Noticias

La nueva aplicación Kone Mobile ofrece más servicios digitales a los clientes de mantenimiento

Canal PDA - Mon, 25/04/2016 - 10:34
Kone líder mundial en la industria de ascensores y escaleras mecánicas, introduce un nuevo servicio digital para todos los clientes. Con la nueva aplicación Kone Mobile, los administradores de fincas y propietarios de edificios pueden ver toda la información de sus equipos en mantenimiento a través de sus Smartphone. La app Kone Mobile también está […]
Categories: PDA / PPC

Ford implanta en el nuevo Edge la tecnología que podría evitar multas por exceso de velocidad que triunfa en Europa

Canal PDA - Mon, 25/04/2016 - 09:23
Una tecnología que ayuda a los conductores a evitar costosas multas por exceso de velocidad se ha erigido como uno de los equipamientos más populares para usuarios de Ford en Europa. Ahora, el Limitador Inteligente de Velocidad de Ford estará disponible también en el nuevo Ford Edge, que llegará a concesionarios de toda Europa próximamente.Cuando […]
Categories: PDA / PPC

Cuatro nuevas vulnerabilidades en Squid

Hispasec - Sun, 24/04/2016 - 23:00
Se han publicado dos boletines de seguridad destinados a solucionar cuatro nuevas vulnerabilidades en SQUID versiones 2.x, 3x y 4.x que podrían permitir a atacantes remotos provocar condiciones de denegación de servicio, conseguir información sensible o ejecutar código arbitrario.
Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).
Tres de las vulnerabilidadesresiden en desbordamientos de búfer y validación incorrecta de entradas en el tratamiento de respuestas ESI (Edge Side Includes) que podrían dar lugar a denegaciones de servicio de todo el sistema, obtención de información sensible o ejecución de código arbitrario. Afectan a Squid 3.x y Squid 4.x. Se han asignado los CVE-2016-4052, CVE-2016-4053y CVE-2016-4054.
Por otra parte, con CVE-2016-4051, otra vulnerabilidadde desbordamiento de búfer en la herramienta cachemgr.cgi al tratar entradas remotas reenviadas desde Squid. Afecta a Squid 2.x, Squid 3.x y Squid 4.x
Los problemas están solucionados en las versiones Squid 3.5.17 y 4.0.9, o se puede también aplicar los parches disponibles desde:Para Squid 3.2:http://www.squid-cache.org/Versions/v3/3.2/changesets/squid-3.2-11841.patchhttp://www.squid-cache.org/Versions/v3/3.2/changesets/SQUID-2016_5.patchPara Squid 3.3:http://www.squid-cache.org/Versions/v3/3.3/changesets/squid-3.3-12697.patchhttp://www.squid-cache.org/Versions/v3/3.3/changesets/SQUID-2016_5.patchPara Squid 3.4:http://www.squid-cache.org/Versions/v3/3.4/changesets/squid-3.4-13235.patchhttp://www.squid-cache.org/Versions/v3/3.4/changesets/SQUID-2016_5.patchPara Squid 3.5:http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-14034.patchhttp://www.squid-cache.org/Versions/v3/3.5/changesets/SQUID-2016_5.patch
Hace apenas 15 días, ya se publicaron actualizaciones para otras dos vulnerabilidades diferentes que podían permitir a atacantes remotos provocar condiciones de denegación de servicio o conseguir información sensible de la memoria.
Más información:
Squid Proxy Cache Security Update Advisory SQUID-2016:5Buffer overflow in cachemgr.cgihttp://www.squid-cache.org/Advisories/SQUID-2016_5.txt
Squid Proxy Cache Security Update Advisory SQUID-2016:6Multiple issues in ESI processing.http://www.squid-cache.org/Advisories/SQUID-2016_6.txt
una-al-dia (09/04/2016) Solucionadas dos vulnerabilidades en Squidhttp://unaaldia.hispasec.com/2016/04/solucionadas-dos-vulnerabilidades-en.html


Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Actualizaciones para diversos dispositivos Cisco

Hispasec - Sat, 23/04/2016 - 23:00
Cisco ha anunciado un total de cinco vulnerabilidades en múltiples dispositivos que podrían permitir a un atacante provocar condiciones de denegación de servicio o ejecutar código arbitrario. Los problemas afectan a sistemas Cisco Wireless LAN Controller, Cisco ASA y a la librería libSRTP incluida en múltiples productos.
El primerode los problemas (con CVE-2016-1362) afecta a dispositivos con Cisco LC con Software Cisco AireOS con versiones 4.1 a 7.4.120.0, todas las versiones 8.5 y a la versión 7.6.100.0. Reside en una vulnerabilidad en la interfaz de administración web que podría permitir a un atacante remoto sin autenticar provocar el reinicio del sistema. Esto podría llevar a permitir condiciones de denegación de servicio.
Un segundo problema, con CVE-2016-1364, reside en un tratamiento inadecuado del tráfico del administrador de tareas Bonjour del software Cisco Wireless LAN Controller (WLC) que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio mediante el envío de tráfico Bonjour específicamente construido. Se ven afectados los dispositivos Cisco Wireless LAN Controller con versiones 7.4 anteriores a la 7.4.130.0(MD), todas las versiones 7.5, todas las versiones 7.6 y todas las versiones 8.0 anteriores a la 8.0.110.0(ED).
También en sistemas con software Cisco Wireless LAN Controller (WLC) una vulnerabilidaden la funcionalidad de redirección de URL HHTP que podría permitir a un atacante remoto sin autenticar provocar un desbordamiento de búfer en los dispositivos afectados que cause condiciones de denegación de servicio o incluso la ejecución de código arbitrario en el dispositivo. Se ven afectadas las siguientes versiones del Software Cisco WLC: todas las versiones 7.2, 7.3, 7.4 anteriores a 7.4.140.0(MD), 7.5, 7.6 y 8.0 anteriores a 8.0.115.0(ED).
Se ha anunciado otra vulnerabilidad, con CVE-2016-1367, en la característica de relay DHCPv6 del software de los Cisco Adaptive Security Appliance (ASA) 9.4.1 que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio. Afecta a sistemas Cisco ASA 5500-X Series Next-Generation Firewalls, Cisco ASA Services Module para Cisco Catalyst 6500 Series Switches y Cisco 7600 Series Routers y Cisco Adaptive Security Virtual Appliance (ASAv).
Por último, Cinco anunciala publicación de la versión 1.5.3 de la librería libSRTP (Secure Real-Time Transport Protocol library), que corrige una vulnerabilidad de denegación de servicio en el subsistema de tratamiento de cifrado de esta librería por la validación inadecuada de ciertos campos de paquetes SRTP. Son múltiples los productos Cisco que incluyen una versión vulnerable de la librería libSRTP. En este caso los productos afectados son:
  • Cisco WebEx Meetings Server versions 1.x
  • Cisco WebEx Meetings Server versions 2.x
  • Cisco Jabber
  • Cisco Adaptive Security Appliance (ASA) Software1
  • Cisco IOS XE Software2
  • Cisco IP Phone 88x1 Series
  • Cisco DX Series IP Phones
  • Cisco IP Phone 88x5 Series
  • Cisco Unified 7800 Series IP Phones
  • Cisco Unified 8831 Series IP Conference Phone
  • Cisco Unified 8961 IP Phone
  • Cisco Unified 9951 IP Phone
  • Cisco Unified 9971 IP Phone
  • Cisco Unified Communications Manager (UCM)
  • Cisco Unified Communications Manager Session Management Edition (SME)
  • Cisco Unified IP Phone 7900 Series
  • Cisco Unified IP Phone 8941 and 8945 (SIP)
  • Cisco Unified Wireless IP Phone
  • Cisco Unity Connection (UC)

Cisco ha publicado actualizaciones para todos los dispositivos afectados, en cualquier caso recomendamos revisar los avisos publicados para determinar la exposición y la versión a la que actualizar.
Más información:
Cisco Wireless LAN Controller Management Interface Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160420-wlc
Cisco Wireless LAN Controller Denial of Service Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160420-bdos
Cisco Wireless LAN Controller HTTP Parsing Denial of Service Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160420-htrd
Cisco Adaptive Security Appliance Software DHCPv6 Relay Denial of Service Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160420-asa-dhcpv6
Multiple Cisco Products libSRTP Denial of Service Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160420-libsrtp


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Categories: Seguridad

Elevación de privilegios por vulnerabilidades en Symantec Messaging Gateway

Hispasec - Fri, 22/04/2016 - 23:00
Symantec ha publicado una actualización para solucionar dos vulnerabilidades en la consola de administración de Symantec Messaging Gateway Appliance 10.x que podrían permitir a un atacante local elevar sus privilegios en el sistema.
Symantec Messaging Gateway está destinado a proteger la infraestructura de correo electrónico y productividad con protección en tiempo real contra software malicioso, spam, y ataques dirigidos. Incluye protección contra ataques dirigidos, datos de reputación de URL ampliados y administración simplificada con autenticación LDAP.
El primer problema (con CVE-2016-2203) podría permitir a un usuario autorizado de la consola de administración SMG, con al menos acceso de lectura, conseguir descifrar la contraseña cifrada de Directorio Activo almacenada en la aplicación SMG. Recuperar esta contraseña podría permitir a un atacante conseguir acceso privilegiado a otros recursos de la red.
Por otra parte, con CVE-2016-2204, un administrador (o con nivel de soporte) de la consola de administración SMG podría elevar sus privilegios a root en el sistema manipulando las entradas de código en su ventana de terminal para escapar a un Shell con privilegios.
Se ven afectadas todas las versions de Symantec Messaging Gateway Appliance anteriores a 10.6.0-7. Symantec recomienda actualizar a la versión 10.6.1, a través de la utilidad de actualización de software del propio producto.
Más información:
Security Advisories Relating to Symantec Products - Symantec Messaging Gateway Multiple Security Issueshttps://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160418_00
Symantec Messaging Gatewayhttps://www.symantec.com/es/es/messaging-gateway/

Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Microsoft Azure y Office 365 consiguen la certificación de conformidad con el nivel alto del Esquema Nacional de Seguridad

Canal PDA - Fri, 22/04/2016 - 13:31
Microsoft Ibérica ha anunciado que Microsoft Office 365 y Microsoft Azure, dos de las soluciones cloud más importantes de la compañía, han obtenido la certificación del Esquema Nacional de Seguridad (ENS) de Nivel Alto. El ENS, regulado por el Real Decreto 3/2010, de 8 de enero, se encarga de controlar la política de seguridad que […]
Categories: PDA / PPC

‘KŪKAN’, la instalación de Panasonic en el Salón de Milán, galardonada con el People’s Choice Awards

Canal PDA - Fri, 22/04/2016 - 12:51
La instalación de Panasonic “KŪKAN – La invención del Espacio”, presentada en el Salón de Milán 2016, celebrado del 12 al 17 de abril en la ciudad italiana, ha sido escogida para recibir el premio del público, estrenado una nueva categoría en los Premios del Diseño del Salón de Milán.Año tras año, el momento de […]
Categories: PDA / PPC

Con Bose SoundSport, el deporte es otro cantar

Canal PDA - Fri, 22/04/2016 - 12:36
Bose, empresa líder en el desarrollo y la fabricación de productos y tecnologías de audio, presenta su nueva familia de auriculares internos deportivos: SoundSport.Cuando sales a correr o entrenas en el gimnasio, necesitas unos compañeros que estén a la altura en todo momento, que se mantengan estables pase lo que pase y que te ofrezcan […]
Categories: PDA / PPC

Compartir datos online puede acabar con carreras profesionales

Canal PDA - Fri, 22/04/2016 - 12:11
Una encuesta elaborada por Kaspersky Lab en colaboración con B2B International realizada entre más de 12.000 personas de todo el mundo, revela que muchos usuarios continúan compartiendo información privada de manera imprudente a través de Internet, a pesar de que esta información podría haberles costado el puesto de trabajo o afectado a su relación de […]
Categories: PDA / PPC

Worten fomenta el desarrollo sostenible y logra la certificación medioambiental de tres tiendas

Canal PDA - Fri, 22/04/2016 - 12:09
Con motivo del Día Internacional de la Tierra, Worten anuncia que ha completado la certificación medioambiental de sus tres primeras tiendas en España. La protección del entorno siempre ha formado parte del ADN de la compañía, que impulsa tras este anuncio el desarrollo sostenible como parte de su cultura corporativa.En virtud de la norma ISO […]
Categories: PDA / PPC

Check Point Software Technologies y ElevenPaths, compañía del grupo Telefónica, ofrecerán servicios conjuntos de seguridad móvil

Canal PDA - Fri, 22/04/2016 - 11:46
Software Technologies Ltd. (NASDAQ: CHKP), ha anunciado hoy que ElevenPaths, compañía del grupo Telefónica especializada en el desarrollo de soluciones innovadoras de seguridad, será proveedor de las tecnologías de seguridad móvil de Check Point para los clientes corporativos de Telefónica en todo el mundo.El acuerdo entre Check Point y ElevenPaths ofrece a los clientes de […]
Categories: PDA / PPC

Apps móviles para mejorar la vida en las ciudades

Canal PDA - Fri, 22/04/2016 - 11:42
Las aplicaciones son la forma favorita para conectarse desde los dispositivos móviles: casi el 90% del tiempo de conexión se destina a su uso. De hecho, cada mes se lanzan 40.000 nuevas aplicaciones al mercado del móvil. En España, 27,7 millones de usuarios las utilizan a diario. Debido al auge de este nuevo ecosistema y […]
Categories: PDA / PPC

Lycamobile ofrecerá 148 canales de televisión en 9 idiomas a través de su nuevo servicio LycaTV

Canal PDA - Fri, 22/04/2016 - 10:58
La compañía Lycamobile, operadora móvil virtual (OMV) líder a nivel mundial, ofrece desde hoy 148 canales de televisión en 9 idiomas diferentes que pueden ser contratados a través de su nuevo servicio LycaTV. Los canales están divididos en función del idioma o las zonas geográficas y pueden ser contratados desde 8,25 euros al mes.Estos canales […]
Categories: PDA / PPC

Realiza presentaciones más dinámicas con Philips PicoPix

Canal PDA - Fri, 22/04/2016 - 10:35
Para hacer presentaciones profesionales más vivas y con energía en las reuniones de trabajo, los modelos PicoPix, comercializados bajo la marca Philips, son accesorios realmente indispensables. Fáciles de transportar ya que ocupan muy poco espacio, añaden un toque profesional sin importar el tamaño de la habitación en la que se proyecten. Ya no serán necesarios […]
Categories: PDA / PPC

Ahora con Lowi, ¡además de acumular megas también puedes acumular minutos!

Canal PDA - Fri, 22/04/2016 - 10:30
Nos lo pedíais y aquí lo tenéis, ¡¡por fin, una compañía que te permite acumular los megas y los minutos que no gastas!! Simple. Porque, ahora, en Lowi puedes personalizar tu tarifa mensual añadiendo 120 minutos en llamadas nacionales por 5€ más, sin tener que pagar por el establecimiento de llamada. Por ejemplo, por 11€ […]
Categories: PDA / PPC

Acer presenta Switch Alpha 12, un 2-en-1 con refrigeración líquida

Canal PDA - Fri, 22/04/2016 - 10:24
Acer ha presentado hoy el nuevo Switch Alpha 12,un 2-en-1 con Windows 10, con grandes opciones de movilidad y sistema de refrigeración Acer LiquidLoop, excelente rendimiento y un diseño convertible portátil-tablet ultra delgado que resulta elegante a la par que resistente y que ayuda al usuario a sacar el máximo provecho.El nuevo Switch Alpha 12 […]
Categories: PDA / PPC

Descarga, edita y disfruta con la nueva app de GoPro para escritorio

Canal PDA - Fri, 22/04/2016 - 10:05
Más de medio millón de usuarios de GoPro ya están disfrutando con la nueva aplicación de GoPro para escritorio, que lanzamos inicialmente a comienzos de marzo. Los primeros usuarios ya están disfrutando de una gestión de contenido simplificada y un proceso optimizado para descargar, ver y compartir fotos y vídeos junto con muchas otras características […]
Categories: PDA / PPC

Google publica informe de seguridad en Android

Hispasec - Thu, 21/04/2016 - 23:00
Por segundo año consecutivo Google publica un interesante informe en el que viene a destacar el estado actual de la seguridad en dispositivos Android. Una mirada a la forma en que se protege todo el ecosistema Android, las nuevas medidas de seguridad introducidas durante el 2015 y el trabajo realizado con socios y la comunidad de investigación de seguridad en general.
El informe, de casi 50 páginas, se encuentra disponible desde:http://source.android.com/security/reports/Google_Android_Security_2015_Report_Final.pdf.
Para proteger el ecosistema Android y sus usuarios, Google proporciona un conjunto de servicios de seguridad que se incluyen automáticamente como parte de los Google Mobile Services (GMS). Estos incluyen tanto los servicios basados en la nube como servicios integrados en el propio dispositivo como aplicaciones de Android.
Hay que señalar que el documento se basa en los adelantos y mejoras en relación a la seguridad en Android realizadas por Google durante el 2015. La compañía destaca que durante el pasado año se ha incrementado su comprensión del ecosistema utilizando sistemas automatizados que incorporan correlación de eventos a gran escala y ejecutando más de 400 millones de análisis de seguridad automáticos por día en los dispositivos con servicios de Google Mobile.
La mayor amenaza sigue siendo la instalación de aplicaciones maliciosas, lo que Google llama Aplicaciones Potencialmente Perjudiciales (Potentially Harmful Applications o PHA). Lo habitual en estos casos, aplicaciones que pueden dañar el dispositivo, dañar al usuario del dispositivo o hacer algo no autorizado con los datos del usuario.
Algunas de las cifras resultan espectaculares, como el escaneo en busca de malware de más de 6 billones de aplicaciones instaladas al día. Según Google, de media menos del 0,5% de los dispositivos tenía algún software de este tipo instalado durante 2015 y esa media desciende a menos del 0.15% en dispositivos que sólo instalan aplicaciones desde Google Play.
La firma de la gran G destaca el esfuerzo realizado en hacer más difícil la existencia de aplicaciones maliciosas en Google Play. Las mejoras realizadas durante el pasado año han reducido la probabilidad de instalar una aplicación potencialmente dañina desde la tienda de Google en un 40% en comparación con el 2014. Las aplicaciones recolectoras de datos han bajado en un 40%, el spyware en un 50% y los "downloaders" en un 50%.
El dato es evidente, es de sobra conocido, y de ello hemos hablado en múltiples ocasiones, el riesgo de instalar una aplicación desde un repositorio externo a Google Play es máximo. En esta ocasión la compañía llega a cifrar que el peligro de encontrar una aplicación maliciosa es hasta 10 veces mayor si la instalación se realiza desde fuera de Google Play.Overall, the trend shows devices that allow installing apps
from outside Google Play are around 10 times more likely
to have PHAs than those that only install from Play


La protección se realiza a través de Verify Apps (que escanea buscando malware) y SafetyNet (que protege de riesgos en la red). Así como por acciones realizadas por el equipo de seguridad Android. Esto ha reducido la propagación de aplicaciones maliciosas en más de un 80%. También han publicado la API SafetyNet Attest para ayudar a los desarrolladores a comprobar la compatibilidad e integridad del dispositivo.
Protecciones de Google integradas en el dispositivo en 2015Verify Apps: Protección contra aplicaciones potencialmente maliciosasSafetyNet: Protección frente a la red y amenazas basadas en aplicacionesSafebrowsing: Protección frente a sitios web insegurosDeveloper API: Proporcionar a las aplicaciones una forma de utilizar los servicios de seguridad de GoogleAndroid Device Manager: Protección a dispositivos perdidos o robadosSmart Lock: Mejorar la autenticación de usuario y protección física
También se destaca el lanzamiento de Android 6.0, conocida como Marshmallow, durante el 2015, y la mejora en la seguridad que el nuevo sistema ha significado. Con soporte para sensores de huellas dactilares, sandbox de aplicaciones, arranque verificado, mejora en la seguridad de usuario, cambios en el modelo de permisos, mayor control de los datos y capacidades que cada aplicación puede acceder. El cifrado obligatorio para todos los dispositivos que lo soporten, y se ha extendido para permitir el cifrado de datos en tarjetas SD.
Google no olvida la importancia de la ampliación del programa de recompensas por vulnerabilidades para estimular y recompensar a los investigadores que encuentran, corrigen y previenen vulnerabilidades en Android. Durante 2015, se recompensó con 210.161 dólares por las vulnerabilidades descubiertas. Este total se desglosa en 30 vulnerabilidades críticas, 34 altas, 8 moderadas, y 33 casos de gravedad baja.
Más información:
Android Security 2015 Year In Reviewhttp://source.android.com/security/reports/Google_Android_Security_2015_Report_Final.pdf
Android Security 2015 Annual Reporthttps://security.googleblog.com/2016/04/android-security-2015-annual-report.html
una-al-dia (05/04/2015) Informe del estado de la seguridad en Androidhttp://unaaldia.hispasec.com/2015/04/informe-del-estado-de-la-seguridad-en.html
una-al-dia (16/06/2015) Google recompensará por encontrar vulnerabilidades en Androidhttp://unaaldia.hispasec.com/2015/06/google-recompensara-por-encontrar.html
una-al-dia (04/06/2014) Análisis de un repositorio ruso de aplicaciones Androidhttp://unaaldia.hispasec.com/2014/06/analisis-de-un-repositorio-ruso-de.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Categories: Seguridad

Telefónica y Yamaha presentan Globalrider, la primera vuelta al mundo en solitario en 80 días sobre una moto conectada

Canal PDA - Thu, 21/04/2016 - 19:47
Telefónica y Yamaha han presentado en Jerez la Globalrider, la vuelta al mundo en 80 días en solitario en la primera moto “conectada” de la historia, una Yamaha dotada de las últimas tecnologías de Telefónica en Internet of Things y M2M. El circuito de la ciudad gaditana, donde este fin de semana se celebra el […]
Categories: PDA / PPC

Las marcas chinas derrotan a Apple y a Samsung en ventas de smartphones

Canal PDA - Thu, 21/04/2016 - 17:05
La firma de investigación de mercados TrendForce afirma los despachos de smartphones a escala mundial sumaron 292 millones de unidades durante el primer trimestre de 2016, un 18,6% menos que el trimestre anterior y un declive interanual del 1,3%. Pero la noticia sensacional de verdad es que las ventas totales de las marcas chinas (exportaciones […]
Categories: PDA / PPC

Pages