Categoría : Noticias EHC

Inicio/Archivo por Categoría Noticias EHC (Page 16)

Adobe corrige 23 vulnerabilidades críticas en Flash Player

Adobe ha publicado una actualización de Flash Player el cual se encargó de corregir 23 vulnerabilidades críticas en el software, muchas que pueden provocar la ejecución de códigos.

La versión 18.0.0.231 y versiones anteriores de Flash Player para Windows y Mac, Microsoft Edge e Internet Explorer 11 en Windows 10 e Internet Explorer 10 y 11, se ven afectados de acuerdo con un boletín de seguridad publicado por Adobe éste lunes.

Mientras que la compañía no tiene conocimiento de ataque a través de estas vulnerabilidades, Adobe está animando a los usuarios a actualizar a la nueva versión 19.0.0.185, ya sea a través de Centro de descarga de la compañía, o por medio de la actualización automática.

La mayoría de las vulnerabilidades, 18 de 23, podrían provocar la ejecución de códigos, advierte Adobe. Otros podrían resultar en la divulgación de información, origen de políticas y fugas de memoria, según el boletín.

Algunas de las revisiones son más de carácter preventivo, incluyendo una actualización que agrega controles de validación adicionales para asegurarse de que Flash Player rechaza contenido malicioso de las API, y también fortalece la mitigación para defenderse contra las corrupciones.

Diez de las vulnerabilidades se acreditan a los investigadores Google Project Zero, incluyendo un puñado encontrado por  ex miembros de Project Zero Chris Evans, Ben Hawkes, y James Forshaw, por nombrar algunos. Vulnerabilidades adicionales que se están parcheando fueron descubiertas por un grupo de hackers Chinos “Equipo Keen”, que trabajó con Zero Day Initiative de HP, e investigadores que trabajan con el Equipo de Investigación de Alibaba Seguridad y el laboratotio Xuanwu, entre otros.

Este es el segundo mes consecutivo en el que Adobe ha llevado a cabo más de 20 parches para Flash. El mes pasado se realizaron correcciones por más de 30 vulnerabilidades en la plataforma, incluyendo varios que se podría utilizar para tomar el control de un equipo que ejecute una versión antigua del flash.

Fuente: threatpost

Google anuncio formalmente su intención de deshabilitar el protocolo SSLv3 y el algoritmo RC4

Como era de esperar, Google anunció formalmente su intención de alejarse del cifrado de flujo RC4 y el protocolo SSLv3 esta semana, citando una larga historia de las debilidades de ambos.

Adam Langley, un ingeniero de seguridad de la empresa, anunció los planes a través de una entrada en su blog el jueves. Si bien no hay una línea de tiempo concreto, Langely insistió en que Google está tratando de eliminar el soporte para RC4 y SSLv3 en todos sus servidores frontend, Chrome, Android, webcrawlers y servidores SMTP, en mediano plazo.

El hecho de que la compañía está buscando cortar lazos con ambos medios no debería ser una sorpresa.

El Grupo de Trabajo de Ingeniería de Internet condenó SSLv3 en un documento de normas de Internet durante el verano, que calificó de “no es suficientemente segura”, y agregó que “cualquier versión de TLS es más segura que SSLv3.”

Como señala Langely en el blog, RC4 tiene 28 años, y si bien le fue bien en las primeras salidas, ha sido el blanco de múltiples ataques en los últimos años, incluyendo algunos que pueden conducir a TLS sesión de compromiso y cookie decryption.

Como parte del interruptor de Google también ha anunciado un conjunto de normas mínimas para los clientes TLS de cara al futuro. De acuerdo con el post, Google va a requerir lo siguiente de los dispositivos:

  • TLS 1.2 must be supported.
  • A Server Name Indication (SNI) extension must be included in the handshake and must contain the domain that’s being connected to.
  • The cipher suite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 must be supported with P-256 and uncompressed points.
  • At least the certificates in https://pki.google.com/roots.pem must be trusted.
  • Certificate handling must be able to support DNS Subject Alternative Names and those SANs may include a single wildcard as the left-most label in the name.

“Si su servidor de cliente TLS, servidor web o correo electrónico requiere el uso de SSLv3 o RC4 entonces el tiempo para actualizar fue hace algunos años, pero más vale tarde que nunca. Sin embargo, tenga en cuenta que sólo porque usted podría estar usando RC4 hoy no significa que su cliente o sitio web dejarán de funcionar” Langley escribió.

Langely anunció planes superficiales de desaprobar RC4 a principios de este mes, lo que confirma que la cifra podría ser desactivada, probablemente estable en torno a enero o febrero el 2016.

Fuente:  threatpost

Google corrigió la ultima vulnerabilidad del Lockscreen de Android

El aburrimiento llevó John Gordon a descubrir una técnica que pasa por alto el LockScreen en su dispositivo Android.

Al participar en una larga cadena de caracteres al azar en el campo de la contraseña después de abrir la aplicación de la cámara del teléfono, Gordon dijo que fue capaz de llegar a la pantalla de inicio y acceder finalmente a cualquier cosa almacenada en el dispositivo.

El “Hack” es una pesadilla en cuanto a privacidad y seguridad, aunque esto sólo se puede lograr si el atacante tiene acceso físico al dispositivo y la víctima utiliza una contraseña para bloquear el teléfono, en lugar de un PIN o patrón de líneas. El 9 de septiembre Google lanzó una actualización OTA de seguridad para “parchear” /corregir esta vulnerabilidad y varias otras existentes.

“En el entorno LockScreen hay muy poco lo que se puede hacer, por lo que con suficiente tiempo libre se puede casi probar todo lo que es posible. Todo comenzó cuando me aburría un día, hurgando en mi propio teléfono Android”, dijo Gordon, investigador de la Universidad de la Oficina de Seguridad de Información de Texas. “Me di cuenta de que podía llegar a la función copiar/pegar, que es algo que no esperas sea necesario o que este disponibles en la pantalla de bloqueo. A partir de ahí pensé en que me permitirá hacer esto que de otro modo no sería posible. Pegar cadenas de caracteres  largas pegar resultó ser la respuesta”.

La vulnerabilidad afecta a los dispositivos Android anteriores a la versión 5.1.1; las cadenas de caracteres excesivamente largos desestabilizan la aplicación de la cámara, provocando que se bloquee y abra la pantalla de inicio. Gordon dijo, sin embargo, que mientras que el atacante tendría acceso a aplicaciones que muestran en la pantalla principal, no se podrá acceder a un teclado y los botones suaves. Él, en cambio, utiliza el puente de depuración Android (BAD) para acceder a los datos almacenados.

“Usted tiene acceso sustancial sólo desde la desestabilización a la pantalla de inicio, puede ejecutar cualquier aplicación que quieras. Sin embargo, debido a la crisis que ya no tienen los botones blandos (atrás, home, menú, etc.) puede hacer la navegación más frustrante “, dijo Gordon. “Habilitar la depuración USB y la conexión con adb es sólo una manera de evitar que la frustración y realizar cualquier acción que desee en el teléfono.”

Gordon dijo que ha estado experimentando con una serie de técnicas que podrían conducir a escapes del LockScreen, y que ha reportado otras vulnerabilidades en el equipo de seguridad de Android que son explotados de manera similar. Esos errores aún no han sido parcheados/corregidos.

“La clave de la vulnerabilidad es que somos capaces de insertar un gran número de caracteres en el campo de contraseña, más de lo que nunca esperaba manejar”, dijo Gordon. “A medida que el número de caracteres crece hace que el proceso de LockScreen sea más lento y finalmente se desestabilice, dejando la pantalla principal expuesta.”

En un post a la página web de la Universidad de Texas, IOS, Gordon describió el ataque en detalle, junto con una demostración. Él comienza con la apertura de la ventana de llamada de emergencia con el fin de conseguir un teclado. A partir de ahí, empieza a escribir caracteres aleatorios, copiar y pegar, hasta que tiene una gran cadena en el portapapeles. Su siguiente paso es abrir la aplicación de la cámara, que todavía se puede acceder desde la pantalla de bloqueo, junto con un icono de configuración. Al hacer clic en ese icono se enciende una solicitud de contraseña. Gordon dijo que en ese punto se pegan cadenas de caracteres tantas veces como sea posible hasta que la interfaz de usuario se desestabiliza y desaparecen los “botones suaves”.

Finalmente, la aplicación de la cámara, se bloqueará y será expuesta la pantalla principal. Dijo que era entonces capaz de navegar a la aplicación ajustes, habilitada la depuración USB y acceder al dispositivo a través de adb.

“Por suerte, este comportamiento sólo está presente en el LockScreen de contraseña, una configuración poco común, siendo que las personas suelen usar el  PIN o patrón de líneas”, dijo Gordon. “Con eso dicho, las personas que son más conscientes y cuidadosas con la seguridad tienden a hacer uso de una contraseña completa, pensando que así estarán más protegidos, estando en este caso susceptibles al ataque.”

Gordon dijo que la falla fue confirmada y parcheada/corregida en los dispositivos Nexus de Google, los teléfonos Android de otros fabricantes podrían seguir vulnerables, aunque algunas compañías han mejorado las aplicaciones para que este ataque sea más difícil e realizar, dijo Gordon.

Fuente: Threatpost

Declaran culpable a Google de incumplir la ley antimonopolio rusa

La compañía ha sido declarada culpable de forzar a vendedores rusos a precargar los teléfonos inteligentes Android con aplicaciones de Google y de prohibirles instalar los servicios que ofrecen los motores de búsqueda rivales.

La agencia antimonopolio rusa dijo que Google podría ser sancionada con una multa de hasta el 15% de sus ingresos en Rusia por las violaciones.

Se emitirán detalles de la decisión a finales de este mes, incluyendo los cambios que Google tendrá que hacer a su estrategia en Rusia.

“En particular, la agencia puede solicitarle a Google que modifique los contratos con los vendedores de dispositivos móviles”, dijo Alexei Dotsenko, un funcionario de alto nivel de la agencia antimonopolio.

La investigación que Rusia llevó a cabo se debió a una queja presentada por Yandex (YNDX), el mayor motor de búsqueda del país.

Yandex es el mayor competidor de Google en Rusia, pero su cuota de mercado cayó por debajo del 60% el año pasado. La compañía acusó a Google de violar la ley para tratar de exprimir aún más.

Según un estudio de Gazprombank, alrededor de un 86% de los teléfonos inteligentes en Rusia funcionan con Android, lo que limita la capacidad de Yandex para competir con Google en el mercado móvil.

Yandex agradeció la resolución y sus acciones aumentaron casi un 7% el lunes cuando se dio a conocer la noticia.

Google dijo que aún no ha recibido la resolución.

“Cuando recibamos el fallo lo estudiaremos y determinaremos las medidas a tomar”, le dijo un portavoz a CNNMoney.

Google enfrenta investigaciones de antimonopolio similares en la Unión Europea. La Comisión Europea ha estado investigando las prácticas comerciales de Google con una irregular dedicación durante cinco años. Lanzó una investigación formal sobre el problema vinculado a las aplicaciones Android en abril.

Fuente: CNN

Continuar leyendo

Departamento de Justicia de EE.UU. cierra Sharebeast, la web ilegal para compartir música

Los usuarios de Sharebeast, un portal donde se compartían de manera ilegal millones de archivos musicales, amanecieron con una mala noticia: el Departamento de Justicia de Estados Unidos ha incautado el sitio web por violación de derechos de autor.

Según la Asociación Americana de la Industria de la Grabación (RIAA, por sus siglas en inglés), Sharebeast era el portal ilegal más grande para compartir música en los Estados Unidos.

Ahora, al intentar entrar a la página web, aparece una notificación del FBI, el Departamento de Justicia y el Centro Nacional de Coordinación de Propiedad Intelectual:

Screen Shot 2015-09-15 at 11.26.49 AM

“La red de Sharebeast (que incluye otros portales) era responsable de la distribución masiva de álbumes y canciones populares y ha sido particularmente problemática en cuanto a la distribución de música que se filtra o de pre-lanzamientos. La RIAA ha reportado más de 100.000 violaciones de este sitio”, afirma el comunicado de la entidad.

El Director Ejecutivo de la RIAA dijo que esta era una gran victoria para la comunidad musical.

“Sharebeast operaba con una abierta indiferencia por los derechos de los artistas y las disqueras”, afirmó Cary Sherman.

“Millones de usuarios accedían a canciones de Sharebeast cada mes sin pagar un centavo de compensación a los incontables artistas, compositores y sellos musicales que creaban la música. Estamos agradecidos con el FBI y el Departamento de Justicia por su fuerte acción contra Sharebeast y por reconocer que este tipo de sitios ilegales dañan a la comunidad musical”, añadió.

Fuente: CNN

Vulnerabilidades en PHP

Recientemente el equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.

Las actualización incluye la corrección de múltiples problemas y vulnerabilidades, entre las que se incluyen vulnerabilidades de uso después de liberar un serialize en el núcleo de PHP (CVE-2015-6834 y 2015-6835), en GMP y en SPL (CVE-2015-6834). Problemas de referencia a puntero nulo en SPL y XSLT (CVE-2015-6837, CVE-2015-6838), múltiples vulnerabilidades relacionadas con funciones PCRE, una confusión de tipos en SOAP y escalada de directorios en el servidor CLI y en ZIP cuando se crean directorios al extraer archivos.

Se recomienda actualizar a las nuevas versiones 5.6.13, 5.5.29 y 5.4.45 desde:

http://www.php.net/downloads.php

Más información:

PHP 5 ChangeLog

http://php.net/ChangeLog-5.php

Fuente: Hispasec

La versión 4.3.1 de WordPress corrige tres vulnerabilidades

Vulnerabilidades en el motor principal de WordPress no son raras, pero si poco frecuentes. La mayoría de los problemas que afectan a la integridad de los sitios que se ejecutan en el sistema de gestión de contenidos se introducen por los plugins de terceros y éstos ponen los sitios en riesgo de una serie de ataques.

Hoy WordPress se ha actualizado a la versión 4.3.1, donde ha parcheado tres vulnerabilidades, dos de los cuales fueron reportadas por los investigadores de Check Point Software Technologies.

La más grave de las vulnerabilidades parcheadas implica una función de WordPress específica llamada shortcodes. Que no son otra cosa que etiquetas HTML que se introdujeron en la versión 2.5 como una forma sencilla de incorporar macros en el código, lo que ahorra a los desarrolladores la molestia de volver a escribir HTML. WordPress es compatible con una gran cantidad de códigos short predeterminados, como permite la incrustación automática y dinámica de un archivo de vídeo Vimeo en un sitio de WordPress.

El jefe de investigaciones de vulnerabilidades de Check Point, Shahar Tal informó sobre un trío de vulnerabilidades a los ingenieros de seguridad de WordPress hace unos meses y se ha tomado el tiempo para arreglar todos los errores, dijo, sobre todo debido a los posibles problemas de compatibilidad con una serie de plugins de terceros.

Cuando la vulnerabilidad Short se aborda un atacante podría abusar de cómo la plataforma procesa los shortcode e inyectar código JavaScript arbitrario que podría ejecutar cuando una página de WordPress lo hace. Tales ataques cross-site scripting no son nada nuevo en lo que respecta a la seguridad de las aplicaciones basadas en la web y han sido la plataforma de lanzamiento de una serie de ataques, ya sea criminal o patrocinado por el estado.

Además de la vulnerabilidad de cross-site scripting, Tal y su colega Netanel Rubin, que pasó meses investigando las vulnerabilidades de la plataforma, también descubrieron una vulnerabilidad que permitía a los usuarios sin permisos adecuados publicar mensajes en un sitio. En el lapso de unos pocos meses, Rubin fue capaz de encontrar al principio vulnerabilidades que afectan sólo a los usuarios abonados en WordPress hasta el final a los ataques de inyección SQL remoto y cross-site scripting contra fallas en el motor central.

Check Point ha publicado hoy un informe sobre sus conclusiones de cómo sus investigadores fueron capaces de saltarse las protecciones en el lugar que se suponía iban a mantener los atacantes, se logro despojarlos de la whitelisting que niega etiquetas y atributos que no están aprobados.

“Hemos sido capaces de abrir una etiqueta e insertar algo en los atributos shortcode”, dijo Tal. [WordPress] no pensó en todo cuando agregaron la función, que es muy rica y propenso a errores “.

Tal dijo que los ingenieros de WordPress investigaron la base de código en busca de problemas similares en otras áreas también.

Fuente: threatpost