Antivirus Gratis

ESET lanza las versiones beta de sus nuevas soluciones para entornos corporativos.

2012-02-10T06:29:00.002-08:00

Las versiones beta de ESET Endpoint Security y ESET Endpoint Security Suite ya se encuentran disponibles para evaluación por parte de los usuarios.

ESET, compañía líder en detección proactiva de amenazas, anuncia el lanzamiento de las versiones beta de su nueva línea de productos para ambientes corporativos, ESET Endpoint Security Suite y ESET Endpoint Security.

ESET, empresa pionera en detección proactiva de amenazas y desarrolladora de la multipremiada solución ESET NOD32 Antivirus que se encuentra celebrando su 25º aniversario en 2012, invita a los administradores IT a unirse a la evaluación pública de la versión beta de las nuevas soluciones. Tanto ESET Endpoint Security Suite (con firewall personal y anti-spam) como ESET Endpoint Security en sus versiones beta ya están disponibles para su descarga en: http://www.eset-la.com/beta/eset-endpoint-security

Utilizando múltiples capas de detección de malware con el soporte del motor de exploración ESET Live Grid -el servicio de reputación de archivos en la nube de ESET la próxima generación de soluciones ESET Endpoint Security ofrece protección proactiva contra amenazas emergentes. Su bajo impacto sobre el sistema sumado a la gestión avanzada de clientes de modo remoto convierte a las nuevas soluciones de ESET en productos especialmente diseñados para empresas de cualquier tamaño.

La nueva generación de ESET Remote Administrator 5 en su versión beta, incluida tanto con ESET Endpoint Security como con ESET Endpoint Security Suite, incluye un Dashboard web y administración basada en roles que permite niveles variables de automatización del trabajo y el control remoto de casi todos los detalles imaginables de los equipos.

"ESET Endpoint Security y ESET Endpoint Security Suite, en sus versiones beta, no son sólo una mera actualización de los productos, sino que representan una nueva generación de soluciones de seguridad dentro del portafolio de ESET para clientes corporativos. En ellas se introducen nuevas características, junto con funcionalidades mejoradas- como ESET Live Grid, HIPS o Rollback de base de firmas y módulos del programa- de gran importancia para especialistas en IT y administradores", aseguró Palo Luka, Chief Technology Officer de ESET.

"En ESET ofrecemos la más actualizada y avanzada protección en infraestructura crítica para cualquier negocio. Nuestros productos se encuentra actualmente en la fase de evaluación por lo que invitamos a nuestros usuarios a probarlo y enviarnos sus valiosos comentarios", concluyó Luka.

La nueva generación de soluciones de seguridad de ESET continúa la larga tradición de soluciones de alta calidad iniciada con la línea Business Edition de ESET NOD32 Antivirus y ESET Smart Security. Ambos productos cuentan con ESET Remote Administrator 5. Además, ESET Endpoint Security Suite en su versión beta incluye firewall, control web y filtro antispam. Con el lanzamiento de las versiones completas de ambas soluciones, programado para este año, ESET ofrecerá una solución flexible para satisfacer las necesidades individuales de los clientes empresariales.

Copyright © 1992–2011 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marca registrada de sus respectivas empresas.

Acerca de ESET

Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Londres (Reino Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (México).

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.

G Data InternetSecurity 2012, mejor protección antimal-ware para PC World USA.

2012-02-10T06:29:00.000-08:00

Lluvia de superlativos para G Data por parte de PC World, una de las revistas informáticas más influyentes del mundo, en sus ediciones española y americana.

Si en diciembre del año pasado G Data TotalCare 2012 conseguía en la edición española de la revista PC World las “cinco estrellas” que distinguen los mejores productos que pasan por su laboratorio, el pasado 30 de enero, PC World publicaba en la web de su edición norteamericana una comparativa en la que, en este caso G Data InternetSecurity 2012, ocupaba un brillante primer puesto.

El análisis, en el que se midieron catorce soluciones diferentes, destaca su excelente capacidad de detección, un impacto mínimo en el sistema y una tasa de falsos positivos prácticamente imposible de superar.

G Data InternetSecurity 2012

Los resultados del análisis han impresionado al laboratorio de PC World. La suite del fabricante alemán ha bloqueado todas las amenazas desconocidas a las que le han enfrentado y casi el cien por cien (99,995%) de un conjunto formado por más de 100.000 muestras de malware diferentes ya conocidas, sorprendiendo este último dato al tratarse de “la mejor tasa de detección y blo-queo que hemos visto en la historia de nuestros análisis. Además, la suite de G Data ha conse-guido una tasa baja de falsos positivos, etiquetando como tal uno solo de los archivos de una muestra de 250.000 considerados como potencialmente peligrosos.” PC World.

www.pcworld.com/article/248886/g_data_internetsecurity_2012_review_topnotch_antimalware_protection.html
http://www.pcworld.com/reviews/collection/3247/2010_suites.html

Protección eficaz frente a todo tipo de malware, phising, rootkits y programas espía. Incluye filtro web y sistema de comprobación de archivos sospechosos en la nube así como protección de correo electrónico y sistema antispam. Incorpora cortafuegos y un módulo de control parental que permite definir el tiempo de navegación en Internet y bloquear los contenidos no deseados. Incluye G Data MobileSecurity para Android.

G Data TotalCare 2012

Por su parte, la edición española de la revista ha destacado la apuesta de G Data por el doble escáner antivirus y afirma que “teniendo en cuenta que resulta imposible que ningún antivi-rus pueda garantizar el 100% de detección, el uso de dos motores supondrá un interesante colchón extra de seguridad.” Además, se hace eco de la excelente relación calidad precio de las versiones 3PCs que por un “33% más de precio ofrecen un 600% más de servicio.”

La solución más completa de G Data incorpora, además de las tecnologóias incluidas en el ya clásico G Data InternetSecurity, un interesante módulo backup que permite realizar copias de archivos en red, particiones o imágenes completas del disco duro, así como un optimizador de sistema ideal para mantener el PC a punto (incluye búsqueda de actualizaciones, borrado de cookies, historiales, archivos temporales, contraseñas...).

G Data Software AG

Con sede en Bochum (Alemania), G Data Software AG es una innovadora multinacional alemana con una dilatada experiencia en el desarrollo de soluciones de seguridad. Especialista en seguridad online y pionera en protección antivirus, G Data desarrolló su primer programa antivirus hace más de 25 años. Es pues uno de los fabricantes de software de seguridad más veteranos de todo el mundo. Fruto del I+D+i que la compañía despliega en el desarrollo de sus soluciones, en los últimos cinco años G Data ha recibido los más prestigiosos premios internacionales como proveedor de seguridad. Sus soluciones de seguridad están disponibles en más de 90 países. Más información sobre la compañía y sus productos en www.gdata.es

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Fallo en BIND permite que los dominios no se borren nunca de las cachés.

2012-02-10T06:28:00.000-08:00

Se ha publicado un fallo en el sistema de actualización de caché en servidores BIND 9.x. Un atacante podría tener acceso a los datos de un dominio cuyos datos han sido borrados.

BBIND es un servidor DNS que fue desarrollado a principios de los 80 por cuatro universitarios de la Universidad de Berkely (California).

Más adelante, el desarrollo quedó a cargo de varios empleados de DEC para que finalmente, Paul Vixie, terminase fundando ISC que es la organización que se ha encargado del mantenimiento de este software desde entonces.

La última versión del software original apareció en mayo de 1997 como BIND 8. A partir de ese momento el desarrollo empezó de cero con el apoyo del gobierno de los Estados Unidos concienciados con la importancia de la seguridad de los sistemas DNS. Como resultado de esto se publicó BIND 9, siendo el servidor DNS más utilizado en Internet actualmente.

El fallo permite que un dominio siga resolviendo, incluso cuando ha sido eliminado de los registros de servidores superiores de los que pueda heredar el DNS y que haya expirado su TTL.

Supongamos que se quiere eliminar un dominio fraudulento, usado exclusivamente por un troyano para la descarga de un componente. Esto es bastante común hoy en día, y la fórmula habitual para atajarlo es hacer que el registrante elimine el dominio. Durante la vida del dominio, la resolución se propaga por otros servidores DNS. El fallo permitiría que, aunque fuese eliminado este dominio de los servidores del registrante, no se atajara el problema cuando expirasen sus TTL. El dominio seguiría estando accesible indefinidamente y por tanto, la descarga del componente del troyano.

Actualmente no existe solución a este problema, aunque ICS está investigando y preparando un parche que solvente esta vulnerabilidad.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/02/fallo-en-bind-permite-que-los-dominios.html#comments

Más información:

Ghost Domain Names: Revoked Yet Still Resolvable
https://www.isc.org/software/bind/advisories/cve-2012-1033

Fuente:
Daniel Vaca
dvaca@hispasec.com

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

RealNetworks publica actualización para RealPlayer.

2012-02-10T06:27:00.001-08:00

RealNetworks ha anunciado una actualización para corregir siete vulnerabilidades en RealPlayer, que podrían permitir a un atacante comprometer los sistemas afectados.

Se ven afectadas las versiones RealPlayer 11.0 a 11.1, RealPlayer SP 1.0 a 1.1.5, RealPlayer 14.0.0 a 14.0.7, RealPlayer 15.0.0 a 15.0.1.13 y RealPlayer para Mac 12.0.0.1701.

Las vulnerabilidades, con los CVE-2012-0922 a CVE-2012-0928, afectan a diferentes aspectos del reproductor, incluyendo la reproducción de archivos RealMedia File Format (RMFF), la decodificación de samples atrac, así como con archivos codificados RV40, RV 20 y RV10. Todos los problemas podrían permitir la ejecución remota de código arbitrario y comprometer los sistemas afectados.

Se recomienda actualizar a las versiones RealPlayer 15.02.71 (para Windows XP, Vista y Win7).

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/02/realnetworks-publica-actualizacion-para.html#comments

Más información:

RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables.
http://service.real.com/realplayer/security/02062012_player/es

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Bouncer, la lucha contra el malware en el Market de Android.

2012-02-10T06:26:00.001-08:00

Es un hecho que en el Market de Android se cuela malware y Google reacciona. Han presentado Bouncer, un sistema automático que analiza las aplicaciones subidas al Market para detectar (y eliminar) el potencial malware detectado. ¿Será efectivo?

Google no ejercía controles demasiado estrictos sobre las aplicaciones que los programadores subían al Market de Android y que podían ser descargadas directamente por los usuarios sin pasar por algún filtro que comprobara su seguridad. Apple, sin embargo, realiza un estudio mucho más estricto de sus aplicaciones antes de publicarlas en su AppStore, lo que le ha permitido mantenerse al "margen" del objetivo de la industria del malware.

Google pretende con Bouncer, por un lado, detectar y eliminar las amenazas de malware conocidas. Por otro, también estudia a los desarrolladores, pudiendo denegar acceso a posibles defraudadores.

Aunque haya sido presentado ahora, Bouncer lleva un tiempo funcionando.

Según Google, esto ha permitido que en 2011 decaiga en un 40% el número de descargas potencialmente peligrosas. Curiosamente, Google parece realizar una crítica velada hacia las casas antivirus y sus mensajes publicitarios: "Este descenso ocurre al mismo tiempo que las compañías que comercializan y venden soluciones antivirus informan que las aplicaciones dañinas están aumentando".

Cómo funciona

Se trata de un análisis automático de software, que no requiere que el desarrollador pase por ningún proceso de aprobación.

* Por un lado, realiza un análisis estático cuando se sube una aplicación, buscando malware conocido. O sea, se le pasa uno o varios motores antivirus por firmas. Este es el mismo método que seguía Firefox y que, por supuesto, no es suficiente por sí mismo. De hecho, ha permitido que se colara, al menos en dos ocasiones, malware en el repositorio oficial de extensiones de Mozilla.

* Por otro, analizan dinámicamente las aplicaciones ejecutándolas automáticamente en un entorno virtual y comprobando su comportamiento.
La monitorización de permisos "abusivos" para el terminal es un buen indicador de que algo extraño puede estar ocurriendo. Dependiendo de cómo afinen sus reglas, este sistema "heurístico" puede ser bastante efectivo. Se supone que mantendrá su efectividad mientras los atacantes no sepan detectar este entorno puesto que, como ocurre ahora normalmente en el mundo del PC, el código dañino podría no ejecutarse si detecta que se encuentra en un entorno virtualizado.

* Por otro, monitorizarán las cuentas de los desarrolladores, para evitar que vuelvan a subir aplicaciones ilegítimas una vez hayan sido detectadas. Este paso, aunque lógico, no evitará que se creen cuentas falsas o se secuestren cuentas de desarrolladores legales para subir malware.

Con desarrollos como Bouncer, Google pretende que no se perpetúe una cierta imagen de sistema operativo "inseguro" que está adquiriendo Android, a causa de la facilidad para inducir a la descarga de malware o esconderlo en aplicaciones supuestamente legítimas. Pero sobre todo, su objetivo es evitar titulares como este "El 'malware' en Android ha aumentado un 472%" publicado en 2011.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/02/bouncer-la-lucha-contra-el-malware-en.html#comments

Más información:

" El 'malware' en Android ha aumentado un 472% "
http://www.europapress.es/portaltic/internet/noticia-malware-android-aumentado-472-20111118115211.html

Firefox y la (in)seguridad de sus extensiones y complementos
http://unaaldia.hispasec.com/2010/07/firefox-y-la-inseguridad-de-sus.html

Google Online Security Blog:
http://googleonlinesecurity.blogspot.com/2012/02/android-and-security.html

Google Mobile Blog:
http://googlemobile.blogspot.com/2012/02/android-and-security.html

Fuente:
Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Google añade más seguridad a los dispositivos Android

2012-02-10T06:25:00.000-08:00

El fuerte incremento en la ventas de esos equipos y en la venta de aplicaciones, ha llevado a Google a tomar medidas para que la seguridad no se vea comprometida.

Android cerró 2011 con unas cifras espectaculares. Las activaciones de dispositivos aumentaron un 250% (año a año) con unos 11 mil millones de descargas de aplicaciones en Android Market. El desarrollo continuo de la plataforma ha llevado a Google a desarrollar nuevas funciones e innovaciones en todos los campos, también en la seguridad.

La multinacional ha lanzado un nuevo servicio con el nombre de código Bouncer. Se encarga de escanear automáticamente Android Market para detectar software potencialmente peligroso sin afectar a la experiencia del usuario y sin que los desarrolladores pasen por un proceso de aprobación previo.

Bouncer revisa las aplicaciones nuevas, de las que ya estaban disponibles y de las cuentas de los desarrolladores. En el momento se sube una, se inicia un proceso de búsqueda de programas maliciosos, espías y troyanos. También observa comportamientos indicativos de que una aplicación no está funcionando de la forma adecuada, comparándola con aplicaciones que se analizaron previamente para detectar si han sido marcadas como inadecuadas en el pasado.

El servicio ya lleva un tiempo buscando aplicaciones malintencionadas en Market. De hecho, entre la primera y la segunda mitad de 2011, ha habido una reducción del 40% en las descargas de material potencialmente dañino en Android Market. Una caída que se producía al mismo tiempo que distintas empresas que anuncian y venden software de seguridad, informaban de que las aplicaciones dañinas iban en aumento.

Fuente:
Humberto Minaya
Redes &Telecom
www.redestelecom.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

'Kernel panic' en IBM AIX con solo enviar paquetes TCP.

2012-02-10T06:24:00.000-08:00

IBM ha publicado una actualización para solucionar una vulnerabilidad en la implementación TCP de su sistema operativo AIX en las versiones 5, 6 y 7. El fallo permitiría a un atacante provocar un "kernel panic" ...

... con solo enviar un paquete a la interfaz de red. Una especie de "ping de la muerte" con protocolo TCP.

AIX (Advanced Interactive eXecutive) es un sistema operativo UNIX propiedad de IBM que corre en las pSeries de los IBM eServers, utilizando procesadores de la familia IBM POWER de 32 y 64 bits. La primera versión (AIX V1) apareció en 1986. Estaba basada en un System V Release 3 de UNIX y se convirtió en el sistema operativo estándar para estaciones de trabajo y servidores RS/6000 (AIX/6000).

La última versión estable es la 7.1 y fue publicada en septiembre de 2010. Esta, junto con las versiones 5 y 6, sufren de una vulnerabilidad que afecta a la pila TCP y que permitiría a un atacante remoto provocar una denegación de servicio ("Kernel panic"). Este tipo de ataque sólo es posible si la opción "TCP large send offload" está activa y el atacante envía a la interfaz de red una secuencia de paquetes TCP especialmente manipulados.

IBM recomienda actualizar a las últimas versiones:

• 5.3.12 Actualizar a 5.3.12.5
• 6.1.5 Actualizar a 6.1.5.7
• 6.1.6 Actualizar a 6.1.6.16
• 6.1.7 Actualizar a 6.1.7.2
• 7.1.0 Actualizar a 7.1.0.17
• 7.1.1 Actualizar a 7.1.1.02

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/02/kernel-panic-en-ibm-aix-con-solo-enviar.html#comments

Más información:

IBM SECURITY ADVISORY
http://aix.software.ibm.com/aix/efixes/security/large_send_advisory.asc

Fuente:
Daniel Vaca
dvaca@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

G Data se suma al Día Internacional de la Internet Segura.

2012-02-10T06:23:00.001-08:00

Se celebra mañana 7 de febrero y el fabricante alemán se une ofreciendo ocho claves de seguridad para ayudar a proteger a los menores.

Con el lema “conectando generaciones” se celebra mañana el Día Internacional por una Internet Segura, encaminado a promover el uso responsable de Internet entre los jóvenes y, este año, con el objetivo de promover el diálogo intergeneracional entre padres e hijos, profesores y alumnos.

Internet se ha convertido en un lugar lleno de alicientes para nuestros jóvenes y prácticamente todos, desde casa o el colegio, viven conectados. Redes sociales, juegos online, sistemas de mensajería instantánea, videos de todo tipo y su condición de almacén de información hacen de Internet uno de los lugares donde más horas pasan nuestros menores. Desafortunadamente, esto y que en muchas ocasiones no tienen conciencia de los peligros reales asociados a la Red y son más fáciles de engañar, les convierte en uno de los objetivos preferidos de cibercriminales y estafadores online.

Por regla general, los jóvenes utilizan Internet con una sensación plena de seguridad, ya sea a la hora de buscar información, actualizar sus perfiles sociales o chatear con sus amigos. Les cuesta trabajo imaginar que haya delincuentes interesados en sus datos personales y no son conscientes de que hay una posibilidad real de que sus ordenadores resulten infectados, “más real, cuanto menor es la conciencia del peligro”, asegura Ralf Benzmüller, responsable de G Data SecurityLabs.

“Los menores son una de los objetivos más recurrentes de estafadores online y ciberdelincuentes. Por este motivo, los padres deberían asegurarse de que el ordenador de sus hijos está convenientemente protegido y el software instalado, especialmente sistema operativo, navegador y solución antivirus, perfectamente actualizado. Por supuesto, también es necesario educar a hijos y alumnos en lo referente a amenazas online de forma que sean capaces de asumir un comportamiento digital responsable e incorporen ciertos ciertas precauciones sencillas en sus hábitos de navegación. Las mismas precacuciones podemos trasladarlas al terreno de las plataformas móviles (smartphones y tabletas), donde cada vez se producen más y más ataques. ”, afirma Benzmüller.

Ocho consejos de seguridad para ayudar a proteger a los menores

• Protege su PC. Teniendo en cuenta el volumen de amenazas, su grado de sofisticación, el ritmo de creación del nuevo malware y sus múltiples vías de entrada, se hace obligatorio utilizar un software antivirus que incorpore cortafuegos, antispam y protección web en tiempo real. No hay que olvidar que los antivirus tienen que actualizarse varias veces al día y es recomendable no desactivar nunca la función que automatiza todas estas actualizaciones.

• Actualiza su ordenador. El sistema operativo y resto de programas instalados en el ordenador (navegador, lector de archivos PDF, etc.) deben mantenerse perfectamente actualizados, incluyendo service packs, parches y cualquier otro tipo de update.

• Elimina los programas obsoletos. Los programas obsoletos, aquellos para lo que no existe soporte por parte del fabricante, constituyen una puerta de entrada perfecta para muchas amenazas. Deben ser eliminados y sustituidos por una versión más actual.

• Enseñe a sus hijos la importancia de utilizar contraseñas seguras. Que combinen letras, números, mayúsculas y minúsculas y que no incluyan información personal (cumpleaños, nombres propios, DNI, teléfonos…). Asimismo, es recomendable no usar aplicaciones que requieran contraseñas en ordenadores públicos (cibercafés, hoteles o bibliotecas, por ejemplo).

• Como norma general, enséñeles a ser precavidos y desconfiados. Ninguna información (premios suculentos, peticiones de ayuda a cambio de importantes sumas de dinero, regalos de desconocidos…) tiene que ser cierta sólo porque aparezca en la pantalla del ordenador. Hágaselo saber a los más pequeños y enséñelos también a desconfiar de los “amigos digitales” que no conocen en el mundo real.

• Redes sociales: Conviene ser extremadamente precavido a la hora de compartir información personal en las redes sociales. Es importante educar a los internautas más jóvenes sobre la importancia de compartir determinados datos personales. Enséñeles a pensar dos veces la conveniencia de compartir determinadas fotos en la Red.

• Smartphones y tablets: Descarga solo aplicaciones de fuentes confiables, como por ejemplo del Android Market de Google o de las tiendas de los fabricantes del propio terminal. Aunque no suele hacerse, es recomendable comprobar las autorizaciones de las apps instaladas y ser especialmente cuidadoso con aquellas que tienen derechos para enviar mensajes y llamadas. Por regla genera, conviene utilizar una solución antivirus capaz de garantizar que nuestras aplicaciones no contienen malware.

• Redes WiFI. Son tan populares como poco seguras, especialmente entre los jóvenes. Sin embargo, en muchas ocasiones estas redes no están convenientemente securizadas y es relativamente sencillo interceptar los datos que viajan a través de ellas. Es conveniente utilizar la conexión que ofrece el propio operador móvil a navegar utilizando estas redes públicas, especialmente si vamos a acceder aplicaciones que requieran que nos soliciten datos personales.

G Data Software AG

Con sede en Bochum (Alemania), G Data Software AG es una innovadora multinacional alemana con una dilatada experiencia en el desarrollo de soluciones de seguridad. Especialista en seguridad online y pionera en protección antivirus, G Data desarrolló su primer programa antivirus hace más de 25 años. Es pues uno de los fabricantes de software de seguridad más veteranos de todo el mundo. Fruto del I+D+i que la compañía despliega en el desarrollo de sus soluciones, en los últimos cinco años G Data ha recibido los más prestigiosos premios internacionales como proveedor de seguridad. Sus soluciones de seguridad están disponibles en más de 90 países. Más información sobre la compañía y sus productos en www.gdata.es

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Los españoles son los europeos que más utilizan el video online en el trabajo, aunque con fines ajenos a la empresa.

2012-02-10T06:22:00.001-08:00

Según un estudio realizado por Blue Coat, el 75% de los empleados españoles ven video online en su empresa. Los alemanes son los que más usan el video con fines relacionados con su trabajo, casi el doble que los españoles.

Blue Coat Systems, Inc. (Nasdaq: BCSI), proveedor líder en seguridad Web y soluciones de optimización WAN , ha anunciado los resultados de una encuesta realizada en España, Francia, Alemania, Italia, Holanda y Reino Unido acerca del uso de video online por parte de los trabajadores, así como de los grandes contrastes que existen entre cada país. La encuesta muestra las diferencias en el tiempo que los trabajadores pasan viendo video online con fines lúdicos y de trabajo, en función de cada uno de los países. También pone de manifiesto la falta de políticas o de regulación en las empresas respecto a lo que los empleados pueden ver o no en su puesto de trabajo.
Los españoles son los europeos que hacen mayor uso del video en la oficina.

Un 75% de los empleados españoles reconoce que ven video online en el trabajo, incluyendo contenidos puramente lúdicos y aquellos relacionados con su trabajo, como formaciones en video u otros.

En el extremo opuesto se encuentra Alemania, sólo el 12% de los alemanes ven vídeo online en el trabajo.

El 68% de los empleados franceses, el 56% de los ingleses, el 44% de los holandeses y el 43% de los italianos ven vídeo online en el trabajo.

Uso de video en el trabajo

Muchas de las empresas analizadas señalan que tienen planes para utilizar más el video como plataforma de comunicación para la formación y comunicación con sus empleados. El 49% de los trabajadores alemanes que ven video online lo utilizan para fines relacionados con su trabajo, ganando al resto de países en el predominio de uso de video para fines laborales y casi el doble que en España, donde sólo el 25% de los empleados que usan video lo hacen con fines laborales. En Reino Unido, los empleados que ven video online para fines relacionados con su trabajo son el 41% de. El 39% de los franceses, el 38% de los holandeses y el 31% de los trabajadores italianos que ven video online lo hacen por motivos relacionados con la empresa.

Políticas de regulación sobre video online en el trabajo

La mayoría de los trabajadores encuestados en toda Europa señala que su empresa, o bien no tiene políticas de regulación sobre el video online en el trabajo; o sólo tiene una política informal que permite ver video online siempre que no interfiera en su trabajo; o bien no tienen conocimiento de la existencia de ningún tipo de política de la empresa relacionada con este tema. Los trabajadores holandeses son los que tienen menos reglamentos en la empresa para ver video en línea. Un 74% de los encuestados en este país señala que no tiene restricciones en este sentido , como ocurre con el 64% de los empleados franceses.

España, Reino Unido e Italia se encuentran en la mitad del ranking. El 54% de los españoles no tienen ninguna regulación en la empresa sobre el video online, al igual que el 56% en Reino Unido o el 51% de los trabajadores italianos. El 47% de los trabajadores alemanes no estaban limitados por las políticas de la empresa.

"Que los empleados vean video online en el trabajo es una tendencia claramente al alza en las empresas e instituciones en Europa y muchas organizaciones están trabajando para permitir un mayor uso del video como medio de comunicación a través de la red existente," señala David Ewart, director de marketing EMEA de Blue Coat Systems. "Al mismo tiempo, el uso de vídeo Web con fines no comerciales es también creciente y, en ocasiones, interfiere con aplicaciones del negocio. Sólo la próxima generación de soluciones de optimización WAN que mejoren el rendimiento del vídeo reduciendo drásticamente el consumo del ancho de banda, pueden ayudar a las empresas a aumentar el uso del video para negocios y fines lúdicos mientras se minimiza el impacto global en la red."

Sobre Blue Coat Systems

Blue Coat Systems, Inc., es el líder tecnológico en Application Delivery Networking. Blue Coat ofrece una infraestructura de Application Delivery Network que proporciona la visibilidad, aceleración y seguridad que se requieren para optimizar y asegurar el flujo de información a cualquier usuario, sobre cualquier red, en cualquier lugar. Esta inteligencia de las aplicaciones permite a las empresas alinear estrechamente las inversiones en redes con los requisitos de negocio, agilizar el proceso de toma decisiones y securizar las aplicaciones de negocio para conseguir una ventaja de negocio a largo plazo. Para información adicional, por favor visite www.bluecoat.com.

# # #

Blue Coat, WebPulse y el logo de Blue Coat son marcas comerciales registradas de Blue Coat Systems, Inc. Y/o sus filiales en los Estados Unidos y otros países. Todas las marcas mencionadas en este documento son propiedad de sus respectivos dueños.

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Grave vulnerabilidad en PHP introducida con un parche anterior.

2012-02-10T06:21:00.000-08:00

La nueva versión de PHP 5.3.10 resuelve una vulnerabilidad que permite la ejecución de código remoto, y que fue introducida al intentar arreglar la anterior actualización.

Si hace un par de semanas se publicaba la actualización 5.3.9 de PHP, ahora se detecta una nueva vulnerabilidad provocada por los cambios introducidos en el parche que solucionaban la anterior, relacionada con las tablas hash (CVE-2011-4885).

Según el investigador Stefan Esser (i0n1c), esta nueva vulnerabilidad (CVE-2012-0830) permitiría la ejecución remota de código o en su defecto, una ataque de denegación de servicio .Existe una prueba de concepto que la aprovecha.

La vulnerabilidad se presenta en la introducción de una nueva propiedad dentro de php.ini, llamada "max_input_vars" que limita el número máximo de parámetros que pueden ser usados en una petición (por ej:
http://www.sitio.com/peticion.php?a=1&b=2&c=3). Por defecto le es asignado el valor 1000.

Esto, unido a los cambios introducidos en la función 'php_register_variable_ex' que no controlan correctamente cuándo se supera el valor max_input_vars y se utiliza un array de variables, permite que se pueda ejecutar código remotamente.

Si se observa el código cambiado en php_variables.c, se comprueba que sólo se controlan los valores menores o iguales a "max_input_vars":

if (zend_hash_num_elements(symtable1) <= PG(max_input_vars)) { if (zend_hash_num_elements(symtable1) == PG(max_input_vars)) { php_error_docref(NULL TSRMLS_CC, E_WARNING, "Input variables exceeded %ld. To increase the limit change max_input_vars in php.ini.", PG(max_input_vars)); } ... Sin "else" que encamine por otras vías el código. Por tanto, si se supera dicho valor el código seguiría ejecutándose hasta llegar a: symtable1 = Z_ARRVAL_PP(gpc_element_p); una macro que devuelve referencias a la tabla hash actualizada. Es aquí donde se podría ejecutar el código arbitrario o, provocar una denegación de servicio. PHP ha publicado rápidamente la actualización de PHP 5.3.10 que se encuentra disponible en: http://www.php.net/downloads.php Opina sobre esta noticia: http://unaaldia.hispasec.com/2012/02/grave-vulnerabilidad-en-php-introducida.html#comments Más información: Una vulnerabilidad podría permitir dejar sin servicio a la mayoría de servicios web http://unaaldia.hispasec.com/2011/12/una-vulnerabilidad-podria-permitir.html Critical PHP Remote Vulnerability Introduced in Fix for PHP Hashtable Collision DOS http://thexploit.com/sec/critical-php-remote-vulnerability-introduced-in-fix-for-php-hashtable-collision-dos/ Simple proof of concept for PHP bug described by Stefan Esser (@i0n1c) https://gist.github.com/1725489 Fuente: José Mesa Orihuela jmesa@hispasec.com Laboratorio Hispasec www.hispasec.com Imagen: Fotos Digitales Gratis www.fotosdigitalesgratis.com

Ciertos móviles HTC permiten enviar la clave WiFi en texto claro a un servidor remoto.

2012-02-10T06:20:00.000-08:00

Según afirma el programador Chris Hessing (que participa en el Open1X Group), y el investigador Bret Jordan, existiría una vulnerabilidad crítica (CVE-2011-4872) en los terminales móviles de HTC con Android.

El fallo facilitaría la revelación de información sensible tal como datos de configuración y credenciales de las redes WIFIs (802.1X) guardadas en el móvil.

La vulnerabilidad afectaría a nueve terminales de la marca taiwanesa HTC:
* Desire HD - Versiones FRG83D, GRI40
* Desire S - Versión GRI40
* Sensation Z710e - Versión GRI40
* Glacier - Versión FRG83
* EVO 3D - Versión GRI40
* Droid Incredible - Versión FRF91
* Thunderbolt 4G - Versión FRG83D
* Sensation 4G - Versión GRI40
* EVO 4G - Versión GRI40

El error se debe a los permisos asociados a "android.permission.ACCESS_WIFI_STATE" en las versiones afectadas y al uso del miembro .toString() de la clase WifiConfiguration. Esto daría acceso a todas las configuraciones almacenadas y las contraseñas en texto claro (otra característica de la vulnerabilidad presente), a través de aplicaciones especialmente manipuladas para transmitir estos datos de manera remota. Se necesitarían los permisos "android.permission.INTERNET". Este es bastante habitual a la hora de instalar ciertas aplicaciones en Android que necesitan acceso a Internet.

Por ejemplo, un atacante podría obtener la siguiente información en un servidor remoto, si la víctima ejecuta una aplicación especialmente diseñada para aprovechar este fallo:

* ID: 0 SSID: "wpa2eap" BSSID: null PRIO: 21
KeyMgmt: WPA_EAP IEEE8021X Protocols: WPA RSN
AuthAlgorithms:
PairwiseCiphers: CCMP
GroupCiphers: WEP40 WEP104 TKIP CCMP
PSK:
eap: TTLS
phase2: auth=PAP
identity: test
anonymous_identity:
password: test
client_cert:
private_key:
ca_cert: keystore://CACERT_wpa2eap

Google y HTC (que fueron notificados de manera privada en septiembre de 2011) están trabajando coordinadamente para solucionar la vulnerabilidad y actualmente no se conocen aplicaciones en el Market que la aprovechen, siempre según fuentes oficiales.

Las posibles actualizaciones estarán disponibles a través de los canales oficiales de cada operador o mediante HTC:
http://www.htc.com/europe/help/

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/02/ciertos-moviles-htc-permiten-enviar-la.html#comments

Más información:

802.1X password exploit on many HTC Android devices
http://www.kb.cert.org/vuls/id/763355

802.1X password exploit on many HTC Android devices
http://blog.mywarwithentropy.com/2012/02/8021x-password-exploit-on-many-htc.html

Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Hacktivismo, nuevamente en el centro de la escena.

2012-02-10T06:18:00.001-08:00

Durante enero, Anonymous atacó diversos sitios institucionales para expresar su repudio al cierre de Megaupload y 45.000 credenciales pertenecientes a usuarios de Facebook fueron robadas por el virus Ramnit.

Este mes, el grupo hacktivista Anonymous realizó diversos ataques para manifestar su disconformidad por el cierre de Megaupload, servicio de almacenamiento masivo de archivos que fue desmantelado como parte de un operativo del FBI y otras autoridades internacionales. Además, se identificó una nueva variante de Ramnit que ataca a usuarios de Facebook y ha logrado el robo de más de 45.000 credenciales.

El extenso operativo iniciado por el Departamento de Estado de Estados Unidos, el FBI y otras autoridades internacionales en contra de Megaupload Limited y Vestor Limited dio como resultado el cierre en enero de toda la red que pertenecía a ambas compañías, entre la que se encontraba el sitio de intercambio de archivos Megaupload, el portal de videos Megavideo y otros servicios como Megapix, Megalive y Megabox. El FBI acusó además a siete personas de estas empresas por violación de derechos de autor de diversos materiales protegidos.

Frente a esta situación y como forma de represalia en contra del proceso, el grupo hacktivista Anonymous comenzó uno de los ataques distribuidos de denegación de servicio (DDoS) que mayor repercusión ha tenido en la red. La organización logró dar de baja temporalmente el sitio web del FBI, del Departamento de Justicia, de la Asociación de Industria Discográfica (RIAA) y la Asociación Cinematográfica (MPAA), entre otros portales de Estados Unidos. En España, la web de la Sociedad General de Autores y Editores (SGAE) también se vio afectada.

Anonymous también recopiló y publicó información personal de Robert Muller, Director del FBI. Los datos filtrados corresponden a nombres de familiares, números de teléfonos y direcciones de correo electrónico de Muller. La empresa discográfica Sony Music Entertainment, por su parte, también sufrió de los embates del grupo, que obtuvo y publicó material musical de varios artistas de la firma como Madonna, Justin Timberlake y AC/DC, entre otros.

“Sin lugar a dudas, el hacktivismo es una tendencia creciente y es cada vez más frecuente que se utilice la red como medio de expresión de diferencias ideológicas. Es importante, sin embargo, destacar que según la legislación de delitos informáticos de cada país, muchas de estas acciones pueden ser consideradas ilegales”, declaró Sebastián Bortnik, Gerente de Educación & Servicios de ESET Latinoamérica.

También durante enero, se descubrió una nueva variante de Ramnit que, en lugar de robar información bancaria, ataca a usuarios de Facebook para obtener sus credenciales de acceso. El código malicioso logró robar más de 45000 credenciales, siendo la mayoría de los afectados usuarios franceses e ingleses.

Una vez que el atacante accede a las credenciales de la víctima, obtiene también acceso al entorno del usuario y los datos personales de sus familiares y amigos. Además, si la víctima no sigue una adecuada política de contraseñas y reutiliza la misma en varios servicios distintos, los riesgos pueden extenderse por fuera de la red social.

“Esta y otra acciones siguen confirmando la tendencia de que cada vez habrá más malware orientado a las redes sociales debido al gran impacto que éstas generan en los usuarios y a su poder de propagación. Una vez que una cuenta es vulnerada, es muy fácil para un atacante distribuir la amenaza entre todos los contactos de esa víctima y así sucesivamente ir formando un blanco sustancial de personas potencialmente afectadas”, aseguró Raphael Labaca Castro, Especialista de Awareness & Research de ESET Latinoamérica.

Finalmente, Win32/Dorkbot se ha convertido durante enero en la amenaza con mayor índice de detección en Latinoamérica a apenas 6 meses de su aparición. El código malicioso, cuyas sucesivas campañas de propagación por medio de redes sociales han sido descubiertas por la ESET Latinoamérica, convierte a los equipos infectados en parte de una red botnet, roba credenciales de acceso de los usuarios y realiza ataques de phishing contra bancos de la región.

Copyright © 1992–2011 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marca registrada de sus respectivas empresas.

Acerca de ESET

Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Londres (Reino Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (México).

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.

Informe anual PandaLabs: En 2011 se vuelve a batir el récord de creación de malware con 26 mill. de ejemplares

2012-02-01T07:03:00.001-08:00

Los troyanos son el tipo de malware más creado y detectado por PandaLabs.
China, Tailandia y Taiwán son de nuevo los países más infectados del mundo.
El robo de datos, los peligros de las redes sociales y ...

... la ciberguerra, temas recurrentes de 2011.

Según el nuevo Informe Anual 2011 elaborado por PandaLabs, el laboratorio antimalware de Panda Security – en 2011 el número de malware creado asciende hasta los 26 millones de muestras, lo que supone casi el 30% de las muestras totales de software malicioso recogidas en la base de datos de Panda Security, 88 en total. Esta cifra, que asciende de forma exponencial, es la mayor registrada en toda la historia de la compañía.

Estos números indican la capacidad de los cibercriminales de automatizar la creación de nuevas variantes y en este año hemos visto que la media de nuevas amenazas que se crean y distribuyen ha aumentado en este año desde 63.000 a 73.000 nuevos ejemplares diarios. Gracias a la Inteligencia Colectiva de Panda Security que detecta, analiza y clasifica automáticamente el 99,4% de las nuevas amenazas recibidas, sólo el 0,6% que el sistema no es capaz de determinar de forma automática si es malware o no, es analizada por el equipo técnico de la compañía. En noviembre de 2011 PandaLabs anunció que la Inteligencia Colectiva de Panda Security alcanzó los 200 millones de ejemplares de archivos analizados, y este número ya ha sobrepasado los 210 millones.

Malware

El tipo de malware que ha dominado en 2011 sigue siendo el troyano, y en este año con un mayor crecimiento. Mientras que en 2009 los troyanos ocupaban el 60% de los nuevos ejemplares creados, en 2010 bajó al 56%. En este año ha vuelto a crecer y se sitúan en un 73% de las nuevas muestras. Casi 3 de cada 4 nuevos ejemplares de malware son troyanos. En segundo lugar están los virus (14,24%) y en tercero los gusanos (8,13%).

En cuanto al ranking de infecciones, Tailandia, China y Taiwán vuelven a encabezar la lista de los países con más PCs infectados con el 60, 56 y 52 % respectivamente, siendo la media de PCs infectados a nivel mundial del 38,49%. Cabe destacar que los países anteriormente mencionados son los únicos que sobrepasan el 50% de infecciones.

2011: el año de los ciberataques redes sociales y ciberguerra

En el informe trimestral también se incluye un repaso a lo más destacado del año en el que podemos destacar el mayor robo de datos de la historia con Sony como gran protagonista en el que se accedió a los datos de más de 100 millones de usuarios y el caso de Steam, víctima de un ataque en el que se comprometieron los datos de más de 35 millones de personas.

Las redes sociales ocupan un lugar destacado en este informe, y ocupan un puesto importantísimo en la vida de los internautas, siendo Twitter y Facebook los reyes en esta materia. En 2011 ha entrado con fuerza un nuevo jugador Google+, consiguiendo millones de usuarios en unos pocos meses, pero sin interés especial por parte de los ciberdelincuentes para distribuir sus creaciones a través de esta nueva red.

En 2011 también se han se han sufrido ataques en todo el mundo que han afectado a gobiernos de todos los lugares y colores. No sólo los gobiernos han sido víctimas, sino también compañías relacionadas con los mismos, como fabricantes armamentísticos. En el informe también podemos encontrar una mirada al futuro en el que PandaLabs trata de explicar las tendencias de seguridad para 2012.

Sobre PandaLabs

Desde 1990, PandaLabs, el laboratorio de investigación de malware de Panda Security, trabaja en la detección y clasificación de malware para la protección de los consumidores y empresas contra las nuevas amenazas informáticas. Para ello cuenta con Inteligencia Colectiva, sistema propietario en la nube que aprovecha el conocimiento de la comunidad de usuarios de Panda para detectar de forma automática, analizar y clasificar las más de 73.000 nuevas muestras de malware que aparecen diariamente. La clasificación automática se complementa con un equipo internacional altamente cualificado de investigadores especializados en cada tipo de malware, como virus, troyanos, gusanos, spyware y otros ataques, para garantizar la máxima protección. Para ampliar información sobre PandaLabs y suscribirse a las noticias del blog visita: http://www.pandalabs.com/es.

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Elevación de privilegios en sudo (en multitud de distribuciones).

2012-02-01T07:02:00.001-08:00

Se ha descubierto un problema de seguridad en sudo que permite a cualquier atacante local elevar privilegios y convertirse en root. El fallo afecta a casi todas las distribuciones basadas en el kernel Linux y además de BSD, Mac OS X, etc.

Sudo es una herramienta de administración, utilizada en muchas de las distribuciones basadas en el kernel Linux, que permite delegar privilegios (normalmente de root) a determinados usuarios y para ciertos comandos en concreto. Ello posibilita, por ejemplo, que determinado grupo de usuarios tenga acceso a ciertas herramientas, con privilegios de administrador, pero de forma controlada y segura.

El fallo, descubierto por joernchen del Phenoelit Groupoernchen, se encuentra en un error de formato de cadena en la función "sudo_debug de sudo.c", a la hora de procesar el nombre del programa que se le pasa por parámetro.

Para aprovechar la vulnerabilidad, el atacante debe, por ejemplo, realizar un enlace a nivel de sistema de fichero (ln) del binario sudo hacia un fichero con un nombre manipulado con caracteres especiales de cadena (por ejemplo "%n"). Al ejecutar ese nuevo enlace creado, se podrá ejecutar código con privilegios de root.

El fallo se ha confirmado en las versiones 1.8.x, y para solucionarlo, es necesario actualizar 1.8.3.p2.

Este fallo es heredado por multitud de distribuciones y sistemas operativos que utilizan sudo. Fue notificado el día 24 de enero, y el día 30 ya se publicó un parche. Corren especial peligro las máquinas compartidas entre usuarios. También es posible que sea usado en un futuro para la elevación y "liberación" de dispositivos Android, por ejemplo.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/elevacion-de-privilegios-en-sudo-en.html#comments

Más información:

Vulnerabilidad:
http://seclists.org/fulldisclosure/2012/Jan/att-590/advisory_sudo.txt

Fuente:
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Denegación de servicio en Samba

2012-02-01T07:01:00.002-08:00

Se ha anunciado una vulnerabilidad en Samba que podría permitir a un atacante provocar una denegación de servicio.

Samba es una implementación libre del protocolo de compartición de archivos Microsoft para sistemas de UNIX. De esta manera equipos con sistemas GNU/Linux, MacOS o Unix en general pueden formar parte de la red de directorios compartidos de Windows.

La vulnerabilidad, descubierta por Youzhong Yang e Ira Cooper, es causada por un error en el demonio smbd al no liberar memoria cuando maneja solicitudes de conexión, incluso si estas no tienen éxito debido a una autenticación incorrecta.

Un atacante en red local podría explotar esta vulnerabilidad para agotar la memoria y aumentar el uso de la CPU del sistema, causando una denegación de servicio mediante el envío de un gran número de solicitudes de conexión.

La vulnerabilidad, identificada como CVE-2012-0817, afecta a las versiones de Samba 3.6.0 hasta 3.6.2.

Desde la página oficial de Samba se puede descargar la versión 3.6.3, así como parches para otras versiones que corrigen la vulnerabilidad explicada anteriormente: http://www.samba.org/samba/security/

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/denegacion-de-servicio-en-samba.html#comments

Más información:

CVE-2012-0817 - Memory leak/Denial of Service
http://www.samba.org/samba/security/CVE-2012-0817

Samba 3.6.3 Available for Download
http://www.samba.org/samba/history/samba-3.6.3.html

Fuente:
Juan José Ruiz
jruiz@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Ejecución remota de comandos en Apache Struts.

2012-02-01T07:01:00.000-08:00

Se han anunciado cuatro vulnerabilidades en Apache Struts (versiones 2.0.0 - 2.3.1.1), que podrían permitir a un atacante remoto ejecutar código Java.

Struts es un framework de código abierto para el desarrollo de aplicaciones Web Java EE bajo el patrón de arquitectura de software Modelo-Vista-Controlador (MVC). Anteriormente se desarrollaba como parte del proyecto Jakarta de la Apache Software Foundation, pero actualmente es un proyecto independiente conocido como Apache Struts.

Apache Struts2 utiliza XWork OpenSymphony y bibliotecas OGNL (Object-Graph Navigation Language). En XWork, existe por defecto el parámetro 'ParametersInterceptor' que permite hacer uso de las expresiones OGNL.

A través de OGNL se utilizan funciones Java estáticas. Esto podría ser usado por un atacante remoto para ejecutar código arbitrario a través de un valor de 'ParametersInterceptor' especialmente codificado en OGNL.

Este fallo se ha solucionado en la versión 2.3.1.2 y se le ha asignado el identificador CVE-2011-3923.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/ejecucion-remota-de-comandos-en-apache.html#comments

Más información:

Security Bulletins:
https://cwiki.apache.org/confluence/display/WW/S2-009

Fix:
http://struts.apache.org/download.cgi#struts2312

Mailing list:
http://mail-archives.apache.org/mod_mbox/struts-user/201201.mbox/%3CCANrzj0k5HZDDkJ7x%3DTVqY%2BjfCtd4FORcs7ehrfRgyp02Dg3gxQ%40mail.gmail.com%3E

Fuente:
Victor Antonio Torre
vtorre@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Grave vulnerabilidad en PCAnywhere (corregida cinco meses después)

2012-02-01T07:00:00.001-08:00

Se ha publicado una vulnerabilidad en PCAnywhere que permite ejecutar código en el sistema donde esté corriendo la aplicación. Esto es especialmente grave puesto que la aplicación, por diseño, está pensada para ser accesible en remoto.

PCAnywhere es una popular aplicación comercial de control remoto creada por la empresa Symantec que permite a los usuarios administrar un ordenador a distancia. Esto es especialmente útil para situaciones donde el acceso físico no sea posible, para tareas de soporte en remoto, etc., por lo que suele estar accesible en redes abiertas. En el servidor, el proceso escucha por defecto en el puerto TCP 5631.

En el servidor, los procesos de conexión los maneja el componente awhost32. En este proceso existe un fallo a la hora de validar o filtrar los datos de acceso introducidos por el usuario, lo que permite un desbordamiento de memoria intermedia. Si se envían peticiones especialmente manipuladas, se podría ejecutar código arbitrario en el equipo con privilegios de SYSTEM (los máximos en Windows).

Symantec conocía el problema desde agosto de 2011, aunque a pesar de su gravedad se ha hecho público ahora. Fue reportado de forma privada a través de ZDI, y ahora han coordinado una solución. Aunque en teoría el gravísimo problema fuese conocido solo por el descubridor, ZDI (que "compró" la vulnerabilidad al descubridor) y por Symantec, esto siempre conlleva riesgos. Durante cinco meses, se puede desde filtrar la información hasta ser descubierta por cualquier otro investigador de forma independiente, y quizás con otras intenciones.

El fallo recuerda al que sufrió VNC en mayo de 2006. No se trataba entonces de un problema de desbordamiento de memoria intermedia, pero permitía eludir la autenticación en el servidor. Aun hoy se pueden encontrar muchos servidores con versiones no corregidas de este programa.

Los administradores de PCAnywhere que no hayan modificado el puerto por defecto, restringido el rango de direcciones que pueden conectarse, protegido el proceso con DEP, ASLR, o tomado otras consideraciones de seguridad básicas, tienen un grave problema hasta que actualicen. El fallo ya ha sido corregido y se recomienda actualizar a la última versión disponible lo antes posible.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/grave-vulnerabilidad-en-pcanywhere.html#comments

Más información:

Security Advisories Relating to Symantec Products - Symantec pcAnywhere Remote Code Execution, Local Access File Tampering http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00

Symantec PCAnywhere awhost32 Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-12-018/

una-al-dia (15/05/2006) Grave vulnerabilidad en RealVNC
http://unaaldia.hispasec.com/2006/05/grave-vulnerabilidad-en-realvnc.html

Fuente:
Daniel Vaca
dvaca@hispasec.com

Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

A sólo 6 meses de su aparición, Dorkbot es el malware más detectado en Latinoamérica.

2012-02-01T06:59:00.001-08:00

El código malicioso, que realiza ataques de phishing y roba información, ha logrado tasas de infección en América Latina ampliamente superiores a las del resto del mundo.

Según el informe elaborado por el Laboratorio de Análisis e Investigación de ESET Latinoamérica, Win32/Dorkbot se ha convertido en la amenaza con mayor índice de detección en Latinoamérica a apenas 6 meses de su aparición. El código malicioso, cuyas sucesivas campañas de propagación por medio de redes sociales han sido descubiertas por la empresa, convierte a los equipos infectados en parte de una red botnet, roba credenciales de acceso de los usuarios y realiza ataques de phishing contra bancos de la región.

Dorkbot ha logrado tasas de detección especialmente altas en la región. Durante el mes de diciembre, el porcentaje de propagación de esta amenaza en Latinoamérica es del 8%, mientras que en Europa es del 0,8% y en Norteamérica es de apenas del 0,26%.

Argentina se ubica en el sexto lugar del ranking de detecciones de Dorkbot en Latinoamérica, con un porcentaje del 5.48%. Además, se ubica en el décimo lugar del ranking mundial.

Desde la aparición de Dorkbot, los niveles de detección de otras familias de códigos maliciosos que aprovechan el uso de medios extraíbles para su propagación han descendido. Esta tendencia obedece a una modificación en las últimas versiones de los sistemas operativos Windows que bloquean la ejecución automática de los mismos y obliga a los cibercriminales a desarrollar nuevas estrategias para distribuir sus amenazas. De acuerdo a la consultora Gartner, para fines del 2011 Windows 7 se habría convertido en la plataforma más utilizada a nivel mundial.
Esta tendencia obedece a una modificación en las últimas versiones de los sistemas operativos Windows que bloquean la ejecución automática de los mismos y obliga a los cibercriminales a desarrollar nuevas estrategias para distribuir sus amenazas. De acuerdo a la consultora Gartner, para fines del 2011 Windows 7 se habría convertido en la plataforma más utilizada a nivel mundial.

“Se trata de un código malicioso que refleja un cambio en las técnicas de propagación de amenazas en la región: la distribución de malware a través de medios extraíbles ha sido reemplazada por su difusión por medio de redes sociales, dadas las mejoras en los mecanismos de seguridad en las versiones posteriores a Windows XP. Según informes, el 42% del marketshare mundial pertenecería hoy en día a Windows 7 y este dato no escapa a los ciberatacantes, que ya están desarrollando amenazas para adecuarse a los nuevos entornos de seguridad”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

Copyright © 1992–2011 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marca registrada de sus respectivas empresas.

Acerca de ESET

Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Londres (Reino Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (México).

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Katy Perry y Russell Brand, nuevos ganchos para distribuir un gusano de Facebook.

2012-02-01T06:58:00.001-08:00

Un supuesto video de la cantante y su ex-marido llama la atención de los usuarios para facilitar la distribución del malware: Más de 4.000 usuarios han podido caer en el engaño ...

... Los usuarios de Firefox y Chrome, utilizados para la propagación del gusano.

Según informa PandaLabs, el laboratorio antimalware de Panda Security –The Cloud Security Company-, en los últimos días se está distribuyendo de forma masiva por Facebook un gusano que utiliza como gancho un supuesto video de la cantante Katy Perry y su ex-marido, el actor Russell Brand.

El usuario que, movido por la curiosidad, hace click en el enlace, es redirigido a una falsa página de Facebook en la cual se le solicita un plug-in para poder visualizar el video. Podemos observar que la imagen indica que más de 4.000 personas han hecho click en “me gusta”, lo que es un engaño para hacer creer a la víctima que se trata de un vídeo legítimo.

Cuando se intenta ver el video, podemos observar que el gusano se comporta de manera diferente dependiendo del navegador con el que se accede. En el caso de Internet Explorer, aparece brevemente una pantalla en la que pide verificar la edad para acceder a una aplicación llamada “X-Ray Scanner”.

Antes de que el usuario pueda realizar cualquier otra acción, el navegador se redirige a un típico scam donde se le pide a la víctima el número de teléfono. Si se introduce, el usuario recibirá mensajes de texto no deseados que supondrán un gasto económico.

La infección es más grave si el usuario utiliza Firefox o Chrome, ya que el gusano instala una extensión en el navegador. Esta extensión es la verdadera culpable de la propagación de estos mensajes, ya que publica el mensaje original en el muro de los contactos del usuario infectado.

Luis Corrons, Director Técnico de PandaLabs, comenta que “la curiosidad de los usuarios se convierte una vez más en el mejor arma de los ciberdelincuentes. El morbo que ofrece cualquier información acerca de la pareja recién rota juega un papel importante para favorecer la infección de los usuarios que, sin tener en cuenta ningún tipo de precaución, hacen click en el enlace malicioso y descargan el gusano. Esto provoca un doble efecto negativo: por un lado el usuario infecta su equipo y, por otro lado, envía un mensaje automático a todos sus contactos de Facebook para conseguir nuevas víctimas”.

La ingeniería social es la técnica más utilizada por los ciberdelincuentes para propagar sus creaciones por las redes sociales. Como la distribución de los enlaces maliciosos la hacen los propios usuarios sin su conocimiento, facilita que sus contactos caigan en el engaño, ya que perciben que ese enlace proviene de fuentes de confianza. Otros casos similares se han dado aprovechando la muerte de Steve Jobs, que llegó a tener más de 80.000 potenciales víctimas.

Para evitar caer en este tipo de engaños, PandaLabs ofrece una serie de consejos que es importante tener en cuenta:

- Desconfía siempre de este tipo de noticias sensacionalistas.

- Antes de hacer click en un enlace que proviene de cualquier contacto, asegúrate de que tu amigo lo ha enviado de forma consciente y no es producto del envío masivo de un gusano como este.

- No aceptes la amistad de alguien que no conoces, eso también ayudará a que tu privacidad se mantenga a salvo.

- Ten siempre actualizado tu sistema operativo y tus navegadores, y cuenta siempre con una protección antivirus instalada y actualizada en tu PC.

Y si a pesar de ello caíste en la trampa:

- Revisa los plug-ins de tus navegadores y elimina aquellos que no sean de confianza.

- Revisa las aplicaciones a las que has dado permiso para acceder a tu cuenta de Facebook y elimina aquellas que no conozcas.

- Cambia las claves de tu cuenta de Facebook. Si utilizas las mismas claves en otros servicios, cámbialas también. Siempre es mejor maximizar las precauciones.

Sobre PandaLabs

Desde 1990, PandaLabs, el laboratorio de investigación de malware de Panda Security, trabaja en la detección y clasificación de malware para la protección de los consumidores y empresas contra las nuevas amenazas informáticas. Para ello cuenta con Inteligencia Colectiva, sistema propietario en la nube que aprovecha el conocimiento de la comunidad de usuarios de Panda para detectar de forma automática, analizar y clasificar las más de 73.000 nuevas muestras de malware que aparecen diariamente. La clasificación automática se complementa con un equipo internacional altamente cualificado de investigadores especializados en cada tipo de malware, como virus, troyanos, gusanos, spyware y otros ataques, para garantizar la máxima protección.

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Elevación de privilegios en el kernel Linux y un exploit interesante.

2012-02-01T06:57:00.001-08:00

El pasado día 17 de enero, Linus Torvalds hizo un commit para corregir una elevación de privilegios en el kernel Linux 2.6 (CVE-2012-0056).

El fallo fue descubierto por Jüri Aedla y según comenta Torvalds en el propio parche, se debe a una incorrecta comprobación de privilegios al abrir el /proc/#pid#/mem de un proceso.

Este error no pasó desapercibido a Jason A. Donenfeld que ha escrito y publicado un interesante exploit. Lo ha bautizado como 'Mempodipper'.

Donenfeld estudió en detalle el proceso de explotación. De partida se encontró con que efectivamente la comprobación de permisos era débil y además, que la protección contra escritura en el espacio de memoria del proceso fue eliminada del código del kernel. De hecho puede leerse en el comentario del commit correspondiente, que se eliminaba la restricción porque no se consideraba un peligro la escritura en /proc/#pid#/mem.

Esto hace virtualmente vulnerables a los núcleos con versión 2.6.39 o superior.

Cómo funciona

Cuando se abre /proc/#pid#/mem se usa la función 'mem_open'. Dicha función almacena el 'self_exec_id' correspondiente al proceso que solicita la apertura. Esto se hace para comprobar posteriormente si son suficientes privilegios cuando se efectúan operaciones de lectura o escritura sobre el descriptor de fichero obtenido.

static int mem_open(struct inode* inode, struct file* file) { file->private_data = (void*)((long)current->self_exec_id);

En el caso de la operación de escritura se hace la comprobación del 'self_exec_id' además de llamar a 'check_mem_permission'. En teoría, para escribir en /proc/#pid#/mem, o se es el mismo proceso #pid# o el proceso tiene ciertos permisos especiales relacionados con ptrace.

static ssize_t mem_write(struct file * file, const char __user *buf, size_t count, loff_t *ppos)
{
...
...

Se llama a 'check_mem_permission' y si 'mm' vuelve con error no se efectúa la operación:

mm = check_mem_permission(task);
copied = PTR_ERR(mm);
if (IS_ERR(mm))
goto out_free;

'check_mem_permission' simplemente llama a '__check_mem_permission' y
como se observa dentro de su código efectúa la comprobación "task
==current":

static struct mm_struct *__check_mem_permission(struct task_struct
*task)
{
struct mm_struct *mm;

mm = get_task_mm(task);
if (!mm)
return ERR_PTR(-EINVAL);

if (task == current)
return mm;

...
...

Si no coinciden devuelve error. Luego debe ser el mismo proceso el que escriba en su propia memoria y si queremos elevar privilegios necesitaríamos un proceso con 'suid'.

Primera aproximación al exploit

Donenfeld se figuró cómo hacer esto:

$ su "yeeeee haw I am a cowboy"
Unknown id: yeeeee haw I am a cowboy

Cualquier cosa que se escriba pasa por la memoria del proceso creado por 'su' (que posee 'suid'). Parecia obvio qué hacer:

Abrimos '/proc/self/mem' y obtenemos su descriptor de archivo.
Ejecutamos 'dup2' para multiplexarlo con 'stderr'. Escribimos nuestro shellcode en él y ejecutando posteriormente con exec obtendríamos root... pero no.

Esto no iba a funcionar debido a que aun queda otra restricción más:

if (file->private_data != (void *)((long)current->self_exec_id))
goto out_mm;

El 'self_exec_id' del proceso que va a ejecutar la escritura 'exec' ha
de ser el mismo que abrió originalmente '/proc/#pid#/mem', recordad más
arriba cuando se llama a 'mem_open'.

¿Por qué ha cambiado 'self_exec_id'?

Cuando se llama a 'exec' el 'self_exec_id', es aumentado en 1 impidiendo
que esto ocurra:

void setup_new_exec(struct linux_binprm * bprm)
{
...
...
current->self_exec_id++;

Resumiendo. No podemos abrir el '/proc/#pid#/mem' de un proceso
cualquiera, hacer 'dup2' con 'stderr' y luego hacer 'exec' de un proceso
con 'suid' para escribir allí, ya que al hacer 'exec' no van a coincidir
los 'self_exec_id'.

Donenfeld solucionó esto de manera sencilla pero ingeniosa, muy
ingeniosa.

El exploit

Se hace 'fork' de un proceso y en este hijo se ejecuta 'exec' a un nuevo proceso. De este modo el 'self_exec_id', que se ha heredado del padre, ahora tiene un valor de +1 con respecto al padre.

Ahora hacemos que el padre ejecute 'exec' sobre un proceso 'suid' que va a escribir nuestro shellcode. En este momento, al ejecutar 'exec' en el padre su 'self_exec_id' acaba de aumentar a +1 coincidiendo con el del hijo.

Mientras tanto en el proceso 'exec' que ha llamado el hijo se obtiene, al abrir, el descriptor del '/proc/#parent_pid#/mem'; y es posible abrirlo porque no existe restricción en la operación de apertura. Es decir, no van a ser comprobados los privilegios del 'exec' que ha creado el hijo.

En este momento tenemos un 'exec' del padre con un proceso 'suid' dispuesto a escribir el shellcode. Un 'exec' del hijo con un descriptor del '/proc/#pid#/mem' del padre y la salida 'stderr' acoplada a ese descriptor (llamada a 'dup2') y lo más importante, tenemos los 'self_exec_id' igualados por lo tanto la restricción ha sido evadida.

Solo queda que el hijo pase el descriptor al padre y éste va a escribir el shellcode allí ya que cuando llame a 'mem_write', como hemos dicho, las comprobaciones van a ser correctas.

Pero aún queda más, averiguar "dónde" se debe escribir en memoria para poder ejecutar de manera exitosa el shellcode. Se necesita una dirección fija de memoria, algo que podría ser complicado si se usa ASLR, pero Donenfeld observó que la mayoría de binarios 'su' de las distribuciones no están compilados con 'PIE'(Position-independent executable)

Podemos observarlo si hacemos:

$ readelf -h /bin/su | grep Type
Type: EXEC (Executable file)

Como el mismo Donenfeld apunta, si el 'Type' fuera 'DYN' entonces si podría protegerse con ASLR debido a que el ejecutable permitiría ser reubicado en distintas posiciones de memoria. Al no ser el caso el desplazamiento en memoria siempre va a ser el mismo.

Buscando Donenfeld obtuvo la dirección 0x402178, correspondiente a una llamada a 'exit@plt'. Tan solo tenía que escribir en 0x402178 menos la longitud de la cadena 'Unknown id: ' y su shellcode se ejecutaría.

En definitiva, un exploit más interesante que la propia vulnerabilidad que explota y una muestra de ingenio por parte de Donenfeld al conseguir la explotación de la forma que hemos visto.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/elevacion-de-privilegios-en-el-kernel.html#comments

Más información:

Parche de Linus Torvalds
http://goo.gl/Yllg1

Commit de la eliminación de la protección de escritura
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=198214a7

* Linux Local Privilege Escalation via SUID /proc/pid/mem Write
http://blog.zx2c4.com/749

Fuente:
David García
dgarcia@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

ESET lanza ESET Mobile Security para Android.

2012-02-01T06:56:00.001-08:00

La solución de ESET para smartphones ya está disponible para equipos con sistemas operativos Android.

ESET, compañía líder en detección proactiva de amenazas, anuncia el lanzamiento de ESET Mobile Security para smartphones con sistemas operativos Android. La solución para dispositivos móviles de ESET, antes sólo disponible para equipos con Windows Mobile y Symbian, extiende de este modo su protección a sistemas operativos Android y es capaz de proteger al 70% de los usuarios de smartphones de amenazas conocidas y desconocidas.

Según el último informe de Gartner, las ventas de smartphones alcanzaron las 115 millones de unidades en el tercer trimestre de 2011, lo que representa un crecimiento del 42% con respecto al mismo período de 2010. Además, el 26% del total de dispositivos móviles adquiridos alrededor del mundo fueron smartphones. Por su parte, el sistema operativo Android ha duplicado su cuota de mercado, con un crecimiento de ventas del 52,5%.

"Con este lanzamiento, ESET Mobile Security ofrece su multipremiada protección al 70% de los teléfonos inteligentes vendidos en el tercer trimestre de 2011. Los usuarios de smartphones entienden que una buena experiencia del usuario va de la mano con la mejor protección y es por ello que pensamos en la mejor solución para proteger sus equipos", aseguró Ignacio Sbampato, Chief Sales & Marketing Officer de ESET.

"ESET Mobile Security para Android ofrece un amplio conjunto de prestaciones de seguridad para los usuarios de una de las plataformas más populares del mercado, incluyendo detección proactiva de amenazas conocidas y desconocidas, protección antispam, bloqueo y limpieza remota del equipo, así como la localización GPS del dispositivo y un sistema de seguridad antirrobo", explicó Sbampato.

Entre las características de ESET Mobile Security para Android pueden mencionarse:

• Detección proactiva de amenazas: Advierte sobre cualquier actividad sospechosa en contra de su teléfono. Todas las aplicaciones, archivos, carpetas y tarjetas de memoria son continuamente analizadas en busca de amenazas emergentes.

• SMS / MMS Antispam: Permite al usuario definir contactos confiables a través de una clasificación en listas negras y blancas o simplemente bloquear números desconocidos. Una capa adicional de seguridad bloquea las llamadas anónimas.

• Bloqueo de llamadas: Bloquea las llamadas no deseadas entrantes y salientes. Herramienta especialmente adecuada para mantener el control de gastos de un equipo.

• Auditoría de seguridad con administrador de tareas integrado: Proporciona información acerca de todas las funciones vitales del teléfono, incluyendo la duración de la batería, el espacio libre en disco, los procesos en ejecución, el estado del Bluetooth y la visibilidad del dispositivo, entre otras.

• Nueva interfaz de usuario: Gráficos y visualización hecha a medida para mejorar la experiencia de usabilidad en sistemas operativos Android.

• Sistema de seguridad Anti-Theft: Niveles múltiples de seguridad permiten a los usuarios mantener un perfecto control de la información almacenada en el teléfono en caso de pérdida o robo del dispositivo.

• Localización GPS: Localiza el teléfono robado o perdido por medio de un comando remoto.

• Bloqueo remoto: Bloquea el teléfono a distancia para evitar el acceso no autorizado a los datos del dispositivo.

• Limpieza remota: Elimina todos los datos almacenados en el teléfono de forma remota por medio de un simple comando SMS.

• Protección contra la desinstalación: Protege al smartphone de la desinstalación no autorizada de ESET Mobile Security.

• Contacto de confianza: Contacto o número de teléfono que puede recibir un SMS de alerta en caso que una tarjeta SIM desconocida sea insertada en el dispositivo móvil. El contacto de confianza puede modificar la contraseña del usuario en caso de que la olvide o sea necesario.

Copyright © 1992–2011 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marca registrada de sus respectivas empresas.

Acerca de ESET

Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Londres (Reino Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (México).

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Denegación de servicio en Asterisk a través de SRTP.

2012-02-01T06:55:00.002-08:00

Se ha solucionado un fallo en la implementación de SRTP (Secure Real-time Transport Protocol) que podría permitir a un atacante provocar una denegación de servicio en Asterisk.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior.

Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

SRTP es la implementación segura (que proporciona cifrado e integridad) de RTP (Real-time Transport Protocol) usado principalmente para el envío de flujo multimedia.

El fallo permite a un atacante remoto provocar una denegación de servicio en el servidor. Para conseguirlo debe crear una conexión de vídeo segura y que el servidor no tenga soporte de vídeo activo, pero sí cargado el módulo (res_srtp) de SRTP.

A esta vulnerabilidad se le ha asignado el identificador CVE-2012-0885, y se encuentra solucionada en las versiones 1.8.8.2 y 10.0.1.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/denegacion-de-servicio-en-asterisk.html#comments

Más información:

Security Advisory:
http://downloads.asterisk.org/pub/security/AST-2012-001.html

Fix:
https://code.asterisk.org/code/browse/asterisk/trunk/channels/chan_sip.c?r1=351409&r2=351506

Fuente:
Victor Antonio Torre
vtorre@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

No hagas click en un enlace de Anonymus, podrías estar atacando webs del Gobierno de EE.UU.

2012-02-01T06:55:00.000-08:00

La novedad de esta acción radica en que, sin necesidad de instalar programa alguno, los usuarios, accediendo a determinados links, pueden lanzar ataques DDoS desde sus ordenadores.

Sophos, compañía de seguridad TI y protección de datos, advierte a los usuarios de Internet sobre el último ataque acometido por Anonymous, conocido como OpMegaupload, por el cual internautas podrían lanzar ataques DDoS sin saberlo.

En esta ocasión y simplemente accediendo a determinados enlaces a que Anonymous ha difundido en Twitter, el usuario de forma instantánea podría lanzar un ataque de Denegación de Servicio (DDoS) que inundaría determinados sitios web seleccionados por Anonymous con tráfico no deseado.

Anonymous ha confirmado ataques a numerosos sitios web -incluidos los pertenecientes al FBI, el Departamento de Justicia, RIAA (la patronal de las discográficas de EE.UU), MPAA (la patronal del cine) y Universal, utilizando esta técnica, y han declarado:

"Desde Anonymous hemos preparado el mayor ataque hasta la fecha contra el Gobierno y los sitios relacionados con la Industria Musical. Lulz. En el FBI no pensaban que pudiesen salirse con la suya, ¿no? ¿Acaso nos esperaban?”.

Estos ataques se suman al apagón de Internet de la semana pasada, donde miles de sitios en Internet han participado, en una protesta contra la propuesta de ley promulgada por el Gobierno de EE.UU., contra la piratería.

Además, el sitio web de intercambio de archivos, Megaupload, fue cerrado, y sus fundadores arrestados. A ellos, se les acusa de piratería en Internet, una acción que podría haber costado a la industria del entretenimiento más de medio billón de dólares.

"En el pasado, Anonymous ha animado a sus partidarios a instalar un programa denominado LOIC, que permite a los ordenadores participar en un ataque contra un sitio web particular, inundándolo de tráfico web no deseado", afirma Pablo Teijeira, Gateway Business Development Manager Western Europe y experto en Seguridad de Sophos en su blog: http://pabloteijeira.wordpress.com/. "Este cambio en la táctica de Anonymous, que permite lanzar ataques simplemente accediendo a un enlace, supone que los usuarios de Internet necesitan ser extremadamente cuidadosos cuando accedan a URLs desconocidas, ya que sin darse cuenta podrían formar parte de este ejercito de zombies"

"En este sentido", continúa, "no hay que olvidar que los ataques por Denegación de Servicio son ilegales, y si un usuario participa en ellos, podría enfrentarse a una sentencia de cárcel muy dura. No estoy seguro de si los participantes en este caso podrían salirse con la suya alegando su inocencia y afirmando que pincharon en dichos enlaces por error, por lo que es mejor asegurarse de que los links a los que se accede son de confianza, aunque estos nos lleguen recomendados por un amigo, a través de cualquier Red Social”.

Acerca de Sophos

Más de 100 millones de usuarios en 150 países confían en Sophos como la más completa protección frente a ataques y fuga de datos. Sophos mantiene su compromiso de proveer soluciones de seguridad y protección de datos con una gestión simple, despliegue y uso que permite ofrecer el más bajo coste de propiedad de la industria.

Sophos ofrece unas soluciones premiadas de cifrado, seguridad para el puesto de trabajo, correo, web y control de acceso a la red, respaldadas por SophosLabs – su red global de centros inteligentes. Con más de dos décadas de experiencia, Sophos es reconocida como líder en seguridad y protección de datos por las firmas de analistas más influyentes y ha recibido numerosos premios de la industria.

Sophos tiene su sede en Boston, MA y Oxford, Reino Unido. Para más información visite www.sophos.com / www.esp.sophos.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Vulnerabilidades remotas en Apache Tomcat 5, 6 y 7.

2012-01-24T11:23:00.000-08:00

Esta semana Apache ha publicado la resolución de dos vulnerabilidades remotas calificadas como de nivel "importante" que afectarían a varias versiones de Apache Tomcat.

Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

A continuación se detallan los errores:

* Denegación de servicio remota (CVE-2012-0022) relacionada con las colisiones en las tablas hash. Este fallo ha afectado a otros fabricantes. Debido a una incorrecta gestión de las colisiones en las tablas hash, un atacante remoto podría generar una denegación de servicio a través del envío masivo de parámetros especialmente manipulados.
Las versiones afectadas son la 5, 6 y 7 y para solucionar dicha vulnerabilidad deben actualizar a las siguientes:
Usuarios de Tomcat 7.0.x deben aplicar la revisión 7.0.23 o posterior.
Usuarios de Tomcat 6.0.x deben aplicar la revisión 6.0.35 o posterior.
Usuarios de Tomcat 5.5.x deben aplicar la revisión 5.5.35 o posterior.

* Revelación de información sensible (CVE-2011-3375) debido a un error en el reciclado de objetos que podría volver visibles datos como IPs remotas o cabeceras HTTP a través de peticiones especialmente manipuladas.
Las versiones afectadas son la 6 y 7 y para solucionar la vulnerabilidad deben actualizar a las siguientes:
Usuarios de Tomcat 7.0.x deben aplicar la revisión 7.0.22 o posterior.
Usuarios de Tomcat 6.0.x deben aplicar la revisión 6.0.35 o posterior.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/vulnerabilidades-remotas-en-apache.html#comments

Más información:

Apache Tomcat 7.x vulnerabilities
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html
http://tomcat.apache.org/security-5.html

Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Oracle corrige 78 vulnerabilidades para su boletín de enero 2012.

2012-01-24T11:22:00.000-08:00

Oracle Systems ha publicado, como tenía establecido para el 17 de enero, un nuevo paquete de actualizaciones que afectaban a gran parte de sus productos, en especial a Oracle Database, MySQL y Solaris.

Ofrecemos un listado completo de los productos afectados:

* Oracle Database
Oracle Database 11g Release 2, versiones 11.2.0.2, 11.2.0.3 Oracle Database 11g Release 1, versión 11.1.0.7 Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5 Oracle Database 10g Release 1, versión 10.1.0.5

* Fusion Middleware
Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0 Oracle Application Server 10g Release 3, versión 10.1.3.5.0 Oracle Outside In Technology, versiones 8.3.5, 8.3.7 Oracle WebLogic Server, versiones 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4,
10.3.5)

* E-Business Suite
Oracle E-Business Suite Release 12, versiones 12.1.2, 12.1.3 Oracle E-Business Suite Release 11i, versión 11.5.10.2

* Oracle Supply Chain
Oracle Transportation Management, versiones 5.5, 6.0, 6.1, 6.2

* PeopleSoft
Oracle PeopleSoft Enterprise CRM, versión 8.9 Oracle PeopleSoft Enterprise HCM, versiones 8.9, 9.0, 9.1 Oracle PeopleSoft Enterprise PeopleTools, versión 8.52

* JDEdwards
Oracle JDEdwards, versión 8.98

* Oracle Sun Product Suite
Solaris versiones 8, 9, 10, 11 Express
Communications Server 2.0
GlassFish Enterprise Server 2.1.1, 3.0.1, 3.1.1 Sun Java System Application Server 8.1, 8.2 Oracle Communications Unified 7.0

* Oracle Virtualization Product Suite
Oracle VM VirtualBox, versión 4.1
Oracle Virtual Desktop Infrastructure, versión 3.2

* Oracle MySQL Product Suite
Oracle MySQL Server, versiones 5.0, 5.1, 5.5

En resumen las vulnerabilidades pueden considerarse de nivel medio-bajo.
La mayoría de ellas se catalogan como denegaciones de servicio (Oracle DB, Solaris, MySQL y servicios relacionados con HTTP), mientras que las más elevadas son las que afectan a Oracle WebCenter Content, con una gravedad según la puntuación CVSS de 6.4 (CVE-2012-0083) y las de Solaris (CVE-2012-0094, CVE-2012-0100) con 7.8 y 6.8 respectivamente.

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

* Oracle DB: dos parches que actualizan sendas denegaciones de servicio de remotas.
* Fusion Middleware: 11 vulnerabilidades, 8 de ellas explotables remotamente.
* E-Business Suite: tres vulnerabilidades relacionadas con el acceso a información confidencial y posible modificación de los datos.
* Oracle Supply Chain: una denegación de servicio explotable remotamente.
* PeopleSoft: seis vulnerabilidades relacionadas con el acceso a información confidencial y posible modificación de los datos.
* JD Edwards: ocho vulnerabilidades relacionadas con el acceso a información confidencial y posible modificación de los datos.
* Oracle Sun Products: 17 vulnerabilidades en total, 10 relacionadas con denegaciones de servicio y el resto con el acceso a información confidencial y posible modificación de los datos.
* Oracle Virtualization Product Suite: tres vulnerabilidades relacionadas con el acceso a información confidencial y posible modificación de los datos.
* Oracle MySQL Product Suite: la mayor actualización, con 37 vulnerabilidades relacionadas en gran medida con denegaciones de servicio, acceso a información confidencial y posible modificación de los datos.

Debido a la amplia cuantía de sistemas afectados recomendamos la actualización de los mismos mediante los parches y guías de actualización facilitados.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/oracle-systems-ha-publicado-como-tenia.html#comments

Más información:

Oracle Critical Patch Update Advisory - January 2012
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html

Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com