vulnerabilidad

Corregido fallo XSS en PHPMyAdmin

por

El equipo de desarrollo de phpMyAdmin ha informado el lanzamiento de las versiones 3.4.4 y 3.3.10.4 de su herramienta de administración de bases de datos. Estas actualizaciones vendrían a corregir un agujero de seguridad (CVE-2011-3181) que supondría un posible fallo XSS.

El fallo descubierto por Norman Hippert y se desencadena por una incorrecta gestión de entrada en el nombre de tablas, columna e indice lo cual podría permitir que en caso de éxito un atacante podría logearse en el sistema phpMyAdmin. De las versiones 3.3.0 a la 3.4.3.2 se verían afectadas por este fallo considerado serio por los desarrolladores, y se recomienda encarecidamente la actualización a la versiones 3.3.10.4 o 3.4.4 para solucionar los problemas. Por supuesto, también existen parches que podrían solucionar el fallo sin necesidad de actualizar la versión.

Las versiones 3.4.4 y 3.3.10.4 está disponibles en la página de descargas del phpMyAdmin. Y si queréis más información sobre las actualizaciones pueden encontrarse en los anuncios de los lanzamientos de ambas versiones, la 3.4.4 y la 3.3.10.4.

 

Vulnerabilidad en WebOS 3.0 permitiría robo de datos

por

Tal y como han revelado los expertos en seguridad Orlando Barrera y Daniel Herrera, WebOS 3.0 sería vulnerable a ataques XSS (Cross Site Scripting) en la aplicación contactos. De esta forma sería posible insertar codigo HTML o JavaScript malicioso en algunos de los campos de la aplicación de contactos, lo cual permitiría a un atacante acceder a la base de datos de la aplicación de contactos (y con ello a las direcciones de email, mensajes y nombres almacenados).

La compañía HP ha declarado que se está trabajando en una solución que en principio ya ha sido identificado en la próxima actualización debería ser solucionado. Mientras tanto, la recomendación que se hace es no aceptar registros de contactos de fuentes desconocidas que podrían comprometer la seguridad de la información almacenada en nuestro dispositivo. Un ligero revés, para WebOS cuando no está sino empezando a despegar…

 

Crecimiento exponencial de amenazas para OSX

por

Ya venimos algún tiempo comentándolo. La seguridad en la plataforma OSX va poniéndose cada vez más en entredicho a medida que aumenta la popularidad y es que cada vez son más las amenazas destinadas al sistema operativo de Apple. En mayo, la compañía de la manzana Admitía por primera vez la existencia de un falso antivirus, bajo nombre MacDefender y ofrecía una actualización para evitar sus efectos.

Pues bien, según desvela un informe de Trend Micro, esta clase de amenazas que tratan de engañar al usuario están proliferando en las últimas semanas. En poco tiempo (apenas un mes) los sitios web donde se distribuye este malware han recibido cerca de 300 millones de accesos, siendo el 7,3% desde equipos Mac. Las redes sociales como facebook también están aportando su granito de arena, ya que desde ellas se están produciendo la distribución de bastantes programas maliciosos (estaríamos hablando del caso de OSX_DEFMA.B). Si bien este tipo de ataques no es nuevo, llama la atención por la rapidez con la que crecen los nuevos programas dañinos pensados para la plataforma OSX.

Según Trend Micro, el siguiente gran objetivo de los ciberdelincuentes no es otro que el de los sistemas operativos para dispositivos móviles, como es el caso de Android, Windows Phone, BlackBerry o iOS, un mundo de gran popularidad pero en el que la seguridad todavía no se encuentra lo suficientemente madura. Así pues, toca seguir manteniendo los ojos bien abiertos, independientemente de la plataforma que utilicemos.

 

Actualización de Java para OSX crítica

por

Se ha detectado un fallo de seguridad muy importante en la versión de Java para los ordenadores con OSX y para evitar problemas mayores apple ha publicado las correspondientes actualizaciones para solucionarlo. El fallo permitiría a un atacante ejecutar código arbitrario fuera del sandbox de Java para lo cual bastaría con que el usuario accediese a una página web con un applet de Java que permita explotar dicha vulnerabilidad. Esto permitiría al atacante conseguir  los privilegios del usuario que visitase la página con el applet malicioso (y como en muchos casos dicho usuario tendrá permisos de Administrador la cosa es delicada)

Los componentes afectados directamente por las vulnerabilidades críticas son ATS, ColorSync, CoreFoundation, CoreGraphics, ImageIO. Apple también advirtió sobre fallos de seguridad en MobileMe, MySQL, OpenSSL, QuickLook y QuickTime.

La actualización está disponible para sistemas Mac OS X v10.6.6 y Mac OS X v10.5.8 y es recomendable que se actualice la versión de Java cuanto antes para evitar posibles problemas (una vez más, y últimamente parecen extenderse bastante en la plataforma mac). A continuación tenéis los enlaces de descarga de las dos actualizaciones según la versión del sistema OSX instalado.

Java for Mac OS X 10.6 Update 5Java for Mac OS X 10.5 Update 10

 

Problemas de seguridad en foros y otros servicios de WordPress.org

por

Según informan en el blog de WordPress debido a un posible fallo de seguridad se ha forzado un reseteado de las contraseñas de los servicios en WordPress.org: los foros, el trac, bbPress.org o BuddyPress.org. El motivo es que según parece algunos populares plugins como AddThis, WPTouch y W3 Total Cache podrían tener puertas traseras. Aún están investigando estos posibles problemas y la posibilidad de que haya otras desagradables sorpresas. Mientras tanto que siguen las investigaciones se ha bloqueado el acceso a estos plugins en sus versiones antiguas e invitan a actualizarlos lo antes posible. También puede ser un buen momento para cambiar nuestras claves de usuario de WordPress (especialmente si son las mismas que las utilizadas en otros servicios), siempre es preferible prevenir.

 

Adios autorun, adios software malicioso

por

La función de Autorun viene acompañando a Windows desde hace mucho tiempo, siendo durante este tiempo, una de las principales fuente de infección de los equipos informáticos. El autorun permitía que al conectar algún dispositivo externo al ordenador (veanse memorias USB principalmente), se pudiese ejecutar algún comando, circunstancia que aprovechaban muchos virus para infectar las memorias USB y aprovechar este medio como forma de propagación. Así pues, durante mucho tiempo ha sido una gran fuente de problemas para los sistemas de Windows, así pues desde Microsoft se tomo la decisión de eliminarlo. Así es como este año llegó la actualización que eliminaba esta función de los equipos con Windows, el Autorun había pasado a mejor vida. Y parece que con el, una gran fuente de infecciones. Según desvela Microsoft en un informe, la reducción en la incidencia de este tipo de Malware podría haber llegado hasta el 82% (en el caso de Windows Vista SP2). Parece claro que Microsoft ha tenido éxito y ha dado un duro golpe con este cambio, así que bienvenido sea. Esto unido a que el aumento de servicios de almacenamiento online (como Dropbox muy extendido en la actualidad) que han reducido el uso de los dispositivos USB para llevar datos entre ordenadores, está contribuyendo a que la tendencia de este tipo de infecciones sea a la baja.

Siguen las vulnerabilidades en Flash Player

por

Esta semana pasada se ha publicado la versión 10.3.181.23 de Adobe Flash Player que viene a solucionar un fallo de seguridad considerado importante y que afectaría a los usuarios de las versiones 10.3.181.16 y anteriores en Windows, Mac, Linux y Solaris, y a las versiones 10.3.185.22 y anteriores en el caso de Android. Esta nueva versión permitiría corregir una vulnerabilidad cross-site scripting (XSS), con el cual se envian ataques para intentar que los usuarios hagan click en un enlace malicioso. Así pues, y como en otras ocasiones os recomendamos que actualicéis la versión de flash desde la web de Adobe lo antes posible para tratar de mantener vuestro sistema lo más seguro posible.

Fallo de seguridad en Skype para Mac

por

SkypeQuizás solo sea una casualidad, pero últimamente la plataforma Mac esta siendo referida en más ocasiones de las habituales por posibles agujeros de seguridad, cosa que hasta hace bien poco era algo casi anecdótico ya que pocas veces se daban. Parece cada vez más evidente, que el reciente auge de la plataforma Mac puede estar influyendo en que sea un objetivo cada vez más interesante para los ataques. Pues bien, así es que en esta ocasión se ha reportado un fallo en la aplicación de VoIP Skype, en su cliente para Mac únicamente, por el cual, con un mensaje adecuadamente manipulado podría conseguirse el control del equipo atacado. Este fallo solo funciona con los mensajes de los contactos por lo que al menos el fallo no tendría tanta facilidad para extenderse. En Skype han anunciado que en una semana pondrán a disposición de los usuarios de Mac una actualización, así que si utilizáis este programa en vuestros equipos Mac, no dejéis de comprobar si ya se ha publicado la actualización en los próximos días.



Actualizaciones de seguridad de Adobe

por

Los productos de Adobe muy extendidos suelen ser objeto de muchos ataques, así pues cualquier vulnerabilidad detectada en estos se convierte en algo importante de solucionar para evitar males mayores. La semana pasada Adobe informaba de ciertos fallos de seguridad que afectaban a Flash Player y Adobe Air y hoy han publicado las actualizaciones que corrigen estos fallos. Así pues cabe recomendar a todo el mundo que actualice estos programas en caso de tenerlos instalados en sus ordenadores a la mayor brevedad posible.