Daboweb | Seguridad y ayuda informática |

Apple acaba de liberar sendas actualizaciones para su sistema operativo IOS bajo la versión 6.0.1 y su navegador Safari como versión 6.0.2. En el caso de Safari se corrigen varios errores en OS X (webkit, Javascript, etc) que podrían llevar a la ejecución de código arbitrario en el sistema afectado bajo determinadas circunstancias visitando sitios web maliciosos preparados para tal fin.

En el caso de IOS, tal y como informan desde Apple se han solventado varios errores de seguridad preocupantes (bloqueo con código y posibles accesos no autorizados), mejoras en redes cifradas bajo WPA2, etc. A continuación os ofrecemos la información de la compañía sobre el update:

•  Solución de un problema que impedía instalar actualizaciones de software de forma inalámbrica y remota en el iPhone 5
•  Solución de un problema que provocaba que se mostraran líneas horizontales en el teclado
•  Solución de un problema que causaba que el flash de la cámara no funcionase
•  Mejora de la fiabilidad del iPhone 5 y del iPod touch (5.ª generación) al conectarlos a redes Wi-Fi WPA2 cifradas
•  Solución de un problema que impedía que el iPhone utilizase la red móvil en determinados casos
•  Integración de iTunes Match en las opciones del botón “Usar datos móviles”
•  Solución de un problema de la función “Bloqueo con código” que hacía que en ciertas ocasiones se permitiera el acceso a los datos de las tarjetas de Passbook desde la pantalla de bloqueo
•  Solución de un problema que afectaba a las reuniones de Exchange

En el caso de Safari (ENG), según la lista de correo se solventan los siguientes fallos:

Continue reading…

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en octubre de 2012 por si en el día a día de la publicación, alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

• 27: [Breves] Firefox 16.0.2 soluciona problema de seguridad
• 22: [Breves] Actualización de filtros Nauscópicos para AdBlock Plus, (Firefox y Chrome)
• 22: Liberado Kernel Linux 3.6.3
• 18: [Breves] Actualizada la sección “Sniffers y Redes” (por Alfon).
• 18: Revista gratuita fotográfica Foto DNG 74, Octubre 2012
• 18: Liberadas actualizaciones de seguridad de Oracle, Octubre 2012
• 18: [Breves] Actualización de seguridad para Drupal. Disponible la versión 7.16
• 12: [Breves] Mozilla solventa el bug crítico en Firefox 16. Versión 16.0.1 disponible
• 11: Vulnerabilidad crítica en Firefox 16 (se recomienda volver a la 15.1)
• 09: [Breves] Disponible Joomla 3.0.1 (actualización de seguridad)
• 09: Octava lección del Algoritmo RSA en el MOOC Crypt4you de Criptored
• 08: Comprueba el origen de las firmas en tu Windows con SigSpotter
• 05: Disponible Wireshark 1.8.3
• 03: Actualización de seguridad para Mac OS X Server (v2.1.1)
• 01: Publicado en Daboweb, Septiembre 2012

Mozilla ha lanzado una nueva actualización de su navegador Firefox, la versión 16.0.2, que solventa un problema de seguridad de tipo XSS (entre otros problemas), consistente en que los datos de url’s contenidas en el objeto window.location podría ser ofuscados y en combinación con algunos plugins lanzar el ataque de cross-site scripting contra el usuario.

Info completa (en inglés). Lista completa de errores corregidos.

Recomendamos a todos los usuarios actualizar a la mayor brevedad posible a esta nueva versión. Bien desde el actualizador automático o desde el sitio de descargas de Firefox.

Disponible desde el Nauscopio, una nueva actualización de la lista de filtros anti-publicidad del complemento AdBlock Plus tanto para Chrome como para Firefox.

Maty (@nauscopio) ha añadido 39 filtros nuevos. Como siempre, gracias Maty por la gran labor que realiza para que todos podamos navegar de una forma menos intrusiva y segura. (Anuncio original).

• Descarga: http://abp.mozilla-hispano.org/nauscopio/filtros.txt

Información sobre su instalación y dudas

• Nauscopio Scipiorum Archivo “hosts” nauscópico para combatir publicidad, páginas peligrosas, spam, etc
• Nauscopio Scipiorum Adblock Plus Pop-up Addon y lista de filtros antipublicidad (AdBlock) nauscópicos para Firefox
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en navegadores Gecko
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en Google Chrome
• Mozilla Hispano AdBlock Plus: Filtros nauscópicos antipublicidad

Oracle ha liberado para sus clientes una nueva actualización de seguridad de varios de sus productos. Estas actualizaciones de Octubre 2012, última de las cuatro previstas para este año 2012, vienen a solventar múltiples vulnerabilidades (109) encontradas hasta la fecha en diferentes productos de la compañía:

Oracle Database, Oracle Application Server, Oracle Secure Backup, Oracle Open Office y StarOffice, Oracle E-Business Suite, Oracle Sun, Oracle WebLogic Server, Oracle PeopleSoft Enterprise, etc.

Desde la empresa recomiendan parchear lo antes posible las diferentes versiones afectadas, ya que el aprovechamiento de esos fallos por parte de usuarios malintencionados podría comprometer seriamente la integridad del sistema.

Más información y descarga de actualizaciones.

Tal y como leemos en Hispasec, Mozilla ha actualizado con urgencia su navegador Firefox a la versión 16.0.1 que solventa el grave bug del que nos hicimos eco hace tan sólo unas horas.

Recomendamos a todos los usuarios actualizar a la mayor breve dad posible a esta nueva versión. Bien desde el actualizador automático o desde el sitio de descargas de Firefox.

Tal y como podemos leer en el aviso de INTECO-CERT, se ha reportado una vulnerabilidad catalogada como crítica en Firefox 16 (recién publicado). Dicho fallo de seguridad podría permitir a un sitio web malicioso conocer las páginas que han visitado sus usuarios, teniendo acceso a la URL así como a sus parámetros.

Dado el impacto de esta vulnerabilidad, se recomienda o bien hacer un «downgrade» a la versión 15.1, o utilizar mientras se solvente un navegador alternativo. (La versión 16 de Firefox ya no está disponible para su descarga).

Debido a la gran cantidad de usuarios que pueden verse afectados, es importante conseguir la máxima difusión posible.

Tal y como podemos leer en la web del proyecto Joomla, se acaba de anunciar la inmediata disponibilidad de Joomla 3.0.1. Se trata de una versión de seguridad, por lo que es más que aconsejable su inmediata actualización (os recomendamos documentaros antes del update a la 3.0.1, sobre el «Joomla 3.0.0 Hot Patch«). Esta versión también corrige varios problemas de alta prioridad localizados en la 3.0.0.

Desde la factoría de la web amiga Security By Default, nos llega esta herramienta de descarga gratuita, SigSpotter, (disponible también el código fuente) para comprobar la integridad de las firmas en Windows (a colación del problema tan comentado del certificado digital de Adobe comprometido).

Desde Daboweb, felicitamos a su creador, Yago Jesús, por crear y poner a disposición del grán público esta herramienta que os ayudará a identificar a los autores de los ficheros ejecutables que tenéis instalados en vuestro Windows, basándose en su certificado digital «authenticode».

Información y descarga en Security By Default.

Se encuentra disponible para su descarga la nueva versión de Wireshark 1.8.3. que soluciona diversas vulnerabilidades de versiones anteriores.

Como la mayoría sabréis, Wireshark es una herramienta multiplataforma para análisis de tráfico de red, producto de la evolución del antiguo Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Posee una serie de decodificadores para la mayor parte de protocolos así como plugins y herramientas para el análisis gráfico de las capturas.

Para descargar Wireshark:

• Windows: http://www.wireshark.org/download.html
• Linux: Algunas distribuciones ya contienen Wireshark, de cualquier forma: apt-get install wireshark

Más información sobre su descarga, instalación y empleo básico del programa en nuestros temas:

• Herramientas para la interpretación de las capturas de red 6/10.

• Captura con Wireshark de ficheros SMB.

• Herramientas para la interpretación de las capturas de red 8/10.

Desde la lista de correo «Apple Security«, nos llega el aviso de una actualización de seguridad para OS X Server (v2.1.1).  Esta nueva versión solventa varias vulnerabilidades en PostgresSQL, siendo la de más impacto una que permitiría a usuarios de las bases de datos acceder a ficheros del sistema con privilegios elevados.

También Jabber recibe una actualización para solventar posibles fugas de información en relación con otros servers mejorando la gestión de mensajes. El update está disponible desde el menú «Actualización de Software». Os recomendamos aplicar las correcciones con brevedad, más info sobre estas cuestiones de seguridad en Apple Security Updates.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Septiembre de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

• 30: Debian Squeeze 6.0.6 disponible (actualización de seguridad).
• 29: [Breves] Actualización de filtros Nauscópicos para AdBlock Plus, (Firefox y Chrome)
• 28: [Breves] Disponible Joomla 3.0.0 y Joomla 2.5.7 (Importante, finaliza el soporte para la rama 1.5x)
• 26: Nueva vulnerabilidad en Java 5, 6 y 7 (Windows, Mac OS X, GNU/Linux y Solaris).
• 26: [Breves] Mirror comprometido de phpMyAdmin sirvió una versión (3.5.2.2) con una puerta trasera
• 22: Actualización de seguridad disponible para el grave bug en Internet Explorer 7, 8 y 9
• 18: Vulnerabilidad 0Day (crítica) en Internet Explorer 7, 8 y 9. Se recomienda usar otro navegador
• 14: [Breves] Disponible Joomla 2.5.7, actualización de seguridad.
• 13: iTunes 10.7 para Windows solventa 163 vulnerabilidades.
• 11: Actualizaciones de Microsoft Septiembre de 2012
• 06: WordPress 3.4.2, actualización de mantenimiento y seguridad disponible
• 03: Publicado en Daboweb, Agosto 2012.

Disponible desde el Nauscopio, una nueva actualización de la lista de filtros anti-publicidad del complemento AdBlock Plus tanto para Chrome como para Firefox.

Maty (@nauscopio) ha eliminado 3 filtros genéricos y 8 redundantes, además de añadir de 40 filtros nuevos. Como siempre, gracias Maty por la gran labor que realiza para que todos podamos navegar de una forma menos intrusiva y segura. (Anuncio original).

• Descarga: http://abp.mozilla-hispano.org/nauscopio/filtros.txt

Información sobre su instalación y dudas

• Nauscopio Scipiorum Archivo “hosts” nauscópico para combatir publicidad, páginas peligrosas, spam, etc
• Nauscopio Scipiorum Adblock Plus Pop-up Addon y lista de filtros antipublicidad (AdBlock) nauscópicos para Firefox
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en navegadores Gecko
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en Google Chrome
• Mozilla Hispano AdBlock Plus: Filtros nauscópicos antipublicidad

Siguen los problemas para Oracle y Java, incluidos los usuarios que tengan necesidad de usar esta tecnología. El mes pasado, ya nos hicimos eco del fallo grave en Java (con información sobre cómo desactivarlo en todos los navegadores, recordamos que está parcheado). En esta ocasión y según una información publicada en CSO España, la firma Polaca «Security Explorations» alerta sobre un bug que podría afectar a 1.000 millones de usuarios.

La vulnerabilidad estaría localizada en versiones 5, 6 y 7 de Java en plataformas Windows, Mac OS X, GNU/Linux y Solaris por lo que el alcance es importante. Pudiendo derivar según informan, en la ejecución de una app maliciosa consiguiendo privilegios de administrador en el sistema afectado. También se indica que este fallo, es de un impacto mayor que el anterior «0day» y se vuelve a recomendar su desactivación temporal o en caso de necesidad de uso, hasta que Oracle (conocedora ya del problema y que en la ocasión anterior actuó con una inesperada rapidez) lo solvente, no sería aconsejable usar la máquina virtual de Java indiscriminadamente y más aún en entornos no confiables.

Aunque como leemos en Genbeta, sólo ha sido testeada en Windows 7 totalmente parcheado y en su edición de 32 bits, por lo que a falta de una información más concreta, usar el sentido común y extremar las precauciones junto a lo comentado anteriormente, puede ser el mejor de los consejos con los datos que manejamos en este momento.

A través de una información publicada en S21sec, ayer pudimos saber que uno de los proyectos con más peso en cuanto a la administración de bases de datos MySQL vía web, tuvo un problema de seguridad que afectó a uno de los «mirrors» desde el que se distribuye phpMyAdmin. En concreto, la web del proyecto informa que la versión afectada fue «3.5.2.2-all-languages.zip«.

La recomendación ante la duda es reinstalar o comprobar si la versión instalada contiene un fichero con el nombre de server_sync.php