Según podemos leer en el blog de Adobe destinado a cuestiones de seguridad (ENG), se han publicado como actualizaciones de seguridad, nuevas versiones del reproductor Flash Player para sistemas Windows, GNU/Linux, Mac OS X y Android.

Estos parches de seguridad, solventan varios bugs localizados en el software, siendo por tanto más que recomendable su inmediata actualización ya que bajo determinadas circunstancias, su explotación podría derivar en un fallo del sistema, pudiendo hacerse con su control por parte de potenciales atacantes.

Manual para comprobar la versión de Flash Player instalada.

Más información y versiones afectadas, (ENG) | Centro de descarga de Adobe Flash Player.

Adobe a puesto a disposición de los usuarios una actualización de seguridad de Flash Player y AIR que solventan varios bugs de un impacto alto en el sistema que caso de ser explotadas, podrían llevar bien a un mal funcionamiento del sistema, o en el peor de los casos, a la ejecución de código con privilegios elevados en la máquina afectada.

Las actualizaciones están disponibles para sistemas Windows, GNU/Linux, Mac OS X y Android. (Para AIR).

Fuente INTECO-CERT.

Según podemos leer en el blog de Adobe destinado a cuestiones de seguridad (ENG), se han publicado como actualizaciones de seguridad, nuevas versiones del reproductor Flash Player para sistemas Windows, GNU/Linux, Mac OS X y Android (también para “AIR”).

Estos parches de seguridad, solventan varios bugs localizados en el software, siendo por tanto más que recomendable su inmediata actualización ya que bajo determinadas circunstancias, su explotación podría derivar en un fallo del sistema, pudiendo hacerse con su control por parte de potenciales atacantes.

Más información y versiones afectadas, (ENG) | Centro de descarga de Adobe Flash Player.

Al igual que en anteriores ocasiones, nos hacemos eco del lanzamiento de un nuevo número de la revista electrónica de seguridad (IN)SECURE Magazine (nº 34).

En esta entrega de Junio, cabe destacar la introducción al análisis de Malware en Android, entre otros temas de interés.

La descarga es gratuita y está disponible en formato PDF desde su sitio web.

Temas de este número: (ENG)

Fitness as a model for security
Security and migrating to the cloud: Is it all doom and gloom?
Solid state drives: Forensic preservation issues
Introduction to Android malware analysis
Hack in The Box Conference 2012 Amsterdam
ISO 27001 standard: Breaking the documentation myth with Dejan Kosutic
Preparing a breach response plan
Security beyond the operating system: Into the cloud and beyond
Amphion Forum 2012 Munich
The challenges of data recovery from modern storage systems
Two-factor authentication for the cloud: Does it have to be hard?

El pasado dia 18 de este mes se publicó la nueva versión del nùcleo de Linux, la cual ya va por la versión 3.3 y que en esta ocasión y como principal novedad, incluye “dentro del mismo” el núcleo del popular Android, lo que significa que se podrá arrancar un espacio de usuario de este conocido y utilizado sistema operativo de móviles o tablets.

Parece que por fin se han superado los problemas y discrepancias que había en esta integración, pero al final lo inevitable ha terminado sucediendo y seguro que los mayores beneficiados somos los usuarios, ya que esto abre muchas puertas a los desarrolladores de software, pudiendo con esta medida ampliar sus objetivos y hacer que nuestro GNU/Linux de escritorio y nuestro dispositivo móvil con Android esten mucho mas interactuados entre si.

En esta nueva actualización del kernel también se han hecho trabajos de mejora en el sistema de archivos ext4 o en el trabajo con redes.

Según leíamos en Hispasec hace unos días (se nos pasó por aquello de las fechas), se han detectado varias vulnerabilidades que afectan a la popular aplicación de mensajería del sistema operativo Android, las cuales pueden comprometer la seguridad del aparato atacado. En concreto son:

1. Es posible cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.

2. La función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono es vulnerable a ataques de fuerza bruta, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.

3. El tráfico de datos a través del protocolo XMPP de WhatsApp no está cifrado, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.

Solamente se ha facilitado como medida de protección ante el segundo fallo, una limitación de 10 intentos para introducir el códigoque se envía a la hora de realizar el ataque de fuerza bruta, aunque no hay nada al respecto de las otras dos vulnerabilidades. Recordemos que esta aplicación informática se ha hecho muy popular entre todos los usuarios de teléfonos móviles que disponen de Android como su sistema operativo, lo cual multiplica exponencialmente el número de usuarios que pueden verse afectados. Mas información aquí.

Un mes más, te recomendamos el recopilatorio de entradas publicadas en Daboweb en Diciembre de 2011, por si en el día a día de la publicación, alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

diciembre 2011

• 31: Desde Daboweb os deseamos un feliz y seguro 2012
• 27: [Breves] Foros SMF 2.0.2 y 1.1.16 solventan vulnerabilidades críticas
• 27: Fallo de seguridad en el navegador de Android
• 24: Nuestra tarjeta de Navidad
• 22: [Breves] phpMyAdmin 3.4.9 solventa dos vulnerabilidades XSS
• 21: Pablo Soto, creador de programas P2P, es declarado inocente
• 21: Firefox 9 ya disponible para Windows, GNU/Linux y Mac OS X (cada vez más rápido)
• 14: Actualizaciones de Microsoft Diciembre de 2011
• 13: Megaupload demanda a la discográfica Universal
• 13: WordPress 3.3 “Sonny”. Versión final, descarga disponible
• 07: Revista electrónica de seguridad (IN)SECURE Magazine, número 32.
• 06: [Breves] Drupal 7.10 Released
• 04: 0-day en Yahoo Messenger
• 02: Publicado en Daboweb. Noviembre de 2011
• 01: [Breves] Abierto el registro para el Congreso de Seguridad Rooted CON 2012

Según podemos leer en Hispasec, se ha detectado un  fallo de seguridad en el navegador web del popular sistema operativo de móviles y tablets Android. Esta vulnerabilidad permite a un atacante, mediante una web especialmente diseñada, conseguir que esta contenga el certificado de seguridad de otra que se pretende suplantar, con lo que de este modo verá un certificado aparentemente seguro y confiará en el sitio web malicioso. Este fallo afecta a la version  2.3.3 de Android, aunque no se descarta que pueda encontrarse en otras también.
Desde varias webs especializadas en seguridad informática se ha calificado este fallo como de bajo riesgo, pero mas vale ser precavidos a la hora de navegar por la red. En este link tenéis mas información detallada y unas cuantas capturas de pantalla al respecto de este fallo.