28 de diciembre de 2015

MICROSOFT. Publica doce boletines de seguridad y soluciona 71 vulnerabilidades

Microsoft publicó 12 boletines de seguridad (del MS15-124 al MS15-135) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft ocho de los boletines presentan un nivel de gravedad "crítico" mientras que los cuatro restantes son "importantes". En total se han solucionado 71 vulnerabilidades.
 Salvo sorpresas de última hora, estos son los últimos boletines que publica Microsoft este año. De esta forma se cierra el año con un total de 135 boletines, cantidad significativamente mayor que los publicados en años anteriores: 85 el año pasado, 106 en el 2013 y 83 en el 2012.
  • MS15-124: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 30 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web especialmente creada (CVE-2015-6083, CVE-2015-6134 al CVE-2015-6136, CVE-2015-6138 al CVE-2015-6162 y CVE-2015-6164).
  • MS15-125: Boletín "crítico" que incluye la igualmente habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan 15 vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada. (CVE-2015-6139, CVE-2015-6140, CVE-2015-6142, CVE-2015-6148, CVE-2015-6151, CVE-2015-6153 al CVE-2015-6155, CVE-2015-6158, CVE-2015-6159, CVE-2015-6161, CVE-2015-6168 al CVE-2015-6170 y CVE-2015-6176).
  • MS15-126: Boletín "crítico" que resuelve dos vulnerabilidades (CVE-2015-6135 y CVE-2015-6136) en el motor de scripting VBScript en Microsoft Windows. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web con código script especialmente creado.
  • MS15-127: Boletín considerado "crítico" que resuelve una vulnerabilidad en Microsoft Windows DNS que podría permitir la ejecución de código si un atacante envía peticiones especialmente creadas al servidor DNS (CVE-2015-6125).
  • MS15-128: Destinado a corregir tres vulnerabilidades "críticas" en Microsoft Graphics Component que podrían permitir la ejecución remota de código si se abre un documento específicamente creado o visita una web con fuentes especialmente manipuladas. Afecta a todas las versiones soportadas de Microsoft Windows, Microsoft .NET Framework, Skype for Business 2016, Microsoft Lync 2013, Microsoft Lync 2010, Microsoft Office 2007 y Microsoft Office 2010. (CVE-2015-6106 al CVE-2015-6108).
  • MS15-129: Boletín de carácter "crítico" destinado a solucionar tres vulnerabilidades en Microsoft Silverlight 5, que podrían permitir la ejecución remota de código si Microsoft Silverlight trata incorrectamente determinadas peticiones de apertura y cierre (CVE-2015-6114, CVE-2015-6165 y CVE-2015-6166).
  • MS15-130: Boletín considerado "crítico" que resuelve una vulnerabilidad de ejecución remota de código cuando Windows Uniscribe trata de forma inadecuada fuentes específicamente manipuladas (CVE-2015-6130). Afecta Windows 7 y Windows Server 2008.
  • MS15-131: Destinado a corregir tres vulnerabilidades "críticas" que podrían permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office. (CVE-2015-6040, CVE-2015-6118, CVE-2015-6122, CVE-2015-6124, CVE-2015-6172 y CVE-2015-6177).
  • MS15-132: Boletín de carácter "importante" destinado a corregir tres vulnerabilidades en la carga de librerías que podrían permitir la ejecución remota de código (CVE-2015-6128, CVE-2015-6132 y CVE-2015-6133). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1), Windows Server 2012 y Windows 10.
  • MS15-133: Boletín considerado "importante" que soluciona una vulnerabilidad de elevación de privilegios en el protocolo Windows Pragmatic General Multicast (PGM) (CVE-2015-6126).
  • MS15-134: Destinado a corregir dos vulnerabilidades "importantes" en Windows Media Center. La más grave podría permitir la ejecución remota de código si Windows Media Center abre un archivo Media Center link (.mcl) específicamente creado que referencie código malicioso (CVE-2015-6131 y CVE-2015-6127).
  • MS15-135: Boletín "importante" que resuelve cuatro vulnerabilidades en el controlador modo kernel de Windows que podrían permitir la elevación de privilegios. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1), Windows Server 2012 y Windows 10. (CVE-2015-6171, CVE-2015-6173 al CVE-2015-6175).
Recomendación
  • Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Fuente: Hispasec

APPLE. Actualizaciones para múltiples productos

Apple ha publicado actualizaciones para múltiples productos. En esta ocasión incluye iOS 9.2, tvOS 9.1, OS X El Capitan 10.11.2 y Security Update 2015-008, watchOS 2.1, Safari 9.0.2 y Xcode 7.2.
Detalle de las actualizaciones
  • iOS 9.2 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir mejoras y solución de problemas, además soluciona 50 nuevas vulnerabilidades. Los problemas corregidos están relacionados con múltiples componentes, incluyendo iBooks, ImageIO, Kernel, libc, libxml2, OpenGL, Safari, Sandbox, Security, Siri y WebKit.
  •  Por otra parte, se ha publicado OS X El Capitan 10.11.2 y Security Update 2015-008 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 y v10.11.1; destinado a corregir hasta 54 nuevas vulnerabilidades. Afectan a múltiples y muy diversos componentes, que entre otros incluyen a Bluetooth, Disk Images, EFI, iBooks, ImageIO, Kernel, libc, libxml2, OpenGL, OpenLDAP, OpenSSH, Sandbox y Security.
  • Las actualizaciones también incluyen a Safari, el popular navegador web de Apple, que se actualiza a las versiones Safari 9.0.2 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 y v10.11.1. Se solucionan 12 vulnerabilidades por problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. La actualización a Safari 9.0.2 está incluida en OS X El Capitan v10.11.2.
  • De igual forma, también ha publicado tvOS 9.1, el sistema operativo para Apple TV (de cuarta generación), que no solo incluye novedades y mejoras sino que además soluciona un total de 48 vulnerabilidades.
  • Apple también publica WatchOS 2.1, destinada a su reloj inteligente (smartwatch) Apple Watch, con la que se solucionan hasta 30 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de código arbitrario.
  • Por último, también ha publicado Xcode 7.2, el entorno de desarrollo de Apple, que corrige cuatro vulnerabilidades en Git (que se actualiza a la versión 2.5.4), IDE SCM y otools.
Más información:
Fuente: Hispasec

ADOBE. Soluciona 79 vulnerabilidades en Flash Player

Adobe ha publicado una nueva actualización para Adobe Flash Player, que en esta ocasión soluciona 79 vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.
Detalle de la actulalización
  • Prácticamente la totalidad de los problemas que se corrigen en este boletín (APSB15-32) permitirían la ejecución de código arbitrario aprovechando 56 vulnerabilidades de uso de memoria después de liberarla, dos vulnerabilidades de confusión de tipos, cinco desbordamientos de búfer, 12 de corrupción de memoria y un desbordamiento de entero. Por otra parte también se solucionan tres problemas de salto de medidas de seguridad .
  • Las vulnerabilidades afectan a las versiones de Adobe Flash Player 19.0.0.2245 (y anteriores) para Windows, Macintosh, y navegadores Chrome, Internet Explorer y Edge; Adobe Flash Player Extended Support Release 18.0.0.261 (y anteriores) para Windows, Macintosh; y Adobe Flash Player 11.2.202.548 (y anteriores) para Linux. También afecta a Adobe AIR.
  • Los CVE asignados son CVE-2015-8045, CVE-2015-8047 al CVE-2015-8050, CVE-2015-8418, CVE-2015-8454, CVE-2015-8455, CVE-2015-8055 al CVE-2015-8071, CVE-2015-8401 al CVE-2015-8417, CVE-2015-8419 al CVE-2015-8453, CVE-2015-8456 y CVE-2015-8457.
Recomendación
 Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  1. Flash Player Desktop Runtime 20.0.0.228
  2. Flash Player Extended Support Release 18.0.0.268
  3. Flash Player para Linux 11.2.202.554
Igualmente se ha publicado la versión 20.0.0.228 de Flash Player para Internet Explorer, Edge y Chrome (Windows y Macintosh).
También se han actualizado AIR Desktop Runtime, AIR SDK, AIR SDK & Compiler a la versión 20.0.0.204 (Windows, Macintosh, Android e iOS).
Más información
Fuente: Hispasec

BIND 9. Denegación de servicio

ISC ha liberado nuevas versiones del servidor DNS BIND. Esta versión corrige un error en todas las versiones de BIND 9, que podría causar una denegación de servicio a través de consultas especialmente manipuladas.
 El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
 El problema, con CVE-2015-8000, reside en el tratamiento incorrecto de respuestas entrantes que permite que algunos registros con una clase incorrecta sean aceptados en vez de ser rechazados como mal construidos. Un atacante podría provocar condiciones de denegación de servicio mediante consultas recursivas.
 Se ven afectadas todas las versiones de BIND 9 hasta BIND 9.9.8 y BIND 9.10.3.
 Se recomienda actualizar a las versiones publicadas BIND 9.9.8-P2 y 9.10.3-P2 disponibles en: http://www.isc.org/downloads
Más información:
Fuente: Hispase

XEN. Vulnerabilidades de denegación de servicio

Se ha anunciado cuatro problemas de seguridad en Xen que podrían permitir a un atacante provocar condiciones de denegación de servicio en la máquina anfitriona.
 Xen es un proyecto colaborativo de la fundación Linux centrado en la virtualización de hardware. Las tecnologías creadas son Xen Hypervisor (el estándar de virtualización del mundo del código abierto), Xen Cloud Platform (plataforma de soluciones en la red basada en la tecnología anterior) y Xen ARM, destinada a dispositivos móviles.
Detalle de las vulnerabilidades
  • El primero de los problemas, con CVE-2015-8338, reside en determinadas llamadas HYPERVISOR_memory_op no limitan adecuadamente el límite de recursos empleados. Un usuario administrativo de un sistema huésped podría emplear esta vulnerabilidad para evitar el uso de la CPU y provocar condiciones de denegación de servicio en el sistema anfitrión. Afecta solo a versiones de Xen ARM.
  • Dos vulnerabilidades se deben a un tratamiento inadecuado de errores XENMEM_exchange (CVE-2015-8339 y CVE-2015-8340). Un usuario administrativo de un sistema huésped podría provocar una denegación de servicio en el sistema anfitrión. Afecta a todas las versiones desde la 3.2.
  • Por último, un problema cuando el sistema huésped está configurado para usar un PV bootloader que se ejecute como un proceso en el espacio del usuario en el dominio toolstack puede producir una pérdida del espacio de direcciones virtuales. Esto provoca que los archivos que contienen el kernel y el disco RAM inicial sean irrecuperables. Además el proceso toolstack puede quedarse sin memoria y crearse excesivos archivos en el dominio toolstack. Un usuario local de un sistema huésped podría provocar una denegación de servicio en el sistema anfitrión. Afecta a las versiones 4.1 y posteriores. (CVE-2015-8341).
Recomendación
 Xen ha publicado actualizaciones para todos los problemas descritos. Dada la diversidad de parches y versiones afectadas se recomienda consultar los avisos de seguridad publicados, desde donde se encuentran disponibles:
  1. http://xenbits.xen.org/xsa/advisory-158.html
  2. http://xenbits.xen.org/xsa/advisory-159.html
  3. http://xenbits.xen.org/xsa/advisory-160.html
Más información:
Fuente: Hispasec

APPLE. Actualización de seguridad para iTunes

 Apple ha publicado la nueva versión de iTunes 12.3.2, destinada a corregir 12 vulnerabilidades que un atacante remoto podría aprovechar para ejecutar código arbitrario o descubrir el historial de navegación del usuario.
 iTunes es una aplicación para Mac y Windows que permite organizar y reproducir distintos formatos multimedia. Además permite sincronizar un iPod, iPhone o Apple TV.
 Todos los problemas corregidos están relacionados con WebKit, el motor de navegador de código abierto, que también forma la base de Safari. Once de los problemas podrían permitir la ejecución de código al visitar una página web específicamente creada (CVE-2015-7048 y CVE-2015-7095 al CVE-2015-7104.)
 Por otra parte, una última vulnerabilidad podría revelar el historial de navegación del usuario al visitar una página web específicamente construida (CVE-2015-7050).
Recomendación
Más información:
Fuente: Hispasec

SAMBA. Múltiples vulnerabilidades

Se han confirmado siete vulnerabilidades en las versiones actuales de Samba, que podrían permitir a un atacante provocar condiciones de denegación de servicio, acceder a información sensible, realizar ataques de denegación de servicio, acceso no autorizado o ataques de hombre en el medio.
 Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).
Detalle de las vulnerabilidades
  • El primero de los problemas (con CVE-2015-3223) reside en una denegación de servicio al tratar paquetes enviados por un cliente malicioso. Afecta a las versiones de Samba desde la 4.0.0 a 4.3.2. Otra vulnerabilidad (CVE-2015-5252) en la verificación de enlaces simbólicos podría permitir a un cliente acceder a archivos fuera de la ruta del compartido exportado. Afecta a todas las versiones de Samba desde 3.0.0 a 4.3.2.
  • Se puede realizar un ataque de hombre en el medio debido a que no se asegura la negociación de la firma al crear una conexión cifrada entre cliente y servidor (CVE-2015-5296). También se ha anunciado un fallo en el control de acceso en el módulo "vfs_shadow_copy2" (CVE-2015-5299). Ambos problemas afectan a Samba 3.2.0 a 4.3.2.
  • Un cliente malicioso podría enviar paquetes que provocarían que el servidor LDAP devuelva memoria heap más allá del valor solicitado (CVE-2015-5330). Cuando Samba está configurado para operar como AD DC en el mismo dominio con un Controlador de Dominio Windows, podría emplearse para evitar la protección contra la vulnerabilidad de denegación de servicio corregida en el boletín MS15-096 (CVE-2015-8467, la vulnerabilidad corregida por Microsoft es CVE-2015-2535). Ambas vulnerabilidades afectan a las versiones de Samba desde la 4.0.0 a 4.3.2.
  • Por último, un cliente malicioso podría provocar una denegación de servicio remota por un consumo de todos los recursos de memoria (CVE-2015-7540). Afecta a las versiones de Samba 4.0.0 a 4.1.21.
Recomendación
  • Se han publicado parches para solucionar estas vulnerabilidades en  http://www.samba.org/samba/security/
  • Adicionalmente, se han publicado las versiones Samba 4.3.3, 4.2.7 y 4.1.22 que corrigen los problemas.
Más información:
Fuente: Hispasec

GOOGLE CHROME . Actualización de seguridad

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) para corregir dos nuevas vulnerabilidades.
 Esta nueva versión de Chrome 47.0.2526.106 está destinada a corregir dos problemas de seguridad encontrados a través del trabajo de seguridad interno (CVE-2015-6792). Según la clasificación de Google, uno de los fallos está considerado crítico y el otro de gravedad alta.
 Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

SYMANTEC ENDPOINT ENCRYPTION. El cliente permite el acceso a credenciales de usuario

Symantec ha confirmado una vulnerabilid en el cliente de Symantec Endpoint Encryption (SEE) que podría permitir a un atacante obtener un volcado del contenido de la memoria que puede incluir hasta las credenciales del usuario.
 Symantec Endpoint Encryption, con tecnología PGP, proporciona a las organizaciones capacidades de cifrado de disco y soportes extraíbles. La administración permite implementaciones empresariales y ofrece elaboración de informes personalizables. Las capacidades de administración incluyen compatibilidad con cifrado de SO nativo (BitLocker y FileVault2) y unidades con autocifrado Opal.
 La vulnerabilidad anunciada, con CVE-2015-6556, puede permitir a usuario autorizado aunque sin privilegios de un sistema con Symantec Endpoint Encryption instalado forzar y acceder a un volcado de la memoria del Servicio SEE Framework, EACommunicatorSrv.exe. Esto puede permitir conseguir las credenciales almacenadas en el cliente, como las credenciales del usuario del Dominio que protegen el servicio web SEEMS (SEE Management Server). Esto podría permitir a usuarios sin privilegios acceder a otros sistemas a través de servicios web.
 Se ven afectadas las versiones Symantec Endpoint Encryption 11.0 (y anteriores). Symantec ha publicado la versión 11.1.0 que soluciona el problema, disponible desde Symantec File Connect. https://symantec.flexnetoperations.com/
Más información:
Fuente: Hispasec

LINUX. Actualización del kernel para Red Hat Enterprise Linux 7

Red Hat ha publicado una actualización (considerada importante) del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa dos nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio en entornos virtuales.
 Los problemas corregidos residen en x86 ISA (Instruction Set Architecture) puede verse afectado por un ataque de denegación de servicio dentro de un entorno virtualizado debido a un bucle infinito por el tratamiento de excepciones (CVE-2015-5307, CVE-2015-8104). Un usuario del sistema huésped podrá provocar denegaciones de servicio en el sistema anfitrión.
 También se han corregido otros ocho fallos no relacionados directamente con problemas de seguridad.
Recomendación
Más información:
Fuente: Hispasec

MOZILLA. Publica Firefox 43 y corrige 22 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 43 de Firefox, junto con 16 boletines de seguridad destinados a solucionar 22 nuevas vulnerabilidades en el navegador.
Mozilla publicó la versión 42 de su navegador hace poco más de  1 mes y ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. También publica Firefox ESR 38.5 (versión de soporte extendido) destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.
Detalle de la actualización
  •  Por otra parte, se han publicado 16 boletines de seguridad (del MSFA-2015-134 al MSFA-2015-149). Cuatro de ellos están considerados críticos, siete de gravedad alta, dos importantes, tres moderados y dos de nivel bajo. En total se corrigen 22 nuevas vulnerabilidades en Firefox.
  •  Las vulnerabilidades críticas residen en dos problemas (CVE-2015-7201 y CVE-2015-7202) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Otro fallo por un uso de memoria después de liberarla en WebRTC (CVE-2015-7210), una escalada de privilegios en APIs WebExtension (CVE-2015-7223) y un salto de la política de mismo origen al usar "data:" y "view-source:" que podrían permitir la lectura de datos de otros sitios y archivos locales (CVE-2015-7214).
  •  Además, también se han corregido otras vulnerabilidades importantes como un subdesbordamiento de entero y desbordamiento de búfer al tratar metadatos MP4 en libstagefright (CVE-2015-7222), un desbordamiento de entero al reproducir MP4 en versiones 64 bits (CVE-2015-7213), vulnerabilidades de subdesbordamiento descubiertas a través de la inspección de código (CVE-2015-7205), un desbordamiento de entero al asignar texturas de gran tamaño (CVE-2015-7212) y problemas en la asignación de variables en Javascript (CVE-2015-7204).
  •  Tras la publicación de Firefox 43.0, Mozilla ha lanzado la versión 43.0.1 con tan solo una mejora destinada a preparar el navegador para el uso de certificados firmados SHA-256.
 La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/
Más información:
Fuente: Hispasec

SUBVERSION. Actualización de seguridad

Apache ha publicado Subversion 1.8.15 y 1.9.3 destinadas a solucionar una vulnerabilidad que podrían permitir provocar denegaciones de servicio o posiblemente llegar a ejecutar código arbitrario.
 Subversion es un sistema de control de versiones Open Source, que en la actualidad pertenece a la Apache Software Foundation. Utiliza el concepto de revisión para guardar los cambios producidos en el repositorio, además de proporcionar un entorno eficiente y muy flexible.
 El problema, con CVE-2015-5343, reside en un desbordamiento de búfer basado en heap y una lectura fuera de límites provocada por un desbordamiento de entero al analizar cuerpos de peticiones skel-encoded. Esto podría permitir a atacantes con permisos de escritura en un repositorio provocar una denegación de servicio o posiblemente ejecutar código arbitrario bajo el contexto del proceso httpd. Los servidores con versiones 32-bits se ven afectados por ambos problemas, mientras que las versiones de servidor 64-bits solo son vulnerables a los ataques de denegación de servicio.
Reomendación
Más Información:
Fuente:  Hispasec

WHATSAPP . Los emojis pueden bloquearlo

Se ha anunciado una vulnerabilidad que a través del envío de una gran cantidad de este tipo de iconos puede provocar el bloqueo de los clientes de la popular aplicación de mensajería.
Hace un año dos jóvenes investigadores indios Indrajeet Bhuyan y Saurav Kar encontraron un problema en WhatsAppp, la conocida aplicación de mensajería móvil. Bastaba enviar un mensaje de 2 Kb de tamaño con un conjunto especial de caracteres para provocar la caída del WhatsApp del receptor.
 En esta ocasión Bhuyan lo vuelve a repetir. Ha descubierto que basta enviar un mensaje con unos 6.600 emoticonos para provocar la caída del cliente en versiones Android. En las versiones iOS el sistema solo se bloquea durante un tiempo, pero vuelve a funcionar. Como ya ocurría anteriormente, el usuario tendrá que eliminar toda la conversación y empezar una nueva, ya que al momento de abrirla el mensaje seguirá provocando el cierre de la aplicación, a menos que se borre completamente. La versión de Windows Phone también parece verse afectada.
Este ataque podrá ser empleado por usuarios que quieran eliminar sus conversaciones enteras con otro usuario.
 Según el investigador el problema se puede reproducir en la mayoría de las versiones de Android, incluyendo Marshmallow, Lollipop y Kitkat, y en la versión web en navegadores Firefox y Google Chrome.
 El investigador ha publicado un vídeo en el que muestra el ataque   https://www.youtube.com/watch?v=PFeFByBtIxk
 En la actualidad el problema está sin parchear y habrá que esperar una nueva actualización de WhatsApp que solucione este problema.
Más información:
Fuente:  Hispasec

JOOMLA!. Nueva actualización de seguridad

Hace apenas una semana Joomla! publicaba la versión 3.4.6 para evitar una vulnerabilidad 0-day, pero vuelve a publicar una nueva versión (3.4.7) destinada a corregir dos nuevas vulnerabilidades (una de gravedad alta). También se mejora la seguridad del controlador MySQLi para evitar ataques de inyección de objetos.
Detalle de la actualización
  • Tras la corrección de la vulnerabilidad crítica de la semana pasada, el equipo Joomla Security Strike ha seguido investigando sobre el problema. De esta forma se ha hecho evidente que la causa es un error en el propio PHP. Este fallo ya fue corregido por PHP en septiembre de 2015 con las versiones de PHP 5.4.45, 5.5.29 y 6.5.13 (esto ya estaba corregido en todas las versiones de PHP 7). Y aunque afecta a todas las versiones desde Joomla 1.5 a 3.4.6 los únicos sitios Joomla afectados por este error son aquellos en los que se encuentra alojado con versiones de PHP vulnerables. El equipo de Joomla es consciente de que no todos los sitios mantienen las instalaciones de PHP actualizadas, por lo que esta versión corrige el problema en versiones vulnerables de PHP.
  • Otra vulnerabilidad corregida reside en un filtrado inadecuado de datos que da lugar a una vulnerabilidad de inyección SQL. Afecta a Joomla 3.0.0 hasta 3.4.6.
Recomendación
Más información:
Fuente:  Hispasec

PUTTY. Desbordamiento de entero

Se ha descubierto una vulnerabilidad en PuTTY (versiones entre 0.54 y 0.65 incluidas), que pueden ser explotadas por usuarios maliciosos para comprometer el sistema de la víctima.
 PuTTY (Port unique Terminal TYpe) es una implementación libre y gratuita de los protocolos Telnet y SSH para plataformas Windows y Unix, desarrollado y mantenido principalmente por Simon Tatham.
 El problema, con CVE-2015-5309, reside en un desbordamiento de entero en el tratamiento de secuencias de control ECH (caracteres de borrado) en el emulador de terminal.
Recomendación
Más información:
Fuente: Hispase

CACTI. Vulnerabilidades de inyección SQL

Se han anunciado dos vulnerabilidades en Cacti que podrían permitir a un atacante remoto realizar ataques de inyección SQL.
 Cacti es un software especialmente diseñado para crear gráficas de monitorización mediante los datos obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas de creación de gráficas más empleado en el mundo de la administración de sistemas y puede encontrarse como parte fundamental de otros programas.
Detalle e Impacto de las vulnerabilidades
  •  Los problemas residen en una validación inadecuada de los datos introducidos por el usuario. En uno de los casos en 'graphs_new.php' falla al tratar el parámetro 'selected_graphs_array' (CVE-2015-8377); por otra parte 'graph.php' tampoco valida adecuadamente las entradas del parámetro 'rra_id' (CVE-2015-8369). Un atacante remoto podría introducir valores específicamente manipulados para ejecutar comandos SQL en la base de datos subyacente.
  •  Se han publicado pruebas de concepto que muestran los ataques. Aun no se ha publicado una versión actualizada que corrija estos problemas.
Más información:
·                 [CVE-2015-8369] Cacti SQL injection in graph.php http://seclists.org/fulldisclosure/2015/Dec/8
·                 Cacti SQL Injection Vulnerability http://seclists.org/fulldisclosure/2015/Dec/att-57/cacti_sqli%281%29.txt
Fuente: Hispasec

LINUX. Actualización del kernel para SuSE Linux Enterprise 11

SuSE ha publicado una actualización del kernel para SuSE Linux Enterprise Server 11 SP4 (en todas sus versiones). Se han solucionado diez vulnerabilidades e incluye 57 correcciones de funcionalidades no relacionadas con seguridad.
Detalle e Impacto de las vulnerabilidades
  •  El más grave de los problemas corregidos podría permitir a usuarios locales la elevación de privilegios por un fallo en arch/x86/entry/entry_64.S en plataformas x86_64 al procesar NMIs. Una denegación de servicio remota usando IPv6 RA con MTU falso. El resto de problemas podrían permitir causar condiciones de denegación de servicio de forma local, por bucl
  •  Un error en arch/x86/entry/entry_64.S en plataformas x86_64 puede permitir la elevación de privilegios al tratar NMIs. En RDS no se verifica la existencia de transporte subyacente al crear una conexión lo que provoca el uso de un puntero nulo. Una denegación de servicio remota a través de valores MTU manipulados en un mensaje IPv6 Router Advertisement (RA)
  •  Por otra parte denegaciones de servicio locales al montar sistemas de archivos ext4 en modo no-journal, en la función "slhc_init" de "drivers/net/slip/slhc.c", en el subsistema KVM, en la función "key_gc_unused_keys" de "security/keys/gc.c" a través de comandos keyctl manipulados y en la función "__rds_conn_create" de "net/rds/connection.c".
  •  Los CVE asignados son: CVE-2015-7509, CVE-2015-7799, CVE-2015-8104, CVE-2015-5307, CVE-2015-7990, CVE-2015-5157, CVE-2015-7872, CVE-2015-0272 y CVE-2015-6937.
  •  Además se han corregido otros 57 problemas no relacionados directamente con fallos de seguridad.
Recomendación
  •  Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".
Más información:
Fuente: Hispasec

CISCO. Denegación de Servicio en Cisco IOS XE

Cisco ha publicado una actualización que corrige una vulnerabilidad que afecta a a Cisco IOS XE y que permitiría un ataque de denegación de servicio en los sistemas que utilizan dicho software.,  catalogada de Importancia: 3 - Media
Recursos afectados
  • CVE-2015-6431: Cisco IOS XE Release 16.1.1
Detalle e Impacto de la actualización
  • Cisco ha publicado una actualización que corrige una vulnerabilidad que afecta a Cisco IOS XE. El fallo permitiría a un atacante provocar el reinicio del dispositivo. La vulnerabilidad se puede explotar debido a un procesado incorrecto de frames que tengan como origen una dirección MAC 0000:0000:0000. Se ha reservado el identificador CVE-2015-6431.
Recomendación
Más información
Fuente: INCIBE

TAILS 1.8. Disponible el OS anónimo

Siguiendo su propio calendario de actualizaciones, los responsables del desarrollo de The Amnesic Incognito Live System han liberado la nueva versión 1.8 de la distribución que, aunque no viene con grandes cambios, prepara el camino para la llegada de la versión 2.0.
Tails, The Amnesic Incognito Live System, es el sistema operativo basado en Linux recomendado para todos los usuarios que quieren navegar por la red de forma totalmente anónima y privada. 
El principal cambio de esta nueva versión de Tails es el cambio del cliente de correo electrónico por defecto. Mientras que hasta hace poco el cliente incluido en este sistema operativo era Claws Mail, este va a dejar de estar disponible a partir del 26 de enero de 2016 (con el lanzamiento de la versión 2.0), por lo que, para ir acostumbrando a los usuarios, esta nueva versión configura Icedove como nuevo cliente de correo electrónico por excelencia. Los responsables de Tails han publicado una guía para permitir a los usuarios de Claws Mail migrar a este nuevo cliente de correo electrónico.
El resto de cambios se centran en la actualización de paquetes:
·                 Electrum se ha actualizado de la versión 1.9.8 a la 2.5.4. A partir de ahora esta herramienta debería funcionar de nuevo en este sistema.
·                 Tor Browser se actualiza a su versión más reciente 5.0.5.
·                 El núcleo de Tor a la versión 0.2.7.6.
·                 La herramienta para conectarnos a través de la red anónima I2P se actualiza a la versión 0.9.23.
·                 Icedove se actualiza desde la versión 31.8 a la versión 38.4.
·                 Enigmail pasa desde la versión 1.7.2 a la 1.8.2.
El nuevo Tails 1.8 también cuenta con una serie de fallos reconocidos. El primero de ellos causa que las actualizaciones se instalen de forma mucho más lenta de lo normal. El segundo genera un fallo en el “modo bridge” cuando la hora del sistema está configurada de forma incorrecta. Ambos fallos, y muchos otros, serán solucionados con el lanzamiento de la versión 2.0 prevista para el año que viene
Más información
Cómo descargar o actualizar a Tails 1.8
  • Los usuarios interesados en esta nueva versión del sistema operativo pueden descargarla a partir de este mismo momento desde su página web principal.
  • Aquellos usuarios que utilicen una versión antigua de Tails y lo tengan configurado como persistente, recibirán un mensaje informando sobre la disponibilidad de esta nueva versión. También es posible forzar la actualización escribiendo en un terminal:
·                 tails-upgrade-frontend-wrapper
Fuente: Tails Boum

TINYV. Nuevo troyano que amenaza la seguridad de los usuarios de iOS

Un grupo de investigadores de seguridad ha emitido un comunicado indicando que un gran número de iPhones y iPads, la mayoría de ellos vendidos en China, se están viendo afectados por un nuevo troyano llamado TinyV
iOS es el sistema operativo móvil desarrollado por Apple que en condiciones normales es mucho más cerrado y seguro que Android ya que la compañía controla y firma todo el software oficial que se puede instalar en la plataforma. Pero cuando los usuarios quieren instalar software de terceros en sus dispositivos desactivan la comprobación de la firma mediante una técnica que se conoce como Jailbreak, rompiendo así el blindaje de seguridad de sus dispositivos.
Este troyano se distribuye a través de varias tiendas de aplicaciones piratas para el sistema de Apple donde en las aplicaciones descargadas se eliminan las opciones de pago o la publicidad de las mismas. También se utiliza como gancho para distribuir el troyano los hacks y programas de trucos para aplicaciones y juegos.
El troyano instala 4 ficheros diferentes para hacerse persistente en el sistema afectado:
  1. safemode.deb
  2. freeDeamo/usr/bin/locka
  3. freeDeamo/Library/LaunchDaemons/com.locka.plist
  4. freeDeamo/zipinstall
La mayor parte de los dispositivos afectados se encuentran en China, sin embargo, los piratas informáticos responsables ya han empezado a implementarlo en aplicaciones enfocadas a otros países.
Por el momento, este troyano solo se utiliza para anunciar su propio SDK, sin embargo, es muy probable que en poco tiempo se implementen nuevas y peligrosas funciones gracias a su naturaleza modular y a las conexiones inversas que realiza con el servidor de control que permite a los piratas informáticos instalar módulos y complementos en él de forma remota.
Solo los dispositivos iOS con Jailbreak son vulnerables
  • Aunque iOS es por lo general muy seguro, no es infranqueable ya que en varias ocasiones hemos visto que Apple ha eliminado varias aplicaciones de su propia tienda por poner en peligro los datos de los usuarios. 
  • Los usuarios que no hayan desbloqueado su dispositivo no tienen de qué preocuparse de este troyano, sin embargo, aquellos que sí que hayan hecho jailbreak es posible que estén infectados, por lo que se recomendaría actualizar y restablecer los valores de fábrica en el dispositivo para evitar que este troyano siga campando a sus anchas.
Fuente: Paloalto Networks

Android.Zbot. Troyano ladrón de datos de las tarjetas bancarias utilizando inyección de código

En esta ocasión, los expertos en seguridad han detectado un troyano bancario que se ha bautizado con el nombre de Android.ZBot.
La amenaza se detectó a principios de año y se llegó a la conclusión de que solo afectaba a los usuarios que se encontraban en territorio ruso. Con 20 servidores de control diferentes, los responsables han conseguido infectar a 52.000 usuarios. Dada la poco efectividad que han tenido las campañas, los propietarios se han visto obligados a extender la amenaza más allá de las fronteras rusas.
Sin embargo, también hay que destacar que de las 20 botnets que conformaban la red en la que se encontraban los servidores de control, solo 15 permanecen activas. Miembros de la compañía de seguridad Dr. Web han dispuesto de acceso a 5, permitiendo realizar una análisis de su actividad y las funciones que desempeñan.
Infecciones a través de una Google Play Store falsa
  • Aplicaciones de pago que son gratis o con un precio inferior. Este es el método que utilizan muchos ciberdelincuentes para que los usuarios caigan en el engaño y realicen la instalación de sus aplicaciones malware. En esta ocasión, los expertos en seguridad han dictaminado que todas las aplicaciones afectadas se encuentran en una Play Store falsa, a la que muchos usuarios acuden porque pueden encontrar aplicaciones que habitualmente son de pago totalmente gratis.
  • Sin embargo, también se ha detectado en muchos sitios web se está distribuyendo un .apk falso para instalar la tienda de aplicaciones de Google, siendo en realidad Android.ZBot. El troyano bancario solicita en un primer momento los permisos de administrador para acceder a la información del resto de aplicaciones. Si no consigue esto, comienza a crear formularios falsos que se muestran sobre los menús de las aplicaciones legítimas para que los usuarios piquen y caigan en el engaño.
Extendiendo las aplicaciones que se ven afectadas por Android.ZBot
  • En un principio solo estaba preparado para afectar a las aplicaciones de las entidades rusas. Sin embargo, los expertos en seguridad de Dr. Web han encontrado que los ciberdelincuentes se encuentran en la actualidad en pleno proceso de adaptación de la amenaza a muchas de las entidades europeas.
  • Lo mejor para evitar este tipo de prácticas es descargar aplicaciones solo desde las tiendas de aplicaciones oficiales, en este caso, la Google Play Store.
Fuente:Softpedia

EDGE. ¿ Más rápido y seguro que Internet Explorer ?

Expertos en seguridad han descubierto que la seguridad de Edge es muy similar a la de su predecesor.
Microsoft aseguró que su nuevo navegador web no solo supondría una mejora en lo referido a la utilización de los recursos del sistema, sino también en lo referido a la seguridad del mismo. 
Pero un análisis por parte de expertos en seguridad de las últimas actualizaciones publicadas de uno y de otro demuestra que por el momento ambos comparten vulnerabilidades. Esto se puede traducir en que el nuevo navegador web de los de Redmond es igual de vulnerable que el anterior y lo más importante, se cometen (o al menos de momento) los mismos errores.
Los parches de seguridad publicados este mes consisten en resolver 15 vulnerabilidades en el anterior y 11 en el actual, por lo que solo 4 no existen en Edge y que sí podemos encontrar en su predecesor.
Microsoft confirma que comparten gran parte de código
  • Al menos desde la compañía no han negado algo que resulta tan evidente, y confirman que hay fallos comunes en ambos navegadores web. Sin embargo, lo que no se sabía es que los navegadores compartían gran parte del código. 
  • Es decir, en un principio se confirmó por parte de la compañía la creación de un navegador totalmente nuevo que mejoraría a Internet Explorer. Pero de buenas a primeras nos encontramos con que la propia compañía confirma que el “nuevo” navegador comparte gran parte de código con Internet Explorer.
  • Los expertos en seguridad no pueden cuantificar el código e identificar en qué parte se encuentra, pero desde Microsoft insisten en que se ha seleccionado el mejor código.
  • Por el momento, lo que sí está claro es que veremos muchas actualizaciones de seguridad compartidas entre los dos navegadores.
Fuente: MalwareTips

NEMUCOD. El malware que realiza la instalación de TeslaCrypt

Se ha descubierto que existe un virus conocido con el nombre de Nemucod que está distribuyendo este ransomware cuando infecta el equipo Windows.
Tal y como ya sabemos, este se instala en el equipo y realiza el cifrado de los archivos que se encuentran en las carpetas más típicas, evitando el acceso y modificando el fondo de escritorio para que el usuario sea consciente de lo sucedido. Además, se indican las instrucciones para llevar a cabo la recuperación de los archivos de forma satisfactoria, solicitando el pago de la cantidad requerida para ofrecer la clave. Sin embargo, esto nunca sucede y los usuarios no sol pierden el acceso a los datos, también el dinero que se pagado en forma de criptomoneda la mayoría de las veces, evitando dejar huella de las transacciones.
Sin embargo, esto ha cambiado y ahora no se distribuye el ransomware de forma directa, recurriendo a otros programas maliciosos que serán los encargados de llevar a cabo la instalación del mismo y comprobar la seguridad existente en el sistema.
Nemucod se distribuye entre los usuarios haciendo uso de correos electrónicos spam con temática muy variada, pero con una clara intención: llamar la atención de los usuarios y forzar que estos realicen la descarga del ejecutable adjuntado.
Una vez instalado en el sistema utiliza funciones JavaScript para realizar la descarga de otro ejecutable que en esta ocasión sí será el de TeslaCrypt.
Nemucod y la llegada de software no deseado
  • En esta ocasión, y al menos de momento, este solo facilita la llegada de uno de los ransomware más utilizados durante el último año, aunque no sería para nada descabellado pensar que los ciberdelincuentes lo utilizarán para instalar más virus informáticos en el equipo afectado.
  • Italia, Alemania, Polonia y Reino Unido con algunos de los países que ya se han visto afectados por esta campaña spam. Teniendo en cuenta que solo lleva dos días activa, en las próximas semanas llegará a muchos más países. Dado el poco tiempo de actividad aún no existe un reporte oficial de usuarios que se encuentran afectados.
Fuente: Softpedia

XRTN. El ransomware que cifra los archivos y se distribuye a través de un Word

Los ciberdelincuentes han creado un nuevo virus informático que cifra los archivos de los usuarios y que lo han bautizado como XRTN, adquiriendo muchas de las características de ValueCrypt.
Hay que tener en cuenta que el segundo apareció por primera vez el pasado mes de marzo, asignándole una visibilidad muy diferente durante el transcurso de los meses. El primer aspecto que tienen en común es que utilizan el cifrado RSA-1024. También es muy similar el proceso de notificación al usuario de que existen ciertos archivos que han sido cifrado y que para recuperar su acceso debe abonar cierta cantidad de dinero.
Sin embargo, si hacemos mención al proceso de infección aquí es donde comienzan a diferenciarse. Esta nueva variante no llega de forma directa al equipo, sino que el usuario realiza la descarga de un documento Word que posee una macro. Teniendo en cuenta que estas se encuentran deshabilitadas, los ciberdelincuentes se las agencian para que los usuarios las activen y así ejecutar el código JavaScript. Este será el encargado de realizar la descarga del ejecutable que procederá a instalar XRTN.
Se trata de una técnica que se utiliza con algunas versiones de TeslaCrypt, con la única diferencia de que en vez de utilizar un documento de la suite de ofimática Microsoft Office se utiliza directamente otro malware al que se le atribuyen otras funciones, como por ejemplo, comprobar el nivel de seguridad del equipo.
XRTN no utiliza servidor de control
  • A diferencia de otros ransomware que almacenan de forma remota las claves de cifrado, en esta ocasión se produce el almacenamiento de forma local en cada uno de los equipos infectados, utilizando el archivo XRTN.key para guardar la clave utilizada. Expertos en seguridad también han conseguido crear un listado con los archivos que son sensibles a verse afectados por este: .xls, .xlsx, .doc, .docx, .pdf, .rtf, .cdr, .psd, .dwg, .cd, .mdb, .1cd, .dbf, .sqlite, .jpg, y .zip. Sin embargo, que la clave de almacene en el equipo no sirve de nada, ya que se necesita la clave privada que se encuentra en propiedad de los ciberdelincuentes.
  • Por el momento no existe una herramienta que permita recuperar los archivos, por lo tanto, la única posibilidad que es más o menos fiable es recurrir a copias de seguridad, ya que el pago de la cantidad de dinero solicitada no es recomendable.
Fuente: Softpedia

DROPBOX Y GOOGLE+. Utilizados para distribuir una campaña spam

Los ciberdelicuentes utilizan la imagen de Dropbox y Google+ para campañas spam que se están distribuyendo de forma agresiva, permitiendo al cibercrimen  ganar dinero por visitas a determinadas páginas.
Expertos en seguridad de la compañía Symantec los que se han percatado de la táctica que se está utilizando desde hace poco tiempo. Por suerte para los usuarios ni el contenido de los mensajes ni las páginas a las que son redirigidos distribuyen malware, por lo que equipos y los datos están a salvo. Los ciberdelincuentes no buscan infectar los ordenadores sino hacerse de oro gracias a las visitas de los usuarios a unas determinadas páginas propiedad de estos.
En el caso de Dropbox, la mayoría conocemos que al invitar a un usuario a visualizar el contenido de una carpeta este recibe un mensaje en una cuenta de correo electrónico facilitada en el que se indica todo lo necesario, existiendo un enlace que permite el acceso directo a dicha carpeta.
Teniendo en cuenta que las direcciones desde las que se generan este tipo de mensajes se encuentran en listas blancas de correo y no se catalogan como spam, los ciberdelincuentes están utilizando no-reply@dropbox.com para distribuir estos mensajes falsos.
Dropbox y Google+ utilizadas para difundir mensajes spam
  • Los ciberdelincuentes también se valen de la red social Google + y de todos los servicios que aglutina para enviar a la dirección de correo del usuario este tipo de mensajes invitando a que se visite este contenido. Evidentemente, los propietarios es lo que buscan, ya que de estas páginas son propietarios. Páginas para adultos, sitios de citas y así hasta completar una larga lista de sitios en los que los propietarios no solo reciben una retribución por las visitas, ya que esta se ve incrementada si además de acceder al contenido los usuarios proceden al registro.
  • Aunque no está del todo claro, además de las ganancias en materia de publicidad, es más que probable que los datos solicitados por los usuarios finalmente acaben en el mercado negro, sobre todo las direcciones de correo electrónico y los números de teléfono, datos con un gran atractivo para los ciberdelincuentes.
Fuente: Softpedia

SLEMBUNK. El troyano que afecta a Android y crea formularios de inicio de sesión falsos

Expertos en seguridad de la empresa FireEye han sido los encargados de descubrir y analizar este troyano bancario que por el momento solo está afectando a los usuarios que poseen dispositivos Android. 
La metodología utilizada por los propietarios muchas veces es centrar sus esfuerzos en un territorio, de tal forma que al no conseguir más infecciones poco a poco Internet hace el trabajo y la amenaza se extiende de forma paulatina. Sin embargo, desde un primer momento los usuarios afectados han estado muy repartidos y hay que decir que existe alguno en nuestro país.
Aunque desde FireEye afirman que la prioridad es para las entidades estadounidenses y australianas, es algo que no está quedando reflejado a nivel de infecciones.
El troyano bancario está muy elaborado y pensado para que pueda servir para todas las entidades sin la necesidad de invertir mucho tiempo de desarrollo. Cuando este se instala en el dispositivo Android, se ejecuta en segundo plano a la espera de que el usuario haga uso de alguna aplicación perteneciente a alguna entidad bancaria o red social. En ese momento, podría decirse que la aplicación abandona el letargo y superpone su formulario con respecto al de la aplicación original, permitiendo de esta forma que el usuario introduzca los datos en las cajas de texto incorrectas y así proceder a su robo.
Aunque estiman que solo posee un mes de vida, ya existen más de 170 variantes y confirman que su código es capaz de mutar y actualizarse para añadir nuevas funcionalidad, algo por lo que se han mostrado preocupados los expertos en seguridad.
¿Cómo se distribuye esta amenaza?. 
  • Al navegar por determinadas páginas, el usuario recibe notificaciones relacionadas con una actualización de Flash Player para visualizar el contenido de forma correcta. 
  • Al pulsar en estos avisos comienza la descarga de un .apk que a priori debería ser esta nueva versión. Sin embargo, esto no es así, y el usuario lo que en realidad está instalando es el troyano bancario que nos ocupa.
  • Además de todo lo anterior, se sabe que no instala más aplicaciones y que se puede eliminar de forma sencilla haciendo uso de Gestor de Aplicaciones disponible en los dispositivos Android.
Fuente: Softpedia

MICROSOFT. Mejora su SmartScreen y lo hace compatible con su navegador Edge

 Microsoft se ha visto obligada a desarrollar una capa de seguridad adicional en su sistema operativo capaz de identificar el software malicioso que se intente ejecutar sin permite en el sistema operativo y bloquearlo para evitar comprometer la integridad del sistema.
Esta capa de seguridad, llamada SmartScreen, aplica al sistema operativo una capa de seguridad adicional capaz de bloquear una serie de ataques de red mientras los usuarios hacen uso del sistema operativo y del software que, por defecto, se ejecuta en este. Hasta hace poco, esta capa de seguridad solo afectaba al software del sistema operativo, bloqueando así el software peligroso que se intentaba ejecutar, pero sin ir mucho más allá.
Recientemente, Microsoft ha actualizado SmartScreen para ser capaz de ofrecer a los usuarios una capa de seguridad mucho más elevada e inteligente. Por ello, a partir de ahora esta capa de seguridad detectará y bloqueará la mayor parte del software malicioso que se intente ejecutar en el ordenador a través de los navegadores de la compañía, Internet Explorer y Microsoft Edge.
Entre las mejoras que ha implementado Microsoft en esta capa de seguridad podemos destacar una protección contra los ataques drive-by, donde los piratas informáticos ejecutan, de forma totalmente automática y desatendida, scripts de terceros a través de la publicidad, plugins como Java o Flash o de los hacks de páginas web sin que el usuario sea consciente de ello, por ejemplo, para aprovechar una vulnerabilidad de día cero en el sistema operativo.
También, para evitar que SmartScreen moleste a los usuarios y estos terminen por desactivarlo, esta capa de seguridad se encargará de identificar el elemento de la página web peligroso y bloqueará su carga, permitiendo que el resto de la web cargue sin problemas, a diferencia de lo que ocurría hasta ahora, donde se bloqueaba la carga completa de la aplicación o web.
Aunque las medidas de seguridad siempre son bienvenidas, Microsoft ha anunciado que no todos los usuarios de sus navegadores podrán disfrutar de ellas. El nuevo SmartScreen solo será compatible con la última versión de Internet Explorer, la 11, y con su nuevo navegador Microsoft Edge. Los usuarios de las versiones anteriores de Internet Explorer, incluido el Internet Explorer 9 de Windows Vista, se quedarán sin esta nueva característica.
Fuente: gHacks

CIBERATAQUES. Comprometen la seguridad de Deluge, qBitTorrent y SumoTorrent

Ultimas informaciones aountan a que varios sitios web se habrían visto comprometidos, encontrándose entre ellos Deluge, SumoTorrent y qBitTorrent, viéndose afectada la información de los usuarios.
Todos los sitios web elegidos poseen miles de usuarios y algo que afecta de forma común a todos es que la seguridad no es la mejor, existiendo la posibilidad de que los datos de los usuarios se vean expuestos. Aunque aún no está confirmado, los datos que se habrían visto afectados serían los correos electrónicos, nombres de usuario y contraseñas de acceso a los servicios.
Por el momento solo estos tres sitios web mencionados con anterioridad han confirmado que su seguridad se ha visto comprometida. El resto, tal y como se puede observar a continuación, aparece en un listado que ha sido publicado por el propio grupo de hackers que ha llevado a cabo los ataques, conocido con el nombre de Databoss.
Sin ir más lejos, el equipo del sitios web Deluge ha dejado fuera de servicio la web como medida de seguridad y verificar si este se había visto afectado por el hackeo, algo que fue confirmado minutos más tarde. Desde el equipo de este servicio han recomendado a los usuarios modificar la clave de otros servicios si coincidía con la existente en este, evitando que otros servicios puedan verse afectados. Y es que cada vez son más los usuarios que por comodidad utilizan la clave de su correo electrónico para proteger otros servicios. Esto es un error, ya que si algún servicio se ve comprometido los ciberdelincuentes podrían acceder a otros servicios.
La verdad es que la información es bastante difusa, ya que qBitTorrent y Deluge confirman el problema de seguridad, algo que por ejemplo no han hecho desde SumoTorrent, añadiendo que no han detectado ningún acceso no autorizado y que la actividad del portal continuará de forma normal.
Fuente: TorrentFreak