Noticias

UppTalk lanza su tarifa plana VOIP en Alemania, reino Unido, México y estados Unidos

Canal PDA - Mar, 22/07/2014 - 13:16
UppTalk lanza hoy su tarifa plana para llamadas VoIP a móviles y fijos en Alemania, Reino Unido, México, Estados Unidos y Canadá, a través de su aplicación. Después del lanzamiento de la primera tarifa plana de VozIP en España, la startup con sede en Barcelona apuesta por el mismo modelo en sus principales mercados a […]
Categorías: PDA / PPC

Preven Game, una nueva app de Egarsat para sensibilizar sobre la prevención de riesgos

Canal PDA - Mar, 22/07/2014 - 13:10
La mutua de accidentes Egarsat ha presentado ‘Preven Game’, una nueva aplicación gratuita, apta para smartphones y tablets con compatibilidad Android e iOS (Apple), destinada a fomentar el conocimiento y la sensibilización sobre los riesgos laborales que conllevan distintas profesiones. Gracias a su ameno formato, basado en la resolución de distintos puzzles que dan pie […]
Categorías: PDA / PPC

HTC también está trabajando en un SmartWatch

Todo Pocket PC - Mar, 22/07/2014 - 13:07
Que el SmartWatch es un dispositivo que ha llegado para quedarse lo demuestran los varios intentos de Samsung en colocar en el mercado diferentes versiones del mismo, aunque sin demasiado éxito por el momento, y los rumores que apunta a que Apple podría presentar próximamente el primero de estos dispositivos realmente útiles, con varios sensores que ofrecerían al usuario todo tipo de datos acerca de su condición física, salud y actividad diaria.

HTC quiere subirse
Categorías: PDA / PPC

Apple informa de los resultados del tercer trimestre de su año fiscal

Canal PDA - Mar, 22/07/2014 - 12:23
Apple ha anunciado hoy los resultados financieros del tercer trimestre de su año fiscal 2014, cerrado el 28 de junio de 2014. La compañía ha registrado unas ventas trimestrales de 37.400 millones de dólares y un beneficio neto trimestral de 7.700 millones de dólares, equivalente a 1,28 dólares por acción. Estos resultados se comparan con […]
Categorías: PDA / PPC

Kaspersky Lab detecta 113.500 grupos nuevos de sitios de phishing cada mes

Canal PDA - Mar, 22/07/2014 - 11:52
Kaspersky Lab ha calculado el número de grupos de sitios de phishing que se agregan cada mes a la base de datos antiphishing de la compañía. Según este cálculo, en 2013, se dio una media mensual de 96.609 grupos de sitios de phishing, pero en el primer semestre de 2014 esta cifra ha aumentado de […]
Categorías: PDA / PPC

Orange permite ya navegar en roaming con velocidad 4G en 22 países

Canal PDA - Mar, 22/07/2014 - 10:58
Orange ha ampliado hasta 22 países las localizaciones en las que sus clientes puede navegar ya a velocidad 4G. En concreto, pueden disfrutar de todas las ventajas de la cuarta generación móvil los clientes que viajen estas vacaciones a: Francia, Reino Unido, Italia, Corea del Sur, Alemania, Holanda, Portugal, Bélgica, Rumanía, Suiza, EEUU, Arabia Saudí, […]
Categorías: PDA / PPC

Diversas vulnerabilidades en Apache HTTP Server

Hispasec - Lun, 21/07/2014 - 23:50
Se ha publicado la versión 2.4.10 del servidor web Apache destinada a solucionar cinco fallos de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario o causar denegación de servicio.
Apache es el servidor web más popular del mundo, usado por más del 52% de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.
Se describen las vulnerabilidades a continuación:
  • CVE-2014-0117: Existe un error en el manejo de cabeceras HTTP Connection en el módulo 'mod_proxy' que podría provocar una denegación de servicio en un proxy inverso.
        
  • CVE-2014-3523: Denegación de servicio debido a un fallo en la función 'winnt_accept' del módulo 'WinNT MPM' que podría generar el agotamiento de la memoria disponible.
      
  • CVE-2014-0226: Existe un error de condición de carrera en el módulo 'mod_status' que podría generar un desbordamiento de memoria basado en 'Heap', lo que permitiría ejecutar código arbitrario.
         
  • CVE-2014-0118: Fallo en la función 'deflate_in_filter' del módulo 'mod_deflate' a la hora de gestionar la descompresión de peticiones al servidor, que podría generar un agotamiento de recursos y provocar una denegación de servicio.
         
  • CVE-2014-0231: Denegación de servicio en el módulo 'mod_cgid' al no tener un mecanismo de timeout para scripts CGI.


Más información:
Apache HTTP Server 2.4.10 Releasedhttps://www.apache.org/dist/httpd/Announcement2.4.html

Fernando Castillofcastillo@hispasec.com

Categorías: Seguridad

Yoigo firma un préstamo sindicado de 130 millones de euros para seguir liderando la inversión en 4G

Canal PDA - Lun, 21/07/2014 - 13:59
Yoigo, el cuarto operador de telefonía móvil de España con red propia y pionero en el despliegue de la red 4G de nuestro país, ha firmado un préstamo de 130 millones de € para seguir al frente de la inversión en la red 4G. El préstamo se ha firmado con varias entidades: Banco Santander, que […]
Categorías: PDA / PPC

Windows 8.1 Update 2 disponible a partir del 12 de agosto.

Todo Pocket PC - Lun, 21/07/2014 - 11:41
Al contrario de la competencia que anuncia en la plaza mayor qué incluirá las próximas actualizaciones del sistema operativo meses antes de lanzarlo al mercado, Windows sigue con la estrategia de no revelar las nuevas funciones del Update 2 de Windows 8.1, lo que antaño llamábamos Service Pack.

Se supone que pocas novedades encontraremos en el front-end, y todas las mejoras estarán centradas en resolver problemas y optimizar rendimientos aunque esto es algo que nadie
Categorías: PDA / PPC

Boletín de seguridad para Drupal

Hispasec - Dom, 20/07/2014 - 18:09
El equipo de seguridad de Drupal ha solucionado, en las ramas Drupal Core 6 y 7, varias vulnerabilidades clasificadas como críticas o moderadamente críticas; que podrían permitir a un atacante causar denegación de servicio, salto de restricciones y XSS.
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
A continuación se describen los fallos:
  • Denegación de servicio en el sistema base
    La característica multisitio determina dinámicamente que fichero de configuración usar basándose en la cabecera HTTP Host. Debido a un fallo de validación de dicha cabecera se podría causar una denegación de servicio. También afecta a los sitios web que no tengan activa esa característica.
       
  • Salto de restricciones de seguridad en el módulo FileExiste un error en el módulo File al no comprobar los permisos cuando se adjunta un fichero previamente subido, pudiendo así obtener acceso a ficheros no permitidos. Afecta solo a Drupal 7.
        
  • Cross-site scripting en la API de formulariosVulnerabilidad de tipo XSS en la API de formularios al no verificar correctamente elementos de tipo 'select'.
        
  • Cross-site scripting en el sistema ajaxVulnerabilidad de tipo XSS no persistente en formularios que contengan un campo de tipo 'file' y un campo de tipo texto con ajax habilitado. Afecta solo a Drupal 7.

Está pendiente la asignación de CVEs.
Se recomienda actualizar a las versiones Drupal core 6.32 o Drupal core 7.29.
Más información:
SA-CORE-2014-003 - Drupal core - Multiple vulnerabilitieshttps://www.drupal.org/SA-CORE-2014-003


Fernando Castillofcastillo@hispasec.com
Categorías: Seguridad

Vulnerabilidades en el cliente Cisco WebEx Meetings

Hispasec - Sáb, 19/07/2014 - 23:30
Cisco ha informado alertado de dos vulnerabilidades detectadas en los clientes de reproducción presente en algunas suites de la familia WebEx, que permitirían la ejecución remota de código o la descarga arbitraria de archivos.
WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.
Los dos problemas anunciados se refieren a la funcionalidad de transferencia o intercambio de archivos entre clientes. La primera vulnerabilidad tiene asignado el CVE-2014-3310, podría permitir a un atacante remoto sin autenticar acceder a archivos arbitrarios de cualquier otro usuario que ejecute el cliente Cisco WebEx Meetings.
Un segundo problema, con CVE-2014-3311, consiste en un desbordamiento de búfer debido a que el cliente no verifica adecuadamente los límites de los datos transmitidos. Podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario en sistema de otro usuario que ejecute el cliente Cisco WebEx Meetings.
Estas vulnerabilidades están consideradas por Cisco como de gravedad baja o media, por lo que no ofrece actualizaciones gratuitas para estos problemas. Los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.
Más información:
Cisco WebEx Meetings Client Arbitrary File Download Vulnerabilityhttp://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3310
Cisco WebEx Meetings Client Heap-Based Buffer Overflow Vulnerabilityhttp://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3311


Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

Inyección SQL en el gestor de foros vBulletin

Hispasec - Vie, 18/07/2014 - 23:30
El equipo de desarrollo de vBulletin ha publicado un aviso en el que alerta de una vulnerabilidad de inyección SQL.
vBulletin es un software desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.
Según confirma vBulletin, el problema afecta a las versiones 5.0.4, 5.0.5, 5.1.0, 5.1.1 y 5.1.2. El grupo Romanian Security Team (RST) ha publicado un vídeo en el que se muestra la vulnerabilidad y confirma el reporte a vBulletin, que ofrecerán todos los detalles tras la publicación del parche.
                       https://www.youtube.com/watch?v=C84Z2yCGKAE
La vulnerabilidad podría permitir a un usuario malicioso realizar ataques de inyección SQL sobre la base de datos, con todas las implicaciones que ello puedo llevar. Es decir, extraer toda la información y contenido de la base de datos, e incluso a partir de ahí comprometer todo el sistema.
Por ejemplo podemos recordar el caso del ataque a los foros de Ubuntu, donde al atacante le bastó conseguir una cuenta de moderador de los foros para obtener las cuentas de todos los usuarios y los hashes de sus contraseñas.
vBulletin también ha confirmado que como parte de su mantenimiento todos los Cloud Sites, también han sido actualizados.
Más información:
Security Patch Release for vBulletin 5.0.4, 5.0.5, 5.1.0, 5.1.1, and 5.1.2http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/4097503-security-patch-release-for-vbulletin-5-0-4-5-0-5-5-1-0-5-1-1-and-5-1-2
una-al-dia (31/07/2013) Crónica del ataque a los foros de Ubuntu http://unaaldia.hispasec.com/2013/07/cronica-del-ataque-los-foros-de-ubuntu.html
[RST] vBulletin 5.1.2 SQL Injection https://www.youtube.com/watch?v=C84Z2yCGKAE

Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categorías: Seguridad

Reuters informa de los planes de producción del nuevo iPhone

Todo Pocket PC - Vie, 18/07/2014 - 13:04
Múltiples rumores están apareciendo los últimos días entorno al nuevo iPhone 6 de Apple que ya todo el mundo da por hecho va a presentarse en dos versiones, una clásica de 4,7" de pantalla y otra de medidas superiores, con una pantalla de 5,5". Dichos rumores apuntaban también a que el proceso de producción del iPhone de mayor tamaño se vería atrasado por problemas con los materiales y con la duración de la batería del dispositivo.

A través de la agencia de
Categorías: PDA / PPC

SkypeKit y Skype Developer Website cierran a finales de Julio

Sinologic - Vie, 18/07/2014 - 11:20

Todos sabemos que Skype nunca ha sido amiga de la compatibilidad, siempre que ha cedido parte de su “terreno” para permitir a otras personas acceder a su API, ha sido buscando siempre una rentabilidad de algún tipo: desde publicidad en el mejor de los casos (permitiendo los botones de acceso rápido a la cuenta de skype) como la compatibilidad con Asterisk o acceso a su infraestructura mediante SIP en los casos más extremos para acercarse a un público empresarial que genera llamadas y beneficios directos.

Pero desde la compra de Skype por Microsoft, estas “cesiones” se han ido mermando hasta el punto de desaparecer no sólo el soporte del chan_skype de Asterisk, si no que a partir de 2 semanas (31 de Julio de 2014), deja de tener soporte el famoso “SkypeKit” además de la web de desarrolladores y acceso a la API de Skype: “Skype Development Website”.

Teléfonos o gateways que ofrecen “integración” con SkypeKit, dejarán de funcionar.

SkypeKit is a collection of software and APIs (Application Programming Interface) that allows devices or applications connected to the internet to offer Skype voice and video calls. It’s designed to work with a wide range of chip sets, operating systems, and audio/video devices…

SkypeKit runs invisibly, with no user display. This way, developers are free to surface and deliver Skype functionality through their own products’ interfaces.

Aquellos que quieran seguir utilizando Skype en sus páginas webs, correos y otros servicios, deberán hacer uso de lo que llaman Skype URIs.

Categorías: Asterisk

Kaspersky Lab descubre una página fraudulenta en Facebook en apoyo al futbolista sancionado en el Mundial, Luis Suárez

Canal PDA - Vie, 18/07/2014 - 10:10
Los expertos en seguridad de Kaspersky Lab han descubierto una página fraudulenta en Facebook desde la que se solicita a los usuarios que firmen una solicitud en defensa del futbolista Luis Alberto Suárez, nuevo jugador del Barça y delantero de la selección uruguaya, que se hizo popular en las redes por su mordisco en el […]
Categorías: PDA / PPC

Google anuncia Chrome 36 y corrige 26 vulnerabilidades

Hispasec - Jue, 17/07/2014 - 23:30
Google sigue imparable con Chrome, su ritmo de actualizaciones es realmente notable. A finales de mayo publicaba Chrome 35, y ahora acaba de anunciar la nueva versión 36 del navegador. Se publica la versión 36.0.1985.125 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 26 nuevas vulnerabilidades. También se ha publicado la versión 35.0.1985.122 para dispositivos Android.
Según el aviso de Google se han incluido mejoras en el diseño del modo Incógnito, en las notificaciones,  una nueva alerta tras la recuperación de una caída del navegador , la inclusión en Linux de Chrome App Launcher y numerosos cambios en la estabilidad y rendimiento.
La actualización incluye la corrección de 26 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 26 vulnerabilidades, solo se facilita información de una de ellas.
La vulnerabilidad descrita está relacionada con el salto de la política de mismo origen en SVG (CVE-2014-3160). También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-3162).
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.
Más información:
Stable Channel Updatehttp://googlechromereleases.blogspot.com.es/2014/07/stable-channel-update.html
Chrome for Android Updatehttp://googlechromereleases.blogspot.com.es/2014/07/chrome-for-android-update.html
una-al-dia (24/05/2014) Google anuncia nueva versión de Chrome y corrige 23 vulnerabilidadeshttp://unaaldia.hispasec.com/2014/05/google-anuncia-nueva-version-de-chrome.html

Antonio Roperoantonior@hispasec.comTwitter: @aropero


Categorías: Seguridad

Microsoft despedirá a 18.000 empleados y eliminará la gama Nokia X

Canal PDA - Jue, 17/07/2014 - 21:18
Microsoft ha confirmado los recortes de plantilla que se venían rumoreando, justificándolos como el modo de “simplificar la organización y alinear el negocio de Dispositivos y Servicios recién adquirido a Nokia con la estrategia general de la empresa”. La medida se traducirá en 18.000 despidos a lo largo de los 12 próximos meses. Se trata […]
Categorías: PDA / PPC

Apple e IBM sorprenden con una alianza empresarial “entre piezas de un rompecabezas que encajan a la perfección”

Canal PDA - Jue, 17/07/2014 - 21:15
La alianza entre Apple e IBM exclusiva para el mercado empresarial recoge las capacidades complementarias de ambas partes… y plantea algunas dudas incómodas para toda una serie de rivales. Sobre las dos firmas implicadas, el consejero delegado de Apple Tim Cook ha asegurado en una entrevista con Re/code que “si esto fuera un rompecabezas, las […]
Categorías: PDA / PPC

Ericsson advierte sobre las ‘fantasías’ de globos y drones

Canal PDA - Jue, 17/07/2014 - 21:14
Ulf Ewaldsson, el director de tecnología de Ericsson, considera más fantasía que realidad el uso de globos y de drones para extender la conectividad a internet en los mercados emergentes. Ahora bien, en una entrevista reciente con Mobile World Live, Ewaldsson admite que el hecho de que empresas como Facebook y Google miren al cielo […]
Categorías: PDA / PPC

Samsung y ARM respaldan el estándar Thread de malla para hogares conectados

Canal PDA - Jue, 17/07/2014 - 21:12
Ha nacido el grupo Thread para impulsar la adopción de un estándar de malla inalámbrica para conectar dispositivos dentro de los hogares. Entre sus miembros se cuentan Samsung, ARM y Nest Labs, el fabricante de termostatos inteligentes que Google compró hace poco por 3.200 millones de dólares. Thread es un protocolo de red IPv6 “basado […]
Categorías: PDA / PPC
Distribuir contenido