Encontrado fallo de seguridad en los drivers de NVIDIA para UNIX

Posted by vlad on abril 17, 2012
Seguridad Informática / Comentarios desactivados en Encontrado fallo de seguridad en los drivers de NVIDIA para UNIX

Detectado un grave fallo de seguridad en los drivers privativos de las tarjetas Nvidia en su versión para sistema de tipo UNIX, el cual podría permitir a un virtual atacante escribir directamente en la memoria del sistema, reconfigurando la GPU. Se da la circunstancia de que la configuración por defecto de la tarjeta gráfica otorga los permisos necesarios para llevar a cabo este ataque, permitiendo la  lectura y escritura en los nodos de dispositivos GPU.

Nvidia ha sacado los drivers 295.40 para Linux, Solaris y FreeBSD, con lo que los usuarios de estos sitemas operativos deben actualizarse si su equipo es usado por muchos usuarios, en prevención de posibles problemas de seguridad. Os dejamos este otro enlace para mas información.

Tags: , , , , , , ,

Tercera lección del algoritmo RSA en el MOOC Crypt4you de Criptored

Posted by Dabo on abril 14, 2012
Cibercultura, Seguridad Informática / Comentarios desactivados en Tercera lección del algoritmo RSA en el MOOC Crypt4you de Criptored

Se encuentra disponible en el Massive Open Online Course MOOC de Crypt4you la tercera lección del curso El Algoritmo RSA, dedicado al cifrado de números y mensajes.

En esta tercera lección del curso, se analiza la cifra de números y mensajes con RSA, sabiendo que esta última cifra de mensajes es sólo un ejercicio de laboratorio, en tanto que al ser estos algoritmos muy lentos comparados con la cifra simétrica o de clave secreta.

En la práctica sólo se usan para cifrar pequeños números de unas centenas de bits. Comienza con una breve introducción del algoritmo de intercambio seguro de clave de Diffie y Hellman para luego usar el algoritmo RSA en dicho intercambio, comparando además ambos sistemas.

Apartados de la Lección 3:

Apartado 3.1. El intercambio de clave de Diffie y Hellman
Apartado 3.2. Implementación del intercambio de clave con RSA
Apartado 3.3. Cifrando mensajes con RSA
Apartado 3.4. Test de evaluación de la Lección 3
Apartado 3.5. Estadísticas de la Lección RSA03

La próxima entrega de este curso, la Lección 4 sobre Claves privadas y públicas parejas, se publicará a finales de la primera semana del mes de Mayo.

Lección 0. Introducción al curso
Lección 1. Los principios del algoritmo RSA
Lección 2. Valores de diseño de las claves
Lección 3. Cifrado de números y mensajes
Lección 4. Claves privadas y públicas parejas
Lección 5. Mensajes no cifrables
Lección 6. Ataque por factorización
Lección 7. Ataque por cifrado cíclico
Lección 8. Ataque por paradoja del cumpleaños
Lección 9. El uso del Teorema del Resto Chino
Lección 10. Generación de claves con openSSL

Tags: , , , , ,

Actualizaciones de Adobe Acrobat y Reader solucionan graves vulnerabilidades

Posted by Destroyer on abril 12, 2012
Programas, Seguridad Informática / Comentarios desactivados en Actualizaciones de Adobe Acrobat y Reader solucionan graves vulnerabilidades

Se encuentran disponibles para su descarga e instalación varias actualizaciones para productos de Adobe, que solucionan graves vulnerabilidades de sus productos, Adobe Reader y Adobe Acrobat, en versiones para Windows, Linux y Macintosh.

Como ya hemos mencionado en anteriores ocasiones, insistimos en la importancia de mantener el sistema operativo y los programas siempre actualizados. por lo que se recomienda actualizar a la mayor brevedad posible a las nuevas versiones publicadas en la web de Adobe.

En Adobe Reader y Adobe Acrobat están afectadas las siguientes versiones:

  • Adobe Reader X 10.1.2 y anteriores en Windows y Macintosh.
  • Adobe Reader 9.5 y anteriores en Windows y Macintosh.
  • Adobe Reader 9.4.6 y anteriores en Linux.
  • Adobe Acrobat X 10.1.2 y anteriores en Windows y Macintosh.
  • Adobe Acrobat 9.5 y anteriores en Windows y Macintosh.

Además recordaros que cuentas con la posibilidad de utilizar aplicaciones alternativas para trabajar con archivos PDF, con las que podrás visionarlos, crearlos, manipularlos, protegerlos, desprotegerlos, cortarlos, etc.

Tags: , , , , , , , , , ,

Actualizaciones de Microsoft Abril de 2012

Posted by Destroyer on abril 11, 2012
Sistemas Operativos / Comentarios desactivados en Actualizaciones de Microsoft Abril de 2012

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Abril de 2012.

En esta ocasión, se compone de  6 actualizaciones de seguridad; 4 catalogadas como críticas y 2 como importantes, que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la Ejecución remota de código, divulgacio de información , etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de actualizaciones de Abril de 2012.

Tags: , , , , ,

[Breves] Comprueba vía web si tu Mac infectado por el troyano «Flashback».

Posted by Dabo on abril 07, 2012
[Breves], Seguridad Informática / Comentarios desactivados en [Breves] Comprueba vía web si tu Mac infectado por el troyano «Flashback».

Se está hablando de más de 600.000 equipos infectados en todo el mundo por el troyano «Flashback» que como su nombre indica, se hace pasar por una actualización del reproductor de Flash para instalarse en tu equipo y aprovecharse de un bug en Java (desde Apple vía «Actualización de software» ya hay parches disponibles).

Tal y como leemos en SpamLoco, Dr Web ha puesto a disposición de los usuarios (Actualización, enlazamos a una de Kaspersky en Inglés) para que una vez hayas introducido el UUID de tu Mac (En la manzana, «acerca de este equipo» | «Más información» | «Hardware»), comprobar si estás infectado.

Tags: , , , , , , , , , , ,

Actualización del kernel de la distribución Ubuntu 11

Posted by vlad on abril 06, 2012
Sistemas Operativos / Comentarios desactivados en Actualización del kernel de la distribución Ubuntu 11

Publicada una nueva versión del kernel de Ubuntu 11, la cual corrige hasta un total de siete fallos de seguridad que podrían causar desde denegaciones de servicio, hasta salto de permisos que abrirían una brecha de seguridad en el sistema atacado. Las vulnerabilidades son las siguientes:

  • Manejo inadecuado del comando ioctl (input/output control).
  • Fallo en los controladores de VLAN y be2net.
  • Error en la comprobación de permisos en las peticiones para asignar dispositivos.
  • Vulnerabilidad en el sistema de ficheros CIFS (Common Internet File System).
  • Error relacionado con los métodos .set en los regset.
  • Vulnerabilidad en el control de grupos cgroups.

Se recomienda la actualización.

Tags: , , , ,

El algoritmo RSA. Lección 2 en Crypt4you: Valores de diseño de las claves.

Posted by Dabo on abril 03, 2012
Seguridad Informática / Comentarios desactivados en El algoritmo RSA. Lección 2 en Crypt4you: Valores de diseño de las claves.

Se ha publicado en Crypt4you una nueva e interesante lección sobre RSA:

La segunda lección del curso tratará sobre los valores típicos de diseño que deben usarse en los parámetros que intervienen en una clave RSA, como son la clave pública e, la clave privada d, los primos p y q cuyo producto es el módulo o cuerpo de cifra n y el valor del indicador de Euler o cuerpo trampa Φ(n).

Si bien las ecuaciones que permiten generar una clave RSA son muy sencillas, debe tenerse especial cuidado en la elección de estos parámetros. En esta lección aprenderás el porqué de los valores actuales de estas claves RSA que te encuentras, por ejemplo, en certificados digitales X.509 cuando accedes a una página Web segura.

Anteriores   Lección 0: Introducción al curso  |  Lección 1: Los principios del algoritmo RSA

Tags: , ,

Publicado en Daboweb, Marzo 2012

Posted by Dabo on abril 03, 2012
[Breves], Cibercultura, Seguridad Informática / Comentarios desactivados en Publicado en Daboweb, Marzo 2012

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Marzo de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

marzo 2012

[Breves] Joomla! 2.5.4, actualización de seguridad

Posted by Liamngls on abril 02, 2012
[Breves] / Comentarios desactivados en [Breves] Joomla! 2.5.4, actualización de seguridad

Se acaba de liberar hace poco más de una hora una nueva actualización para la rama 2.5.x considerada de seguridad y que soluciona dos errores etiquetados como de prioridad baja además de una buena colección de tickets de todo tipo.
Concretamente:

  • Prioridad baja – Núcleo – Un error en la comprobación de permisos podría compremeter información administrativa. Más info (ENG)
  • Prioridad baja – Núcleo – Un filtrado inadecuado en el gestor de actualizaciones del CMS podría provocar vulnerabilidad XSS. Más info (ENG)

Esta nueva actualización además soluciona un buen número de errores, muy importante actualizar.

Anuncio original en Joomla. (ENG).

Tags: , , ,

[Breves] Joomla! 1.5.26 actualización de seguridad

Posted by Liamngls on marzo 31, 2012
[Breves] / Comentarios desactivados en [Breves] Joomla! 1.5.26 actualización de seguridad

Con nombre [senu takaa ama busani] llega una nueva actualización para Joomla!, la 1.5.26 que corrige dos problemas de seguridad, uno considerado de prioridad alta y otro de prioridad baja. El primero de ellos es un bug que afecta al restablecimiento de contraseña provocado por una insuficiencia a la hora de generar contraseñas aleatoriamente (que se generaban pocas).

La segunda y de prioridad baja es un bug que podría permitir la visualización de información administrativa tras una comprobación errónea de permisos. Concretamente:

  • Prioridad alta – Núcleo – Vulnerabilidad en cambio de contraseña. Más info (ENG)
  • Prioridad baja – Núcleo – Divulgación de información. Más info (ENG)

Esta nueva actualización no incluye ninguna otra mejora ni corrección alguna de errores, se recomienda actualizar a la mayor brevedad posible. También me entero vía gnumla de que el soporte para la rama 1.5.x se extiende hasta Septiembre de este año (no he encontrado confirmación oficial).

Anuncio original en Joomla. (ENG).

Tags: , , ,

[Breves] Vulnerabilidad grave en «Apache Traffic Server».

Posted by Dabo on marzo 26, 2012
[Breves], Seguridad Básica / Comentarios desactivados en [Breves] Vulnerabilidad grave en «Apache Traffic Server».

Según leemos en H-Online (ENG), se ha reportado un fallo de seguridad catalogado como de impacto alto en «Apache Traffic Server» (CVE-2012-0256).

Dicho bug afecta prácticamente a todas las ramas 2.x y 3.x (incluso las de desarrollo) y se recomienda actualizar a la mayor brevedad posible a la versión 3.0.4 dado que evita tanto ataques de denegación de servicio (DoS) o la ejecución arbitraria de código.

Más información (Apache Server).

Tags: , , , , , , ,

El kernel de Linux 3.3 ya incluye el núcleo de Android

Posted by vlad on marzo 20, 2012
Sistemas Operativos / Comentarios desactivados en El kernel de Linux 3.3 ya incluye el núcleo de Android

El pasado dia 18 de este mes se publicó la nueva versión del nùcleo de Linux, la cual ya va por la versión 3.3 y que en esta ocasión y como principal novedad, incluye «dentro del mismo» el núcleo del popular Android, lo que significa que se podrá arrancar un espacio de usuario de este conocido y utilizado sistema operativo de móviles o tablets.

Parece que por fin se han superado los problemas y discrepancias que había en esta integración, pero al final lo inevitable ha terminado sucediendo y seguro que los mayores beneficiados somos los usuarios, ya que esto abre muchas puertas a los desarrolladores de software, pudiendo con esta medida ampliar sus objetivos y hacer que nuestro GNU/Linux de escritorio y nuestro dispositivo móvil con Android esten mucho mas interactuados entre si.

En esta nueva actualización del kernel también se han hecho trabajos de mejora en el sistema de archivos ext4 o en el trabajo con redes.

Tags: , ,

Parche MS12-020 grave fallo en el manejo del protocolo RDP; la importancia de actualizar el sistema operativo;

Posted by Destroyer on marzo 20, 2012
Seguridad Informática / Comentarios desactivados en Parche MS12-020 grave fallo en el manejo del protocolo RDP; la importancia de actualizar el sistema operativo;

El parche de seguridad MS12-020 liberado en las actualizaciones de Microsoft de la pasada semana, soluciona un grave fallo en el manejo del protocolo RDP, que puede (y será) aprovechada por muchos ciberdelincuentes para acceder a máquinas sin actualizar y obtener jugosa información de ellas.

Como ya hemos comentado en otras ocasiones, volvemos a incidir una vez más en la importancia que representa mantener actualizados tanto el sistema operativo, como todo el software o programas que utilizamos en nuestro equipo.

Las actualizaciones en la mayoría de ocasiones solucionan vulnerabilidades, problemas de seguridad o de funcionamiento del sistema, por lo que siempre debemos instalar las actualizaciones en cuanto se publiquen para tener el sistema totalmente actualizado, ya que de lo contrario, algún malware podría aprovecharse de estas debilidades e infectar nuestros equipos.

Leer más en Seguridad básica sobre el tema  Mantener el Sistema operativo y el Software actualizados.

Se encuentra disponible una prueba de concepto para la vulnerabilidad en RDP, publicado por Josep Albors en Eset laboratorio.

Tags: , , , , , ,

[Breves] Disponible Joomla 2.5.3. Actualización de seguridad,

Posted by Dabo on marzo 16, 2012
[Breves], Seguridad Informática / Comentarios desactivados en [Breves] Disponible Joomla 2.5.3. Actualización de seguridad,

El pasado día 6 os informamos sobre la versión 2.5.2 de Joomla y la necesaria actualización, hoy volvemos a traer a nuestra portada a un CMS con tanta presencia como Joomla para recomendaros que actualicéis lo antes posible a la versión 2.5.3 que solventa dos vulnerabilidades catalogadas como de un impacto «alto» por sus creadores.

Sobre los bugs corregidos (ENG):

Anuncio de la versión 2.5.3 (ENG).

Tags: , ,

Aula Virtual de Criptografía y Seguridad de la Información Crypt4you. (Por los creadores de Intypedia)

Posted by Dabo on marzo 15, 2012
Seguridad Informática / Comentarios desactivados en Aula Virtual de Criptografía y Seguridad de la Información Crypt4you. (Por los creadores de Intypedia)

Hoy es un gran día para todos los amantes de la Seguridad Informática en general y de los de la Criptografía en particular. Tal y como adelantamos en el título y según podemos leer en la nota de prensa que a continuación reproducimos.

De la mano del Dr. Jorge Ramió y del Dr. Alfonso Muñoz, (impulsores de un proyecto al que le hemos dado toda la difusión que merecía, la Enciclopedia de la Seguridad de la Información, Intypedia y cuya última lección se publicará en abril de 2012) nace un nuevo formato de enseñanza online, gratuita y colaborativa, el Aula Virtual de Criptografía y Seguridad de la Información Crypt4you.

Nota de prensa;

Crypt4you es un proyecto de innovación educativa sin ánimo de lucro que nace en la Red Temática de Criptografía y Seguridad de la Información Criptored, en la Universidad Politécnica de Madrid, España. Siguiendo el título del proyecto, se trata de criptografía para ti, criptografía y seguridad de la información para todos, una manera de abrir las puertas de la universidad hacia toda la sociedad.

Los autores de los cursos serán preferiblemente investigadores y profesores universitarios miembros de la Red Temática Criptored.

Una de las características distintivas de Crypt4you es la publicación y entrega de lecciones a manera de fascículos todos los días 1 y 15 de cada mes. El primer curso que lleva por título El algoritmo RSA, del profesor Dr. Jorge Ramió, y está compuesto por 10 lecciones que se publicarán desde el 15 de marzo al 1 de agosto de 2012.

Las lecciones contemplan un conjunto de ejercicios y prácticas, propuestos y resueltos y un test final de evaluación personal; con la última lección de cada curso se publicará un examen final. Otra característica de este nuevo formato de formación e-learning es el enfoque colaborativo, en tanto se pide a los alumnos que sigan estos cursos su participación activa a través de las redes sociales facebook y twitter de Crypt4you, resolviendo dudas y aportando conocimiento.

Otra faceta novedosa de este proyecto es la actualización dinámica de sus contenidos, en el sentido de que el autor podrá en cualquier momento actualizar los contenidos de sus lecciones, añadir nuevos apartados, nuevos ejercicios y prácticas.

En definitiva, Crypt4you se presenta como un nuevo formato de formación en seguridad de la información en la nube, gratuita, online y colaborativa, con el rigor que ha demostrado Criptored en sus doce años de vida sirviendo más de dos millones de documentos, con una especial dedicación hacia Iberoamérica.

Para mayor información, acceda al sitio Web de Crypt4you y lea las Frequently Asked Questions FAQ.

Sitio Web: http://www.crypt4you.com
Criptored: http://www.criptored.upm.es/
Intypedia: http://www.intypedia.com/

Desde Daboweb, seguiremos apoyando proyectos como este y vaya desde aquí toda la suerte de mundo !

Tags: , , , , , ,

« Previous Page Next Page »
Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)    Ver
Privacidad