Daboweb | Seguridad y ayuda informática |

Apple ha liberado la versión 10.6.4 del  de Mac OS X. Es una actualización sin apenas novedades dedicada a solventar diversos fallos e incluye Safari 5.

La actualización ocupa unos 315Mb (al menos la instalada en mi iMac) y Apple recomienda su actualización en todos los equipos que tengan Snow Leopard instalado.

Entre las mejoras que incluye estan:

• Se ha solucionado un problema que causaba que el teclado o el trackpad no respondieran.
• Se ha corregido un problema que podía impedir que algunas aplicaciones del paquete Adobe Creative Suite 3 se abrieran.
• Se han resuelto problemas al copiar, renombrar o eliminar archivos en servidores de archivos SMB.
• Se ha mejorado la fiabilidad de las conexiones VPN.
• Se ha solucionado un problema de reproducción en Reproductor de DVD al usar el desentrelazado de buena calidad.
• Se ha corregido un problema de edición de fotos con iPhoto o Aperture en la visualización a pantalla completa.
• Se ha mejorado la compatibilidad con algunas pantallas Braille.

iTunes 9.2

Según leemos en la web amiga PlanetaiOS;

Además de solventar varios problemas de seguridad localizados en versiones anterioes;

La versión 9.2 de iTunes es necesaria para el iOs 4 e incluye lo siguiente:

• Sincronización con el iPhone 4 para disfrutar de su música, películas, programas de televisión, libros y mucho más esté donde esté.

• Sincronización y lectura de libros con el iPhone o el iPod touch si dispone de la actualización iOS 4 y iBooks 1.1.

• Organización y sincronización de documentos PDF como libros. Puede leer documentos PDF con iBooks 1.1 en el iPad y en cualquier iPhone o iPod touch que disponga de la actualización iOS 4.

• Organización de las aplicaciones dentro de carpetas en las pantallas de inicio mediante iTunes si dispone de la actualización iOS 4.

• Creación más rápida de copias de seguridad durante la sincronización de un iPhone o iPod touch con la actualización iOS 4.

• Mejoras en las ilustraciones de los álbumes para que aparezcan más rápidamente cuando explore su biblioteca.

Como viene siendo habitual, desde CriptoRed nos ofrecen un resumen de las noticias y eventos acaecidos durante el pasado mes de Mayo.

Recordaros que se trata de la «Red Temática Iberoamericana de Criptografía y Seguridad de la Información», fundada en el año 1.998.

Estos son, algunos de los temas tratados a lo largo de este mes de Mayo de 2010:

• Presentación del Máster MASGDTIC en Auditoría, Seguridad, Gobierno y Derecho de las TICs de la UAM.

• Intervención en el Programa de Radio Nacional de España sobre Virus Informáticos y Documento (España).

• Disponible el Esquema Nacional de Seguridad en Inglés Spanish National Security Framework (España).

• Informe de la Red de Sensores de INTECO del Mes de Abril de 2010 (España).

• Plan de Seminarios de Seguridad Informática para el Año 2010 de CYBSEC (Argentina, Paraguay, España).

• Inseguridad de la Información: Confusión de Fines y Perfección de Medios en Blog IT Insecurity (Colombia).

• Seminario Protección de Datos, Tecnologías de la Información y Sistema Educativo en la UIMP (España).

• Octava edición de Asegúr@IT en Valencia (España).

• Curso de Verano sobre Seguridad Informática en Valencia (España).

• 10th International Conference on Mathematical Methods in Science and Engineering CMMSE en Almería (España).

• Conferencia Privacidad y Libertad de Expresión en la Era de Internet en el VI Ciclo UPM TASSI (España).

• Jornada de Solventia sobre Cloud Computing y Privacidad de los Menores en la Red (España).

Criptored Mayo 2010.

Se ha notificado un grave fallo de seguridad aún sin solución para Adobe Reader y Acrobat y para Adobe Flash Player. La explotación de esta vulnerabilidad podría permitir tomar el control de los sistemas afectados.

Las versiones y plataformas afectadas son Adobe Reader y Adobe Acrobat en versiones 9 para Windows, Macintosh y UNIX.

En el caso de Adobe Flash Player la versión afectada sería la 10.0.45.2, la versión 9.0.262 y anteriores, para los sitemas Windows, Macintosh, Solaris y UNIX.

Parece ser que no serían vulnerables, la versión 8 de Adobe Acrobat y la nueva versión de Flash Player 10.1 RC.

Para el caso de Flash Player, la solución sería instalar la versión RC o bien, deshabilitarlo. En este manual puedes ver como Comprobar y actualizar la versión de Flash Player instalada en tu equipo.

Para Acrobat y como solución alternativa, al menos mientras se mantenga esta situación, sería utilizar la versión 8 de Acrobat, o bien, utilizar otros programas visores de archivos PDF.

Para seguir utilizando tu versión actual de Acrobat, conforme leemos en Genbeta, sería necesario borrar, cambiar el nombre o bloquear el acceso al archivo authplay.dll. que podrás encontrar en la siguiente ruta de Windows:
C:\Archivos de programa\Adobe\Reader 9.0\Reader\ o en su caso \Acrobat\, según el programa. Al realizar esta operación podrías tener errores al intentar abrir un PDF que contenga SWF.

Las vulnerabilidades están siendo explotadas, por lo que se recomienda tomar las debidas precauciones en tanto sean publicados los parches o actualizaciones que las solucionen.

Nueva versión de mantenimiento para Drupal, esta versión no incluye ninguna actualización de seguridad pero aún así es recomendable actualizar a esta nueva versión que corrige pequeños fallos de versiones anteriores.

Entre la lista de correcciones se encuentra un mejor manejo de las sesiones a través de las cookies, mejora la compatibilidad con PostgreSQL, PHP 5.3, PHP 4 ..

Hoy os quería recomendar una entrada del blog de Pablo Teijeira, (Sophos) en la que resume los puntos en los que basó su presentación acerca de las «Principales 5 fugas de información» y cómo afectan al cumplimiento de la LOPD, en un evento de www.siycn.com (Seguridad de la información, cumplimiento normativas, etc).

Su charla estaba basada en la fortificación del puesto de trabajo, el correo electrónico, etc, y cómo cubrir esas constantes fuentes de fuga de información o transmisión de datos por parte de los empleados de una empresa, ayudando de ese modo a cumplir varios puntos sensibles y de gran peso en la LOPD. Una Ley orgánica de protección de datos que por lo que he leído en «Sinyc», es incumplida por aproximadamente un 80 % de las multinacionales financieras según Compuware, ahí es nada…

El autor, se refiere a temas que habitualmente como sabéis tratamos en Daboweb, desde ataques por Malware, aplicaciones potencialmente peligrosas en cuanto a fugas de datos si no se usan correctamente, dispositivos móviles, redes sociales, etc. Temas que no por ser tratados ampliamente ya aquí, dejan de tener interés, al contrario, una de las prácticas más perjudiciales hablando de seguridad, es bajar la guardia y aún conociendo los riesgos, no se toman lo suficientemente en serio las posibles amenazas tanto internas como externas.

Acceso a; ¿Conoces las 5 principales vías de fuga de información? […]

El equipo de seguridad de Joomla ha anunciado la inmediata disponibilidad de la versión de seguridad 1.5.18 que corrige una seria vulnerabilidad XSS afectando a la versión 1.5.7 y todas las anteriores de la rama 1.5x.

Caso de ser explotado, el bug puede llevar a la inyección de código Javascript por parte de un usuario sin privilegios en el «Back-end» (panel de usuario) hacia la pantalla o sesión de un administrador con las fatales consecuencias que puede tener para el CMS. Ha sido reportada por Riyaz Ahemed y se recomienda actualizar a la mayor brevedad posible.

Más información en el anuncio oficial | Sobre el XSS.

Nos hacemos eco de esta noticia publicada en Inteco, referente a las precauciones a observar frente a robots conversacionales.

Los bots conversacionales son programas informáticos que se hacen pasar por una persona real en un programa de mensajería instantánea. Son capaces de mantener una conversación con alguno de los siguientes fines:

• Recopilar información confidencial como datos bancarios.

• Instalar programas maliciosos.

• Enviar publicidad no deseada.

• Conseguir imágenes del usuario solicitando que se active la cámara web.

En el siguiente vídeo publicado en el canal de Youtube de INTECO-CERT se puede ver un bot conversacional en acción:

watch?v=4W2HeV9wAIk

Para evitarlos, se recomienda seguir los siguientes consejos:

• Limitar la difusión de la dirección de correo electrónico. No sólo para evitar los bots conversacionales, sino también, para evitar el spam.
  Es recomendable disponer de varias direcciones de correo que emplearemos en cada circunstancia, como explicábamos en este manual:
  – Consejos de uso de las cuentas de correo electrónico.

• Desconfiar y eliminar los contactos e invitaciones cuya conversación no sea coherente, esté orientada a un tema concreto o que se encuentre en un idioma que no se espera.
  Además en la medida de lo posible configurar el programa para que no acepte llamadas de usuarios que no estén en nuestra lista de contactos.
  – Comunicarte solo con tu lista de contactos permitidos en Messenger.
  – Skype, comunicarse solo con usuarios de tu lista de contactos.

• Sospechar de los enlaces a páginas web o a programas que aparezcan en las conversaciones, aunque sean de amigos de confianza, sobre todo, si se tratan de enlaces o archivos que no se han solicitado.
  Mucha precaución sobre todo con aquellos que hacen referencia a la descarga o visionado de fotos, vídeos, etc. que exponíamos en este manual:
  – Prevenir infecciones desde el Messenger.

Algunos clientes de mensajería instantánea avisan al usuario del peligro de visitar estos enlaces como vemos en la captura superior.

En definitiva y como siempre repetimos utiliza el sentido común y precaución.

Si decimos que la industria del Malware, además de molesta, perniciosa y cansina, está siempre «a la última» en cuanto a técnicas de infección-redifusión, no sería nada nuevo ya que de todos es sabido.

Pero no está de más tener en cuenta esta información que podemos leer en Slashdot (ENG) con origen en este enlace (ENG), en la que se hacen eco de un aumento de ataques a través de servidores DNS vulnerables o con configuraciones potencialmente explotables, que son un filón para los crackers que consiguen hacerse con el control de esos servidores DNS, redirigiendo varios subdominios legítimos a una IP diferente y desde donde se llevan a cabo los ataques (de todo tipo) hacia el usuario a través de su navegador.

Sirva también a modo de recordatorio para los que administramos un servidor web, ya que como bien apuntan en la entrada original, a veces, una vez que has configurado las zonas DNS así como los diferentes dominios principales y subdominios, puede que no se revisen con la frecuencia que sería deseable y más si son subdominios creados no para servir páginas, sino para alojar por ejemplo imágenes, ficheros, etc, donde rara vez se consulta vía web sino más bien por FTP-SFTP.

Aunque personalmente opino que si ya se han hecho con el control de tu DNS, estás técnicamente K.O. Si hablamos de un servidor web bajo GNU/Linux, no está de más revisar esas configuraciones DNS y usar herramientas como «nslookup» o hacer consultas DNS con el comando «dig» para ver que está todo correcto y que tanto los dominios principales como subdominios, apuntan a IPs correctas.

Y para acabar, hablando de subdominios, es importante revisar a nivel de Apache que no queden expuestos o la vista de todos los subdominios (listado de directorios), aunque con un simple «index.php» o «.html» en el directorio principal del subdominio, caso de que como dije antes no se sirva tráfico web desde él, el contenido alojado dentro no quedará expuesto.

Ha sido reportada por parte de Nikolas Sotiriu una vulnerabilidad en McAfee LinuxShield que podría llevar a la ejecución de código arbitrario remoto en instalaciones de la versión 1.5.1 y anteriores sin el parche HF550192.

El ataque se vale de la interfaz web de LinuxShield además del demonio local «nailsd» que permanece a la escucha en el puerto 65443/tcp, pudiendo derivar bajo determinadas circunstancias tal y como explica Nikolas en el enlace anterior, (estando autenticado en el sistema afectado) a la ejecución de tares con privilegios de root (super ususario).

Si bien este fallo no es tan grave al ser necesaria una cuenta válida en el cliente de LinuxShield, se recomienda parchear el producto a la mayor brevedad posible para evitar problemas mayores en los sistemas afectados.

Desde McAfee ofrecen ya una solución a este bug vía el parche HF550192.

Se ha reportado una vulnerabilidad que afecta Adobe Photoshop CS4 (11.0.0) explotable a través de archivos TIFF previamente manipulados. El bug podría llevar a hacerse con el control del sistema afectado por los atacantes que lleguen a poder explotar el agujero de seguridad en CS4.

Hay que aclarar que para que el ataque se lleve a cabo con éxito, la víctima debe abrir manualmente ese fichero modificado para tal fin y que CS5 no está afectado. Para paliarlo, se recomienda actualizar CS4 a la versión 11.0.1 bien sea desde el menú de ayuda del propio programa o a través de estos enlaces; Windows y Mac OS X.

Esta vulnerabilidad ha sido catalogada como crítica por Adobe en su boletín informativo (ENG).

Fuente, Heise Security.

Vía Menéame nos hacemos eco de esta información que puede resultarte de utilidad si estás buscando un buen antivirus gratuito para Windows. En SaveDelete han publicado su lista con los 10 mejores antivirus gratuitos (ENG) para este año 2010. Parece que Microsoft Security Essentials ha llegado para quedarse, ya que ocupa la primera posición (no es la primera vez este año) seguido de Avast y AVG.

Ya está disponible para su descarga a través del menú «Actualización de software» en vuestros Mac, la tercera revisión de seguridad Mac OS X 2010-3 Security Update. Como siempre y aunque en este caso la lista de bugs parcheados no es como en otras ocasiones, recomendamos actualizar el sistema lo antes posible.

Interesante entrada en el blog de ESET Latinoamérica sobre los peligros que pueden acarrear para el usuario, ciertas URLs cortas (Short-URLs) muy usadas en servicios como puede ser Twitter.

El problema viene dado porque esa URL corta, podría llevarnos a un sitio web dañino sin darnos cuenta, ya que, situando el cursor del ratón sobre el enlace, no se puede ver el destino final del enlace. ¿Cómo paliarlo?

No es una solución definitiva, pero puede ser muy válida para la mayor parte de los casos, los usuarios de Firefox y derivados, pueden instalar la extensión «LongUrlPlease«(válida para Firefox: 2.0 – 3.6). Con este añadido, podremos ver al situar el ratón sobre el link el auténtico destino del mismo, funciona con unos 80 lugares que proporcionan el acortamiento de URLs y es una protección muy efectiva ante este tipo de engaños.

Desde la lista de correo de Apple Security nos llega este aviso de actualización de seguridad catalogada como 2010-002 en Mac OS X.

Concretamente, esta actualización viene a corregir hasta 88 vulnerabilidades de diverso impacto para el sistema, por lo que recomendamos actualizar vuestros equipos a la mayor brevedad posible.

Recordad que esta actualización de seguridad está disponible a través del menú “manzana” –> “actualización de software”.

Alguna vez ya os hemos recomendado visitar la página personal de Alfon, Seguridad y Redes , también, para un mejor seguimiento de sus artículos, podéis suscribiros a su Feed.

La web de Alfon es un lugar donde se hacen las cosas «como antes», es decir, sin prisa, publicando series de artículos detallados donde realmente podrás aprender más allá de una breve reseña u opinión y con mucho fundamento.

Para este fin de semana os queremos sugerir esta serie de entradas en las que podréis aprender como se captura, filtra y analiza todo tipo de tráfico de red con varias de las herramientas más potentes para escuchar y capturar esos paquetes.