Latinoamérica

Canal PDA - Lun, 06/10/2014 - 12:50
Tuenti, compañía tecnológica española que ha desarrollado el primer operador móvil con servicios de telefonía en la nube (cloudphone), ha comenzado sus operaciones en Perú (www.tuenti.pe), convirtiéndose en su segundo mercado como operador móvil en Latinoamérica, tras el lanzamiento de Tuenti México.Tuenti Perú, que cuenta con un equipo y una oficina propia en Lima, ha […]
Categorías: PDA / PPC

CaixaBank reúne en Barcelona a más de 200 expertos en los nuevos servicios financieros por el móvil

Canal PDA - Lun, 06/10/2014 - 11:30
CaixaBank impulsa la celebración en Barcelona del Mobey Day, un foro mundial en el que participarán más de 200 expertos internacionales en finanzas y nuevas tecnologías. El evento se celebrará en CosmoCaixa Barcelona durante los días 7 y 8 de octubre.El Mobey Day es la reunión anual de la asociación internacional Mobey Forum, la asociación […]
Categorías: PDA / PPC

Waze presenta su versión 3.8 con importantes novedades

Canal PDA - Lun, 06/10/2014 - 11:22
Waze, la App de tráfico y navegación basada en una de las mayores comunidades de usuarios del mundo que comparten información vial en tiempo real, presenta la versión 3.8. Esta nueva versión actualizada permite a los conductores, entre otras cosas, conformar una lista de amigos basada en los contactos de su agenda de teléfono.La aplicación […]
Categorías: PDA / PPC

Mensajes más interesantes de la semana (29 Septiembre - 05 Octubre)

PDA Expertos - Lun, 06/10/2014 - 07:00
El resumen semanal de los mejores posts en el Foro de PDAExpertos.com
Categorías: PDA / PPC

Múltiples vulnerabilidades en HP System Management Homepage

Hispasec - Dom, 05/10/2014 - 20:34
Se han confirmado hasta siete vulnerabilidades en HP system Managament Homepage (SMH) en Windows y Linux. Un atacante remoto podría construir ataques de cross-site scripting, cross-site request forgery, obtención de información sensible, denegación de servicio y clickjacking.
HP System Management Homepage es una interfaz basada en web destinada a simplicar la administración de servidores ProLiant e Integrity con Winsdows o Linux, o servidores HP 9000 y HP Integrity con HP-UX 11i. Mediante la inclusión de datos de HP Insight Management Agents y otras herramientas de gestión, HP System Management Homepage proporciona una interfaz que permite la revisión de datos de configuración de hardware y de estado, rendimiento, sistema e información de control de versiones de software.
HP ha confirmado siete vulnerabilidades en las versiones anteriores a la 7.4. Un problema de modificación no autorizada (CVE-2013-4545), dos de divulgación de información sensible (CVE-2013-6420 y CVE-2013-6422), una denegación de servicio (CVE-2013-6712), Cross-site Scripting (XSS) (CVE-2014-2640), de  Cross-site Request Forgery (CSRF) (CVE-2014-2641) y por último una de Clickjacking (CVE-2014-2642).
HP ha publicado la versión 7.4 que corrige los problemas anunciados, disponible desde:http://h18013.www1.hp.com/products/servers/management/agents/
Más información:
HPSBMU03112 rev.1 - HP System Management Homepage (SMH) on Linux and Windows, Multiple Vulnerabilitieshttps://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04463322
HP System Managementhttp://h18013.www1.hp.com/products/servers/management/agents/

Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

8.8: Computer Security Conference Chile

Hispasec - Sáb, 04/10/2014 - 23:30
El 23 y 24 de octubre de este año se realizará la cuarta conferencia técnica de seguridad de la información en Chilellamada "8.8 Computer Security Conference".
En junio de 2011 un grupo de profesionales del rubro de seguridad de la información decidieron crear una conferencia 100% técnica enfocada principalmente en compartir conocimientos y experiencias. El objetivo era una conferencia distinta, más alternativa, donde el foco fuera compartir experiencias, técnicas y conocimiento, no orientada a gobernabilidad y gestión, o simplemente con fines comerciales.
Este año, con catorce expertos en seguridad informática, invitados desde ocho países, se llevará a cabo la cuarta versión de la "8.8 Computer Security Conference", que se realizará el 23 y 24 de octubre en el Cine Arte Normandie.
Una de las charlas que se plantean como más interesantes es la que ha desarrollado Jose Garduño (mexicano residente en Chile) presentando los resultados de su tesis de maestría titulada "Las deficiencias en protección de la privacidad de Chile: una visión general de las políticas públicas, la cultura, el diseño del sistema, implementaciones y herramientas informáticas para su explotación". En su charla "The government as your hacking partner", Garduño explicará que la principal problemática se presenta porque las sociedades democráticas se enfrentan actualmente a un dilema muy difícil, por un lado, existe una demanda para tener acceso a los datos manejados por el gobierno como un mecanismo de control, auditoría y transparencia, y por otra parte, no hay marcos legales internacionales y locales actualizados para el establecimiento de límites sobre la información que debe ser expuesta, especialmente en relación con los datos personales privados.
Entre los otros invitados de este año se encuentra César Cerrudo (CTO, IOACTIVE LABS) quien llega desde Argentina con la charla "Hacking US (and UK, Australia, France, etc.) traffic control systems", una interesante exposición sobre cómo vulnerar la seguridad de los sistemas de control de tráfico de las principales ciudades del mundo. Por otra parte, el colombiano Jaime Andrés Restrepo, presentará la charla “Hackeando carros en Latinoamérica” donde expondrán  los diferentes problemas de seguridad encontrados en los últimos años por investigadores de seguridad en reconocidas marcas de automóviles de países anglosajones, teniendo claro que los vehículos de gama alta no son los únicos que se ven afectados por estos problemas.
Para más información sobre el registro o las conferencias, se puede visitar el sitio oficial de la 8.8: http://8dot8.org, o seguir la cuenta Twitter @8dot8
Más información:
8.8 Computer Security Conferencehttp://www.8dot8.org
Laboratorio Hispasec
laboratorio@hispasec.com
Categorías: Seguridad

Segunda lección "Moneda Electrónica y Micropagos" en el MOOC Sistemas de Pago Electrónico de Crypt4you

Hispasec - Vie, 03/10/2014 - 19:02
Con el título "Moneda Electrónica y Micropagos", se ha publicado la segunda lección del nuevo curso de Sistemas de Pago Electrónico en el MOCC Crypt4you de los profesores de la Universitat de les Illes Balears doctores María Magdalena Payeras, Andreu Pere Isern y Macià Mut, miembros del grupo de Seguridad y Comercio Electrónico SeCOM http://secom.uib.es/.
La moneda electrónica, también denominada moneda digital, es el sustituto electrónico de la moneda física. El principal objetivo de los sistemas de pago mediante moneda electrónica es obtener un elemento digital que represente un valor monetario y pueda ser transferido entre usuarios remotos. Como la moneda física, la moneda electrónica permite pagos anónimos ya que no se requiere la identificación de los usuarios en el momento de la transferencia de la moneda. Otras propiedades de la moneda física pueden obtenerse también en las monedas electrónicas.
En esta lección se describirán las propiedades ideales de los sistemas de pago mediante moneda electrónica, se detallará el funcionamiento básico de este tipo de sistemas y se analizará su seguridad. A continuación se mostrarán las diferencias más significativas entre un sistema on-line y un sistema off-line. Finalmente se considerará la privacidad de los pagos y la posibilidad de realizar pagos anónimos.
También se incluye la explicación de los sistemas específicos para pagos de cantidades muy pequeñas, llamados micropagos, ya que debido a que presentan requerimientos especiales no pueden utilizar los sistemas convencionales de pago mediante moneda electrónica.
Temario: Apartado 2.1. Propiedades ideales Apartado 2.2. Funcionamiento básico Apartado 2.3. Seguridad Apartado 2.4. Sistemas on-line y off-line Apartado 2.5. Privacidad Apartado 2.6. Micropagos Apartado 2.7. Conclusiones Apartado 2.8. Ejercicios Apartado 2.9. Referencias bibliográficas
El curso consta de una tercera y última lección: Lección 3. Introducción a BitCoin, a publicarse en noviembre 2014
Acceso directo a la segunda lección del curso: Lección 2. Moneda Electrónica y Micropagos http://www.criptored.upm.es/crypt4you/temas/sistemaspago/leccion2/leccion02.html
Otros cursos completos en el MOOC Crypt4you: Computación y Criptografía Cuántica (3 lecciones) Privacidad y Protección de Comunicaciones Digitales (Presentación y 7 lecciones) El Algoritmo RSA (Presentación y 10 lecciones)
Acceso al MOOC de Crypt4you: http://www.criptored.upm.es/crypt4you/portada.html


Jorge Ramió, Alfonso Muñoz
Editores de Crypt4you
Categorías: Seguridad

holaMOBI se consolida como referente de los operadores móviles virtuales

Canal PDA - Vie, 03/10/2014 - 13:28
holaMOBI se ha convertido en un referente a nivel nacional a la hora de ofrecer y asesorar a los consumidores sobre las compañías y tarifas móviles que más se adaptan a cada perfil del consumidor. Gracias a su red de tiendas formada por más de 70 establecimientos y con presencia en la mayoría del territorio […]
Categorías: PDA / PPC

Orange y ACB renuevan su patrocinio y siguen innovando con un nuevo Orange Arena

Canal PDA - Vie, 03/10/2014 - 13:20
La compañía de telecomunicaciones Orange y la ACB anuncian hoy la renovación de su acuerdo de patrocinio para las dos próximas temporadas. La colaboración entre ambas entidades ha propiciado importantes avances tecnológicos en el panorama deportivo español y esta línea se mantendrá con el lanzamiento de una nueva evolución del Orange Arena.Orange y la Asociación […]
Categorías: PDA / PPC

Fira de Barcelona conecta a sus salones con el futuro a través del Internet of Things

Canal PDA - Vie, 03/10/2014 - 12:55
Fira de Barcelona será una de las primeras instituciones feriales del mundo que introducirá en sus salones un proyecto específico para mostrar como el Internet of Things (IoT) puede ayudar a crecer y aportar nuevas soluciones a los negocios de los sectores económicos que reúnen sus eventos. De este modo, Fira acercará las innovaciones y […]
Categorías: PDA / PPC

Descarga de archivos en Cisco WebEx Meetings Server

Hispasec - Jue, 02/10/2014 - 23:30
Cisco ha publicado un boletín de seguridad para alertar de una vulnerabilidad que podría permitir la descarga de archivos de servidores Cisco WebEx Meetings Server.
Cisco WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

El problema se debe a insuficientes validaciones en las entradas de los usuarios de Cisco WebEx Meetings Server, lo que podría permitir a un atacante remoto descargar archivos arbitrarios del servidor mediante URLs específicamente manipuladas.
La vulnerabilidad tiene asignado el CVE-2014-3395. Cisco no ofrece actualizaciones gratuitas para los problemas considerados de gravedad baja a media, por lo que los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas. 
Más información:
Cisco WebEx Meetings Server Arbitrary Download Vulnerabilityhttp://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3395

Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

Office 365 ofrece desde hoy nuevos planes para PYMES

Canal PDA - Jue, 02/10/2014 - 15:56
Con el propósito de dotar a las pymes de las herramientas tecnológicas que necesitan para crecer y prosperar, Microsoft lanza desde hoy planes de adopción de Office 365 que ayudarán a resolver las necesidades de las pequeñas y medianas empresas y facilitarán su proceso de migración a la nube. Los nuevos planes para pymes aportan […]
Categorías: PDA / PPC

Mobile World Capital Barcelona y Telefónica ponen en marcha la Escuela Mobile World Centre

Canal PDA - Jue, 02/10/2014 - 13:20
Mobile World Capital Barcelona y Telefónica refuerzan su apuesta por Mobile World Centre como espacio de referencia en movilidad para ciudadanos. A partir de este mes de octubre, la programación de Mobile World Centre se vertebra en torno a la divulgación, la creatividad, la innovación y el fomento del emprendimiento con actividades formativas y experienciales.Con […]
Categorías: PDA / PPC
Distribuir contenido