Buscar este blog

lunes, 29 de abril de 2013

Últimas versiones del virus de la policía y más ideas para protegerse

 

El virus de la policía continúa evolucionando, con altos niveles de infección y nuevas estrategias fundamentadas siempre en la misma premisa: el secuestro del ordenador con la excusa de que, ante la detección de actividad ilegal en el sistema, es necesario pagar una multa a la policía. Veremos qué ligeros cambios se han observado en las últimas versiones y una idea para protegernos.

Las últimas versiones aparecían en forma de DLL. Era necesario llamarlas conociendo el nombre de la función de entrada del binario para poder ejecutarlo. Esta estrategia podía estar orientada a intentar eludir los sistemas de ejecución automática y desatendida de los laboratorios, puesto que la DLL pasaría a veces inadvertida si no se llamaba a la función concreta. Estas muestras solían instalarse en la carpeta de inicio.

En los últimos tiempos se ha observado que el malware ha pasado a utilizar un archivo con extensión .DAT (y de nombre skype), que no es más que un ejecutable (cuyos dos primeros bytes son MZ). Esto no es un problema para que sea lanzado, pero sí podría confundir a usuarios y análisis. Además crea un skype.ini. También ha vuelto a los "orígenes", anclándose en una rama del registro donde se lanza el explorer.exe. Veamos cómo funciona.

El ejecutable, fundamentalmente, busca el %APPDATA% del usuario, puesto que en Windows 7, podrá escribir sin problemas en él. Ahí dejará el archivo skype.dat (ejecutable).

En el registro, acudirá a la rama de usuario (también porque puede escribir sin problemas en ella) donde se lanza explorer.exe (proceso encargado de dibujar el escritorio y delegar los tokens de seguridad). Ahí se añade como ejecutable que será lanzado al inicio. Es muy extraño que un usuario necesite modificar ese punto del registro, así que podría ser protegido por permisos. Esto ya lo hace la herramienta WinLockLess, negando por permisos de registro la escritura en los puntos habituales que utiliza el ramsonware.

Pero también es posible tocar los permisos NTFS de la máquina, para evitar que se escriba en un punto clave que están usando tanto los creadores del virus de la policía como el malware en general. %APPDATA% es una variable que apunta habitualmente a

C:\usuarios\nombreusuario\appdata\roaming

Ahí se almacena información de los programas del usuario y su configuración privada. En esta carpeta es muy extraño que se creen ficheros. No suele ser necesario. Normalmente son directorios que alojan archivos con datos. Todavía más extraño es que se necesite ejecutar código desde la raíz de %APPDATA%.

Por tanto, de nuevo, utilizar los permisos NTFS (siempre demasiado relajados por defecto) puede mitigar el problema. Podemos decirle a Windows que impida la ejecución de ficheros desde esta carpeta, pero que siga permitiendo crear carpetas e, incluso, archivos... pero que no los ejecute.

Gráficamente es muy simple. En las propiedades de la carpeta Roaming, Seguridad, Opciones Avanzadas, Cambiar Permisos, Agregar. Ahí añadimos que "Todos" no puedan explícitamente ejecutar archivos. Importante indicar que esto se aplica a "Solo archivos".

Con esto no se evita la infección, pero sí que en el siguiente reinicio se ejecute el fichero. Si se desea, también se puede evitar la escritura de ficheros en la raíz de Roaming.

Por línea de comando, se puede llamar a:

icacls %appdata% /deny *S-1-1-0:(OI)(IO)(X)

Donde "(OI)(IO)" indica el "Solo ficheros", el "X" la ejecución, y "S-1-1-0" es el SID del usuario "Todos" en los Windows.

Importante apreciar que en Windows XP, por implementar una versión ligeramente diferente de NTFS, es posible seguir estos pasos pero no tendrán exactamente el mismo comportamiento.

noreply@blogger.com (Hispasec)
Sun, 28 Apr 2013 11:21:00 GMT

Detenido en Barcelona el responsable del mayor ataque tipo DDOS

 

La Policía Nacional ha detenido en Granollers (Barcelona) al responsable del mayor ciberataque de denegación de servicio (DDoS) que ha sufrido Internet. ...

Su oficina era una furgoneta equipada con antenas con capacidad de rastreo de frecuencias, y en el momento de su detención en Granollers se comprobó que su casa era un auténtico búnker informático.

Sonrisa fiuuuu

domingo, 28 de abril de 2013

Chrome ya permite visualizar documentos Office

 

Google sigue ofreciendo excelentes funciones a sus usuarios, con Google Docs ya permitía la creación de documentos de texto, hojas de presentación, hojas de cálculo y presentaciones, después lo implementó con Google Drive.

Pero recientemente anunció que el navegador Chrome ya permite visualizar documentos Office de manera nativa, lo único que debemos hacer será instalar la extensión Chrome Office Viewer que se encuentra en fase beta.

 Chrome ya permite visualizar documentos Office

Una vez que hemos instalado dicha extensión ya podremos visualizar documentos Word, Excel, Power Point y compañía. Aunque de momento solo será posible visualizar dichos documentos y no modificarlos, pero aún así ya es un avance muy significativo.

Otra de las ventajas que nos ofrecerá visualizar los documentos desde Chrome será evitar infectar nuestro equipo de algún malware, así que ya pueden proceder a instalar la extensión y visualizar documentos de la paquetería Office de Microsoft sin problemas.

Enlace: Chrome Office Viewer
Fuente: The Inquirer

Fri, 26 Apr 2013 17:58:26 GMT

miércoles, 17 de abril de 2013

Java corrige 42 vulnerabilidades y mejora un poco sus opciones de seguridad

 

Oracle corre una carrera de obstáculos para corregir y mejorar su plugin de Java. En la última actualización de seguridad, corrige 42 fallos, la mayoría críticos. Introduce algunas mejoras en los mensajes de advertencia y opciones, y continúa el soporte para la rama 6, que dijo que abandonaría el febrero.

Se acaba de publicar Java 7u21 y Java 6u45. Además de la cantidad de vulnerabilidades corregidas, se mejoran los mensajes de seguridad y se eliminan algunas opciones de seguridad peligrosas, inútiles y activadas por defecto. Hasta ahora, y como avisamos hace algunas semanas, los mensajes de que un applet se encontraba firmado o autofirmado no se diferenciaban mucho. Parece que han trabajado en eso... pero no demasiado.

Para empezar, han eliminado la opción "Baja" de la configuración de seguridad (la famosa palanquita) cosa se vaticinó como inútil. Permitía la ejecución de los applets no firmados de forma automática en el sistema sin preguntar.

Los mensajes sobre applets firmados cambian ligeramente, pero no demasiado. Muestra la URL por completo al Jar y cambia el mensaje de recordar la selección.

Tampoco cambian demasiado los mensajes sobre applets autofirmados.

Si el applet no está firmado, sí que cambia un poco el mensaje:

Algo interesante es que han eliminado la inútil opción sobre la que ya advertimos "Permitir otorgamiento de acceso elevado a aplicaciones autofirmadas", que venía activada por defecto y que hacía que en la práctica un applet autofirmado se comportase como uno firmado. Pero siguen sin activar de manera predeterminada la opción de comprobar los certificados revocados o desactivar una versión anticuada de la rama 6 si la encuentra en el equipo mientras instala la 7 (al menos recordárselo al usuario).

Por lo que en realidad no ha cambiado demasiado estéticamente, y un poco su funcionalidad. Al menos, se ve que están trabajando en el asunto intensamente, y en cada nueva versión intentan mejorar. Desde enero, los cambios son notables, pero insuficientes. Los mensajes no son la solución. El bloqueo absoluto por defecto de los applets no firmados, y un sistema de actualización obligatorio y automático (también por defecto), entre otras medidas, será la única forma de proteger al usuario.

Tue, 16 Apr 2013 14:58:00 GMT

viernes, 12 de abril de 2013

Windows 8: Desbloquea tu PC con un USB y mira quién quiso entrar sin tu permiso

 

Windows 8: Desbloquea tu PC con un USB y mira quién quiso entrar sin tu permiso

Si quieres tener tu ordenador con Windows 8 lo más protegido posible ante los intentos de los demás por ingresar sin permiso, puedes tomar en cuenta a esta aplicación, llamada Lockscreen Pro, para que puedas usar un USB como llave de desbloqueo a tu equipo, así como usar la cámara del dispositivo para captar la cara de esas personas y los atrapes con 'las manos en la masa'.

Autor: Jorge Verastegui - 24/12/2012

Tener un ordenador personal es, justamente, para eso: para que sea personal. Nadie tiene por qué ingresar a tu PC, a menos que tú mismo se lo permitas, pero sabemos que casi siempre hay quienes intentan entrar, ya sea tratando de adivinar la contraseña, o con muchos otros factores que les faciliten el acceso.

Pero, para hacérsela más difícil a aquellas personas que quieren ingresar a la fuerza y, de paso, saber quiénes son, puedes utilizar una aplicación llamada Lockscreen Pro, disponible para el reciente sistema operativo de Microsoft, Windows 8.

Esta aplicación te permitirá cambiar la pantalla de bloqueo de Windows 8, agregándole algunas funciones interesantes, como el hecho de usar un USB para desbloquear tu equipo, o tomar una foto de la persona que ha intentado acceder a tu PC sin permiso.

Lockscreen Pro es una aplicación portátil, que puedes arrancar directamente con un doble click sobre el icono. Cuando la abras por primera vez, saldrá una ventana con las configuraciones que debes hacer para ponerla a trabajar de la mejor manera que creas conveniente. Por ejemplo, verás las opciones para mostrar u ocultar el indicador de batería o el reloj en la pantalla de bloqueo de Windows 8. También, puedes cambiar el la imagen fondo, seleccionar si quieres usar un USB para desbloquear tu equipo, establecer la captura de fotos de personas que intenten ingresar sin permiso a tu PC, cambiar la contraseña por defecto, entre otras.

Una vez que has hecho los ajustes, puedes bloquear tu equipo, ver las fotos de las personas que intentaron ingresar a tu PC de manera exitosa o fallida, así como abrir la ventana de las configuraciones otra vez para corregir o añadir alguna función que hayamos olvidado.

Si escogemos la opción para desbloquear el equipo Windows 8 con un USB, primero debemos registrar el USBen la aplicación Locksreen Pro. Para ello, solo será necesario seleccionar la opción desde la venta de configuración de Lockscreen Pro, insertar un USB en la PC, y listo. Con eso, tu USB funcionará como una llave para abrir o acceder a tu ordenador.

Como ya les comenté, también pueden cambiar la imagen de fondo de la pantalla de bloqueo, ya sea escogiendo una foto brindada por la propia aplicación Lockscreen Pro, o cualquier otra que tengan almacenada en el equipo.

Y si te preguntas cómo funciona la captura de imágenes de personas que intentan ingresar a tu ordenador, ahora te explicaré. Supongamos que una persona, que no eres tú, quiere entrar tu PC sin permiso, y comienza a intentar lograr su cometido de distintas formas. Entonces, la aplicación activa la cámara y le toma fotos desde el primer intento. Y la última foto que haya sacado, será mostrada en la parte inferior derecha de la pantalla, para que apenas regreses a tu ordenador, veas quién fue el último que estuvo tratando de usarla.

Por supuesto, puedes ver todas las fotos sacadas con este sistema desde la ventana de la Lockscreen Pro, en la que se te mostrará la información de cada captura, como la fecha y hora en la que fue realizada.

Descarga Lockscreen Pro desde este enlace. Puedes utilizar esta aplicación en Windows XP, Vista, Windows 7 y Windows 8, en las versiones de 32-bit y 64-bit.

Chrome detendrá el 99% del malware

 

Este es un titular que parece sacado directamente de una página de publicidad en una revista editada a mediados de los 90. Sería imposible hablar de ese porcentaje en rigor, pero si nos olvidamos del método tradicional de los "antivirus" y hablamos del sistema basado en reputación que ha implementado Google, quizás la afirmación no suene tanto a presuntuoso titular... o quizás haya que hablar en otros parámetros.

CAMP (Content-Agnostic Malware Protection es un sistema) es un sistema que se ha integrado en 200 millones de usuarios de Chrome como prueba de concepto en los meses pasados, y está destinado a detectar si el binario descargado es malware. No hablamos de exploits contra Chrome (vector de ataque en el que, si bien sigue siendo el más usado entre los atacantes, este navegador ya hace un excelente trabajo protegiéndose), sino rigurosamente los ficheros bajados. Según un estudio señalado en el propio documento, con suerte un antivirus tradicional detendrá entre un 35% y un 70% del malware que se intenta descargar un usuario antes de que dañe el sistema. Las listas negras son inútiles y las blancas muy limitantes. CAMP por el contrario está basado en la reputación. Esta se almacena y actualiza en un servidor remoto (la consabida nube). Los binarios que se descarguen y que no sean bloqueados por el propio Safe Browsing de Chrome, serán "interrogados" por el navegador para tomar nuevas referencias. Con ellas crean la reputación en el servidor sin necesitar saber nada del binario en sí. Se han preocupado de la velocidad y la privacidad, pero lo que nos interesa en estos momentos es cómo han obtenido los siguientes resultados.

El 99%

Además de una extensa descripción de cómo calcula esa reputación , el informe afirma que "CAMP llega a un 99% de precisión". De ahí el titular tan llamativo que han tomado prestado todos los medios. ¿Pero qué hay de cierto en esto? Según el informe, el equipo en Google ha hecho lo que hacemos todos los laboratorios: un análisis dinámico en máquina virtual del que se captura tráfico y cambios significativos en el sistema para determinar si un archivo es malicioso o no. ¿Es este método eficaz para determinar si algo es malware? Tal cual suena, no. Un análisis dinámico en máquina virtual deja escapar a una buena parte del malware, todos los analistas lo saben. ¿Qué han hecho entonces para hablar de ese 99% tan rotundamente?

Análisis contra motores y motores contra análisis

Compararon sus análisis en máquina virtual contra VirusTotal, pero con matices. Seleccionaron 2200 binarios nuevos previamente desconocidos para VirusTotal (muestras frescas). Las máquinas virtuales dijeron que 1100 eran goodware y 1100 eran malware. Los enviaron todos a VirusTotal y, con buen criterio, esperaron 10 días. De ahí se concluyó que el 99% de los binarios que Google reportó como maliciosos diez días antes, eran "confirmados" como malware por al menos un 20% de motores antivirus en VirusTotal.

Por supuesto hubo fallos. Dicen que un 12% de sus binarios fueron marcados como limpios por el sistema CAMP pero luego resultaron ser malware según el criterio del 20% de los motores de VirusTotal. Pero se defienden alegando que la mayoría resultaron ser adware, cosa que CAMP deliberadamente no clasifica como malware.

Conclusiones

Está claro que es un sistema muy interesante, que aglutina en el término "reputación" lo mejor de los métodos de detección de malware conocidos. Hablar del 99% de detección, puede ser acertado en este contexto, pero es necesario analizar en profundidad el método para comprender que al final, ese número se sostiene en base a los métodos "fallidos" tradicionales de detección. En otras palabras, el método de reputación sin duda es más efectivo que los medios habituales. ¿Cuánto? Intentar compararlo y afirmar que ofrece un 99% de "precisión" con respecto a métodos que ya conocemos como fallidos, no es necesario, porque de por sí es una comparación viciada.

Porque al final, aunque bloquee mucho malware, están usando máquinas virtuales para confirmar su éxito, para ponerle un número. Esos análisis de las máquinas son contrastados contra unos motores con firmas estáticas en VirusTotal. Ante este método, el sistema ha tenido éxito, pero por cómo lo han evaluado, debemos tener en cuenta que:

  • Las propias casas antivirus suelen detectar muy poco a través de firmas estáticas (desde luego no es la estrategia que más éxito les reporta y basarse demasiado en ellas es precisamente su "condena").
  • Las casas antivirus internamente usan también máquinas virtuales para análisis rápidos dinámicos. Con lo que, aunque más lentamente que CAMP, quizás hayan marcado como malware las muestras exactamente por la misma razón que lo hizo Google en un principio. Así, lógicamente la tendencia es a estar totalmente de acuerdo en ambos métodos. Obviamente, esto es a grandes rasgos. Las casas antivirus usan otros métodos, pero este es el primero y que les ayuda a "descartar" y clasificar rápidamente, algo que por la cantidad de muestras que reciben a diario, es más necesario cada vez.
  • Usar máquinas virtuales siempre es una mala idea. El malware profesional, prácticamente las elude de serie, y no realizan ningún comportamiento si saben que están en una.
  • No olvidemos que algunos motores se copian entre sí las firmas. Si un motor reputado afirma que una muestra el malware, otros con menos recursos automáticamente también lo harán para ahorrarse el análisis. El hecho de que lo afirmen ocho motores no es tan importante como que lo afirmen algunos más importantes.

Por tanto, tenemos un sistema de comparación viciado. Es cierto que es lo mejor de lo que se dispone en estos momentos si no se realizan los análisis a mano, pero no por ello es menos propenso a equívocos. En resumen, CAMP es efectivo, pero no sabemos "cuánto". Sabemos que clasificará como malware una buena parte de las muestras antes de que lo "confirmen" los antivirus, pero a costa de un número de falsos positivos que las casas antivirus no se pueden permitir (de ahí que sean más conservadoras y prefieran detectarlo tarde pero "bien"). Además, aunque innovador, muchos antivirus serios en la nube ya hacen este tipo de correlación de datos por reputación, aunque una vez más, son más "conservadores".

Otros problemas del sistema es que cuando se implemente de serie, los atacantes sabrán saltárselo, sin duda. Así que CAMP será un método eficaz para añadir al arsenal contra el malware, que será rápido y eficaz opinando sobre los archivos descargados, pero desde luego no sabemos en qué medida ni el porcentaje exacto... afirmar que será del 99% es buscar un titular con una metodología cuestionable.

Sergio de los Santos

ssantos@hispasec.com


noreply@blogger.com (Hispasec)
Thu, 11 Apr 2013 22:20:00 GMT

jueves, 11 de abril de 2013

Nueva actualización de seguridad para Adobe Flash Player (Windows, GNU/Linux, Mac OS X y Android)

 

Según podemos leer en el blog de Adobe destinado a cuestiones de seguridad (ENG), se han publicado como actualizaciones de seguridad, nuevas versiones del reproductor Flash Player para sistemas Windows, GNU/Linux, Mac OS X y Android.

Estos parches de seguridad, solventan varios bugs localizados en el software, siendo por tanto más que recomendable su inmediata actualización ya que bajo determinadas circunstancias, su explotación podría derivar en un fallo del sistema, pudiendo hacerse con su control por parte de potenciales atacantes.

Manual para comprobar la versión de Flash Player instalada.

Más información y versiones afectadas, (ENG) | Centro de descarga de Adobe Flash Player.

Redacción
Thu, 11 Apr 2013 12:53:39 GMT

Windows Blue es Windows 8.1

 

Windows Blue aparentemente seria llamado como Windows 8.1, al menos eso se deduce por esta captura de la versión que se ha filtrado en la red sobre esta actualización. Windows Blue traerá consigo algunas novedades pero aun no se sabia si este iba a ser Windows 9 o una actualización del actual Windows, ahora sabemos que será con casi total seguridad un parche con mejoras para el actual sistema operativo.

650 1000 windows81 400x220 Windows Blue es Windows 8.1

Esta actualización buscara mejorar los punto flacos de Windows 8 con su interfaz Metro, mejora en la gestión multitarea y en la personalización del sistema operativo. Aunque por el momento Microsoft no ha detallado si esta actualización será de pago o no, personalmente pienso que si se llamara Windows 8.1, no creo que cobren ni un centavo, pero esta es sola una apreciación.

Monoblock
Tue, 02 Apr 2013 23:22:46 GMT

Actualizaciones de Microsoft abril 2013 (2 críticas)

 

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para abril de 2013.

En esta ocasión, se compone de 9 actualizaciones de seguridad, 2 catalogadas como críticas (Internet Explorer y Escritorio Remoto) y 7 como importantes que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la elevación de privilegios, ejecución remota de código, divulgación de información, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de actualizaciones de abril de 2013.
Redacción
Wed, 10 Apr 2013 12:54:45 GMT

Convierte tu equipo con Windows 8 en un punto de acceso Wireless.

 

Hoy en día, estamos acostumbrados en ciertas ocasiones a usar nuestro Smartphone como punto de acceso para poder acceder a internet con equipos portátiles. Pero se puede dar el caso de encontrarnos en la necesidad de hacer la operación inversa, es decir, disponer de una conexión cableada y necesitar conectar un dispositivo como nuestro Smartphone para poder acceder a internet desde este, o simplemente dar acceso a internet a otro dispositivo. Lógicamente la opción más lógica es hacer uso de un punto de acceso para conexiones inalámbricas, pero esto no siempre es factible. Haciendo uso de Windows 8 podemos convertir nuestro equipo en un punto de acceso y compartir la conexión que estamos utilizando.

La implementación de este servicio es muy sencilla, pero antes veamos qué requisitos debemos cumplir:

  • 2 interfaces de red, en el entorno que vamos a montar:

    • 1 NIC Ethernet, será la que reciba la conexión de la infraestructura y cuya conexión será compartida.

    • 1 NIC Wireless, será la interfaz a la que conectaran los dispositivos, es decir, será la interfaz a la que se conectaran los dispositivos para recibir la conexión. Además deberá admitir redes hospedadas.

Lo primero que deberemos haces es comprobar que nuestra NIC Wireless es capaz de admitir redes hospedadas, para ello abrimos un cmd como administradores y lanzamos:

  • Netsh wlan show drivers

image

Figura 1 – Comprobación de admisión de redes hospedadas.

Como podéis comprobar en la imagen anterior, en este caso si admite redes hospedadas.

El siguiente paso es habilitar este modo y configurar la red hospedada, en otras palabras, habilitar nuestra NIC para que sea capad de responder a las solicitudes de conexión y esta aparezca como un AP.

Como todo AP, será necesario que configuremos, además de habilitar este modo de trabajo:

  • SSID, para poder identificar nuestra red.

  • Habilitar la seguridad para la conexión, por defecto será WPA-2 con cifrado AES.

Para ello desde el mismo cmd como administrador, lanzaremos:

  • Netsh set hostednetwork mode=allow SSID=WTecnico key=12345678

  • Netsh wlan start hostednetwork

image

Figura 2 – Configuración de la red hospedada.

Como podéis ver es bastante sencillo, solo debéis modificar los valores para “ssid=” y “key=” por los vuestros.

Una vez realizado esto deberemos ir al centro de redes y recursos compartidos y seleccionar “cambiar configuración del adaptador”.

image

Figura 3 – Centro de redes y recursos compartidos.

Deberemos identificar nuestro adaptador Ethernet, ya que es el que dispone de salida a internet y también podemos observar cómo se ha creado un nuevo adaptador para la red hospedada.

image

Figura 4 – Centro de redes y recursos compartidos.

Como podéis observar en color azul esta resaltado el adaptador para la red hospedada y en rojo nuestro adaptador Ethernet el cual dispone de salida a internet.

El siguiente paso es acceder a las propiedades de nuestro adaptador Ethernet y en la pestaña “uso compartido”, seleccionamos “Permitir que los usuarios de otras redes se conecten a través de la conexión a internet de este equipo” y seleccionamos nuestra red hospedad.

image

Figura 5 – Uso compartido.

Con estos pasos tendremos nuestra red hospedada montada y lista para admitir dispositivos que se conecten a ella.

image

Figura 6 - Redes disponibles.

image

Figura 7 – Propiedades de la conexión.

Como podéis comprobar, unos sencillos pasos con los que podremos convertir nuestro equipo con Windows 8 en un punto de acceso.

image

Sergio San Roman
Wed, 10 Apr 2013 14:29:10 GMT

martes, 9 de abril de 2013

Mucho cuidado con el relevo de MSN Messenger a Skype

 

El anunciado final del servicio MSN Messenger y su reemplazo por Skype está produciendo numerosos ataques maliciosos contra el instalador de la aplicación


Mon, 08 Apr 2013 10:43:00 GMT

Microsoft publicará nueve boletines de seguridad el próximo martes

 

Al igual que todos los meses, Microsoft ha proporcionado un adelanto de los boletines de seguridad que se van a publicar el próximo día 9 de abril. Un total de nueve boletines, dos de ellos tendrán un carácter crítico y los siete restantes están marcados como importantes.

Los dos boletines críticos corrigen fallos de seguridad que podrían permitir la ejecución de código arbitrario. Los sistemas afectados son Internet Explorer 6, 7 y 8, Windows XP, Server 2003, Windows Vista, Server 2008, Windows 7, Server 2008 R2, Windows 9, Windows Server 2012 y Windows RT.

Entre los siete marcados como importantes existen tres impactos diferentes. Uno de ellos permitiría una revelación de información sensible afectando a Microsoft SharePoint Server 2013. Otro de ellos permitiría una denegación de servicio, afectando nuevamente a todos los Microsoft Windows anteriores excepto Windows RT.

Los cinco boletines restantes marcados como importantes podrían permitir la elevación de privilegios. Estos afectarían a todos los Microsoft Windows, además de a Microsoft Office, Office Web Apps 2010, Microsoft SharePoint Server 2010, Groove Server 2010 y Microsoft SharePoint 2010 Foundation.

También se publicará un parche para Windows Defender en las versiones de Windows 8 y Windows RT. Este parche corregirá una elevación de privilegios y la instalación del mismo requerirá reiniciar el sistema.

Más información:

Microsoft Security Bulletin Advance Notification for April 2013

http://technet.microsoft.com/en-us/security/bulletin/ms13-apr

Antonio Sánchez

asanchez@hispasec.com
Sat, 06 Apr 2013 16:34:00 GMT

viernes, 5 de abril de 2013

La forma más visual de ver la evolución de las redes sociales en España

 

“Evolución de las redes sociales en España”, una forma muy visual de ver la penetración de las diferentes redes sociales en España, motivos por los que las usamos y dispositivos desde los que accedemos.

Infografía desarrollada por Castilla y León Económica

Fri, 05 Apr 2013 07:46:56 GMT

Un nuevo malware de Skype esclaviza tu PC poniéndola a trabajar como minero de Bitcoin

 

Desde que Skype fue comprado por Microsoft se ha convertido en el principal programa de mensajería y llamadas para Windows, y no es de extrañar que, al igual que pasó con el MSN Messenger, sea ahora el blanco favorito de los cibercriminales para distribuir sus malwares de forma rápida y masiva aprovechándose de la ‘ingeniería social’ o mejor dicho, de ‘la curiosidad que todos llevamos dentro’. [...]

Leer el contenido completo en: http://InfoSpyware.com o haciendo clic en el título de la noticia.

 


Marcelo Rivero
Fri, 05 Apr 2013 10:00:00 GMT

jueves, 4 de abril de 2013

Mozilla publica 11 boletines de seguridad para Firefox

 

Mozilla ha publicado la versión 20 de su navegador Firefox, que corrige 11 fallos de seguridad descritos en 11 boletines e implementa varias mejoras para la navegación privada y otros cambios estéticos.

La versión número 20 del popular navegador ha incluido una nueva funcionalidad que permite iniciar la navegación privada (que no almacena datos en el historial), con la misma sesión que se tiene en la ventana normal. Hasta ahora, era necesario reiniciar todo el navegador para poder navegar "de incógnito", pero con esta nueva versión, las pestañas de incógnito y las "normales" pueden convivir en la misma sesión del navegador.

Otro cambio significativo es que la ventana de descargas habitual en los últimos años ha desaparecido, mostrándose ahora en un discreto desplegable a la derecha de la barra de navegación.

En cuando a las vulnerabilidades corregidas, tres boletines (MFSA 2013-36, MFSA 2013-35 y MFSA 2013-30) tienen un impacto crítico. El primero corrige un error relacionado con la implementación de 'Same Origin Wrappers' y que podría permitir una ejecución de código arbitrario con los permisos del usuario. El segundo es un error en la biblioteca 'WebGL' que implementa Firefox y que también podría permitir la ejecución de código arbitrario y el tercero contiene tres vulnerabilidades relacionados con el manejo de memoria.

Otros cuatro boletines (MFSA 2013-38, MFSA 2013-34, MFSA 2013-32, MFSA 2013-31) tienen un impacto alto. Uno de ellos corrige un error en las funciones relacionadas con el histórico de JavaScript, que se podrían utilizar para realizar una suplantación de identidad a través de un ataque XSS. Otros dos corrigen una elevación de privilegios a través del sistema de 'Mozilla Updater' y 'Mozilla Maintenance Service' y el último solventa un fallo en la biblioteca 'Cairo' con el que se podría ejecutar código arbitrario.

Los cuatro boletines restantes (MFSA 2013-40, MFSA 2013-39, MFSA 2013-37, MFSA 2013-33) tienen un impacto medio. El primero se trata de una lectura fuera de límites en un vector, el segundo una corrupción de memoria a través del renderizado de imágenes PNG, el tercero permitiría la revelación de información sensible (cuyo vector de ataque está relacionado con el uso de pestañas) y el cuarto permitiría un acceso no autorizado (de lectura y escritura) a la carpeta 'app_tmp' en dispositivos Android.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Por otra parte, cabe señalar que ocho de los boletines publicados (MFSA 2013-40, MFSA 2013-38, MFSA 2013-36, MFSA 2013-35, MFSA 2013-34, MFSA 2013-32, MFSA 2013-31 y MFSA 2013-30) también afectan a Thunderbird  y SeaMonkey, por lo que se han publicado las versiones 17.0.5 y 2.17 de ambos productos.

Más información:

Firefox Gives You More Control Over Your Privacy:

https://blog.mozilla.org/blog/2013/04/02/firefox-gives-you-more-control-over-your-privacy/

Security Advisories for Firefox:

https://www.mozilla.org/security/known-vulnerabilities/firefox.html

Antonio Sánchez

asanchez@hispasec.com

 
noreply@blogger.com (Hispasec)
Tue, 02 Apr 2013 17:05:00 GMT

miércoles, 3 de abril de 2013

[Breves] Firefox 20 solventa 11 bugs, 3 de ellos críticos

 

Firefox 20Como ya sabréis, la versión 20 de Firefox viene con nuevas funcionalidades como el renovado gestor de descargas y poder usar el modo de navegación privada (muy recomendable) sin tener que abrir una nueva ventana, dejando aparte las que había activas.

Pero más allá de las nuevas “features“, si vemos el listado de cambios, podemos leer que se han solventado 11 vulnerabilidades de diverso impacto, siendo 3 de ellas catalogadas como críticas. Por lo tanto, os recomendamos actualizar el navegador a la mayor brevedad posible.


DaboWed, 03 Apr 2013 10:58:49 GMT