AMD presentará nettops con procesador Neo incorporado

La plataforma utraportátil de AMD, conocida como Neo, siempre fue vista como un probable rival para el poderoso procesador Atom de Intel en el sobresaturado mundo de las netbooks. Pero desde su debut en enero, el sistema en ningún momento levantó vuelo. Hasta ahora, tan solo apareció en unas pocas máquinas, y ninguna de ellas logró destacar por encima de las alternativas basadas en Atom.

all-in-one-pc-side

Sin embargo, este tipo de chips que hasta ahora fueron pensados para laptops ultralivianas, delgadas y livianas, encontrarían su lugar en las pequeñas nettops. Este tipo de dispositivos, todo-en-uno, encontró siempre clientela entre los consumidores que buscan ofertas y AMD no quiere perder la oportunidad de competir en este tipo de mercado. De acuerdo con Bob Grim, director de marketing de la compañia, Neo tiene un mejor desempeño que el Atom, y los gráficos son superiores. Incluso aseguró que una plataforma con Neo integrado es capaz de reproducir Blu-rays y de ejecutar juegos.

En un mercado en donde dominan los procesadores de Intel  será interesante observar cómo hará AMD para imponer su nuevo chip y ganar algo del terreno perdido.

Fuente:Grupo Geek

Read More

La Beta 3 de Thunderbird 3 ya está disponible para descarga

Thunderbird 3 Beta 3Mozilla acaba de lanzar la Beta 3 de la nueva versión del cliente de correo Thunderbird. En este caso, las novedades siguen la misma senda de lo que vimos en la Beta 2: mayor integración con Gmail mediante IMAP y mejoras en la interfaz.

Desde el punto de vista de la UI, lo más interesante es que los mensajes ahora se abren en pestañas dentro de la misma ventana principal de Thunderbird, y que, al igual como sucede en la mayoría de los navegadores, estas nuevas pestañas pueden abrirse en segundo plano si hacemos clic en el mensaje con el botón medio del ratón. Lo mejor de todo es que cuando cerremos Thunderbird se guardarán las pestañas que tengamos abiertas, y se restaurarán la próxima vez que lo abramos.

Read More

Microsoft libera tres drivers para el kernel de Linux

Windows Server 2008 Sí, en serio, Microsoft sorprendió ayer a propios y extraños liberando 20.000 líneas código bajo licencia GPL v2, correspondientes a tres drivers. Si bien la función de estos drivers es optimizar la ejecución de Linux al ser virtualizado sobre Windows Server 2008 Hyper-V, es decir, que corra mejor sobre Windows, supone la primera publicación de código bajo GPL por parte de los de Redmond.

Todo comenzó cuando un usuario en el Vyatta solicitó soporte para el driver de red de Hyper-V en el kernel Vyatta. Con un poco de búsqueda era fácil encontrar los drivers necesarios, pero una vez visto en detalle había un problema y gordo: el driver tenía parte código abierto bajo la GPL y un enlace estático a varias partes binarias. Ya que la GPL no permite mezclar código abierto y cerrado, esto era una violación de la licencia.

Sin formar mucho escándalo, Steve Hemminger comentó el tema a Greg Kroah-Hartman, que mantiene una relación directa con Novell, que a su vez tiene un trato (digamos) directo con Microsoft, con la esperanza de que el asunto llegara a las personas adecuadas y tomaran medidas. El acto de fe ha producido un resultado desde luego interesante, porque supone muchas cosas:

Read More

Confirmado el 0-day para Adobe Reader, Acrobat y Flash Player

El día 21 se publicó en el blog del PSIRT de Adobe una breve nota en la cual se informaba que estaban investigando una vulnerabilidad en Reader, Acrobat y Flash Player. Symantec habría publicado un breve análisis sobre la explotación de esta vulnerabilidad y un día después Adobe confirma la vulnerabilidad como crítica para las versiones de sus productos afectados en sistemas Windows, Unix y Mac.

El equipo de analistas de Symantec recibió un documento PDF especialmente manipulado para ejecutar código (que ellos identificaron como Pidief.G) que al ser abierto infectaba al equipo con un troyano.

Al efectuar el examen del proceso de explotación del lector de Adobe, observaron que la vulnerabilidad no se hallaba donde suponían, en el lector, sino en el reproductor Flash.

El lector PDF llama al reproductor Flash si encuentra contenido en dicho formato dentro del documento PDF y es entonces cuando se produce la explotación de la vulnerabilidad sobre el reproductor Flash. El documento PDF es un medio para llegar al reproductor y en principio no se trataría de una vulnerabilidad transversal, que afecte a varios productos de manera independiente sino que tanto Acrobat como Reader contienen la librería “autoplay.dll” encargada de gestionar con el reproductor el contenido Flash.

De hecho incluso la misma vulnerabilidad podría estar siendo explotada a través de una página web con un archivo swf especialmente manipulado.

Adobe recomienda activar el UAC en Windows Vista en particular y, como contramedida, borrar el archivo “autoplay.dll” que se encuentra en los directorios de instalación de Reader o Acrobat en sistemas Windows en general.

Según Adobe, el día 30 de julio se dispondrá de una actualización de seguridad de Flash Player para todos los sistemas a excepción de Sun Solaris y el 31 de julio se dispondrá de la correspondiente para Adobe Reader y Acrobat para Windows y Mac y deja pendiente de fecha la publicación de una solución para sistemas UNIX.

Fuente:Noticias Hispasec

Read More

Cross site scritpting en MediaWiki

Se ha encontrado un fallo de validación de entrada en la función “getContribsLink” del fichero SpecialBlockip.php. Esto podría permitir a un atacante remoto sin privilegios ni la ejecución de ataques XSS (Cross-Site Scripting) en MediaWiki.

MediaWiki es un proyecto de código abierto que proporciona un motor libre de carácter colaborativo editable por los usuarios, lo que se conoce habitualmente como un wiki. El principal baluarte y ejemplo más representativo de esta plataforma es la enciclopedia libre, la Wikipedia, si bien muchos usuarios emplean MediaWiki para conformar sus propios motores colaborativos.

SpecialBlockip.php se usa para bloquear IPs y usuarios, este script hace una llamada a la función “getContribsLink” sin escapar debidamente las variables de entrada. Esto podría facilitar que un atacante ejecutase código arbitrario HTML y/o script en el contexto de la sesión de navegación del usuario. Esto le permitiría mostrar contenidos ilegítimos en páginas legítimas o acceder a información del usuario.

El problema, de carácter moderadamente crítico, requiere la actualización a las versiones liberadas para tal efecto. El problema afecta a las dos ramas de MediaWiki en funcionamiento, la 1.4.0 y la 1.5.0, con lo que se recomienda a los administradores la actualización con carácter inmediato a las versiones 1.14.1 y 1.15.1, que además solucionan otros fallos. En caso de requerir asistencia, los administradores MediaWiki pueden acudir al soporte comunitario a través de IRC, en el canal #mediawiki de irc.freenode.net

Fuente:Noticias Hispasec

Read More

Adobe distribuye una versión vulnerable desde su página oficial

Desde la página oficial de Adobe “Get Reader” los usuarios pueden descargar la última versión 9.1 del lector de PDF. El problema es que esta versión tiene 14 fallos de seguridad. Están solucionados, y existe versión que los corrige, pero Adobe confía (sin advertirlo

explícitamente) en que sean los propios usuarios los que, tras la descarga, actualicen manualmente el lector.

Después de la versión 9.1, Adobe publicó la 9.1.1, e incluso más tarde, la 9.1.2 para solucionar graves problemas de seguridad. Pero no las distribuye para usuarios de Mac y Windows. Para usuarios de Linux, sin embargo, sí que se puede descargar directamente la versión 9.1.2. El sistema de actualización de Adobe se ejecuta por defecto una vez a la semana, con lo que, si el usuario no se percata de que acaba de descargar una versión vulnerable, no obtendrá la última actualización hasta una semana más tarde desde su descarga. Este es el escenario más probable, puesto que es lógico pensar que los usuarios concluyan que acaban de descargar la última versión no vulnerable cuando acuden al sitio oficial si no son advertidos de lo contrario. Pero no es así.

Varios usuarios descargaron la última versión de Reader desde el sitio oficial de Adobe, y ejecutaron la herramienta PSI (Personal Security

Inspector) de Secunia para comprobar si en su sistema existía algún software vulnerable. Lo que en principio parecía un fallo de detección del programa, ha sido ahora confirmado. Descargaban la versión 9.1 vulnerable.

Un parche o versión corregida que no se ha difundido oficialmente, no es un parche real. Una política mucho más correcta hubiese sido, o bien ofrecer directamente para descarga directa las versiones no vulnerables, o bien obligar, una vez descargado, a ejecutar automáticamente el actualizador durante la instalación, para que los parches sean aplicados. A efectos prácticos, Adobe estaba abriendo deliberadamente una ventana de tiempo en el que permitía que sus clientes se mantuviesen vulnerables a ataques que están siendo aprovechados activamente.

Normalmente a través de ficheros PDF especialmente manipulados, y que permiten la ejecución de código en el sistema.

Esta actitud solo sería “permisible” cuando el parche no está convenientemente probado. Esto es, que no introduzca errores de inestabilidad, que solucione todos los vectores por los que una vulnerabilidad puede ser aprovechada, que no exija recompilación, etc.

Esto ocurrió, por ejemplo, con la penúltima vulnerabilidad en Firefox.

Aunque el problema estaba localizado e incluso existían versiones en desarrollo no vulnerables, Firefox ofreció durante días la versión vulnerable en su página oficial hasta que integró la solución en una nueva versión. Pero cuando el parche está más que aprobado, e incluso ya integrado en nuevas versiones, no hay excusas para retrasar su aplicación.

No se entiende esta política de Adobe, que anda despistado intentando implantar nuevas políticas de seguridad, pero parece que debe todavía aprender mucho al respecto.

Fuente:Noticias Hispasec

Read More

Symbian firma criptográficamente como válido un troyano

Symbian Foundation ha admitido que un troyano se ha colado en su proceso de validación de software y ha sido firmado criptográficamente para ejecutarse en su sistema operativo, lo que garantiza que proviene de una fuente confiable y que tiene total acceso a los recursos del dispositivo que lo aloje.

El troyano en cuestión se hace llamar “Sexy Space”. Craig Heath, jefe de seguridad de Symbian, admitió que este software pasó los controles y fue firmado digitalmente como “garantizado” por la propia Symbian. Symbian sigue el mismo proceso que muchas plataformas hoy en día (iPhone,

Wii…): firma criptográficamente cada programa como garantía de que ha pasado unos mínimos controles de procedencia. El problema es que en ese proceso de comprobación de los programas, al parecer se ha colado un troyano y Symbian lo ha firmado como válido para ejecutarse en su sistema operativo. Cabe recordar que las firmas validan siempre la procedencia, (el firmante se hace responsable del contenido) pero la firma no garantiza cómo o qué hace exactamente un programa.

Lo extraño es que esto no haya ocurrido antes, teniendo en cuenta el proceso que sigue una aplicación para ser validada por Symbian. Primero lo analizan con un antivirus automáticamente. Una vez han pasado por esta prueba, solo algunas muestras aleatorias pasan a ser comprobadas por auditores humanos. Lo que ocurrió es que el troyano pasó desapercibido para los motores antivirus (lo que no es ninguna sorpresa) y no tuvo la “suerte” de pertenecer al grupo de programas analizados por auditores.

Symbian Foundation ha revocado la firma de esta pieza, con lo que en teoría, el sistema no permitiría la instalación de nuevas instancias del troyano. El problema es que la funcionalidad de actualizar firmas revocadas no está activa por defecto en Symbian, con lo que esta medida no tendrá mucho impacto.

A raíz de este incidente, Heath piensa que debe mejorar la auditoría “humana” en su proceso de firma. Pero debido al coste, no cree posible que puedan añadirse nuevos recursos en este sentido, sino mejorar los existentes. Interpretando sus palabras, esto puede implicar o bien que los empleados encargados de esta tarea trabajarán más horas, o que mejorar la auditoría “humana” pasa precisamente por automatizar aún más el proceso y que sea menos “humano”, lo que llevaría quizás a otro tipo de problemas de seguridad. En cualquier caso Symbian se encuentra ante el mismo problema que las casas antivirus para clasificar malware, pues validar criptográficamente código, no es una tarea muy diferente a la que realizan los motores antivirus a la hora de identificar virus.

Sexy Space se expande por SMS, enviando enlaces a la lista de contactos con contenido pornográficos. Envía datos personales como el IMEI de teléfono a los atacantes, y la víctima deberá hacer frente a los gastos del envío de los mensajes.

Fuente:Noticias Hispasec

Read More

Problema de seguridad en Android

Se ha descubierto un error de validación a la hora de manejar los permisos encargados de verificar el acceso a la cámara y al audio (Manifest.permission.CAMERA y Manifest.permission.AUDIO_RECORD

respectivamente) en Andorid. Esto podría ser aprovechado por un atacante para obtener grabaciones de audio y video sin el consentimiento del usuario.

Cualquier aplicación Android necesitará la confirmación explícita del usuario para acceder a un solo de los recursos de audio y vídeo. Pero si se crea (y el usuario instala) una aplicación que no pida el uso de esos permisos, por error, los tendrá implícitamente (podrá usar el micrófono y la cámara) sin necesidad de que el usuario lo sepa.

Android es un sistema operativo para móviles basado en el kernel de Linux. Inicialmente lo desarrolló Google pero luego ha pasado a pertenecer a la Open Handset Alliance (formada por alrededor de 50 empresas del sector). Android trabaja con dos licencias, GPLv2 para componentes como los parches del kernel y Apache 2 para las aplicaciones ya que permite su comercialización de manera más simple.

Android está pensado para trabajar de manera similar a un Framework que además permite la intercomunicación entre distintas aplicaciones usando un interfaz propio para cada aplicación. El modelo usado por Android permite que los distintos programas informen al resto de que capacidades tienen y así el resto de programas pueden usarlas sin necesidad de implementarlas, claro está siguiendo ciertas reglas de seguridad.

Esta vulnerabilidad evade este control y permite que no se pida autorización al usuario para acceder a la cámara y el audio.

Las APIs oficiales son para Java; no obstante se podrían usar otros lenguajes, pero estos programas deberían compilarse para ARM (el procesador usado en la mayor parte de los dispositivo móviles actuales).

En la actualidad este sistema operativo es usado en algunos modelos de HTC y otras compañías, aunque el numero de dispositivos con este sistema operativo no es muy elevado.

Está solucionado en las versiones Android 1.5 CDBxx, CRCxx y COCxx donde xx son dígitos.

Fuente:Noticias Hispasec

Read More

Mozilla publica parche oficial para la vulnerabilidad en Firefox 3.5

Mozilla ha publicado ya oficialmente la versión 3.5.1 que corrige el fallo en JIT que permitía la ejecución de código. El exploit fue publicado por sorpresa, cuando el equipo de desarrollo todavía no disponía de una versión corregida que ofrecer a los usuarios. Pensaban publicar la actualización a finales de julio, pero han acelerado convenientemente el proceso para emitir la nueva versión lo antes posible.

¿Pero no existía parche ya?

A raíz de la cantidad de comentarios recibidos en nuestros buzones, sobre la información publicada en la una-al-día “Ejecución de código en Mozilla Firefox. No existe parche oficial disponible”, creemos necesario aclarar ciertos puntos y actualizar la información existente.

El comentario más repetido es que “sí” existía parche en el momento de la publicación de la noticia. Queremos aclarar y ratificarnos en que no existía, hasta este momento, parche oficial disponible, aclarando correctamente lo que es un parche oficial. Entendemos como “parche oficial”, un método de actualización que no exija “recompilación” del software, ofrecido por el fabricante, y que haya pasado unos mínimos controles para comprobar que no introduce nuevos errores. El mismo blog de seguridad oficial de Mozilla (http://blog.mozilla.com/security/),

escribía:

Status: “Mozilla developers are working on a fix for this issue and a Firefox security update will be sent out as soon as the fix is completed and tested.”

Estaban trabajando en una solución. En cuanto han creído que el parche es correcto, no abre nuevos fallos y está concienzudamente comprobado, han subido a la página oficial la versión 3.5.1 para que todo el mundo pueda descargarla. La política de Firefox en este sentido es crear nuevas versiones con la solución integrada. Desde el día 13 (cuando ya se conocía el fallo) y hasta ahora, solo estaba disponible para descarga oficial la versión 3.5, vulnerable. No había parche oficial comprobado, si no, obviamente Mozilla lo habría subido como descarga pública oficial.

¿Qué tenían entonces antes de la versión 3.5.1?

Tenían la localización del problema, y un planteamiento de modificación del código para solucionar el fallo (que probablemente fuese el definitivo), en forma de archivo .diff o precompilaciones diarias inestables o versiones de desarrollo. Pero eso no es un parche oficial.

Cuando existe un fallo de seguridad, y más cuando se tiene delante un exploit, la parte más “sencilla” es localizar la línea que origina el problema y programar una solución. Esto es prácticamente inmediato sea software libre o no. Lo complicado es integrar esto en una versión oficial que sea compilada y distribuida públicamente, asegurándose de que no introduce regresiones, problemas de estabilidad y que de verdad soluciona todos los vectores por los que la vulnerabilidad puede ser aprovechada. Solo este último punto puede llevar semanas. Si no se respeta este paso, se corre el riesgo de emitir constantes versiones con regresiones (un problema más común de lo que parece) e introducir inestabilidades.

En un entorno no profesional, casero, es viable aplicar un parche en forma de archivo .diff, compilar extraoficialmente y asumir los problemas potenciales que esto puede acarrear. Pero en entornos profesionales, con decenas o cientos de máquinas que administrar, no es tan sencillo. Todo debe seguir funcionando, y nadie que se tome en serio su negocio usaría versiones no estables, en desarrollo o compilaciones diarias en entornos de producción más o menos críticos. En entornos más exigentes, incluso no aplican nunca los parches oficiales nada más son publicados, sino que son todavía más cautelosos y esperan a comprobar que no introducen nuevos problemas.

También cabe recodar, que deshabilitar el origen del problema no es “solucionar” la vulnerabilidad.

Con respecto a la vulnerabilidad, aclaramos que el fallo se encuentra en en el compilador Just-in-time (JIT). La rama 3.0.x no se ve afectada.

Fuente:Noticias Hispasec

Read More

Grupo de parches de julio para diversos productos Oracle

Oracle ha publicado un conjunto de 33 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

Los fallos se dan en varios componentes de los productos:

* Oracle Database 11g, versión 11.1.0.6, 11.1.0.7

* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4

* Oracle Database 10g, versión 10.1.0.5

* Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV

* Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0

* Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.3.0, 10.1.3.4.0

* Oracle Identity Management 10g, versión 10.1.4.0.1, 10.1.4.2.0, 10.1.4.3.0

* Oracle E-Business Suite Release 12, versión 12.1

* Oracle E-Business Suite Release 12, versión 12.0.6

* Oracle E-Business Suite Release 11i, versión 11.5.10.2

* Oracle Enterprise Manager Database Control 11, versión 11.1.0.6,

11.1.0.7

* Oracle Enterprise Manager Grid Control 10g Release 4, versión 10.2.0.4

* PeopleSoft Enterprise PeopleTools versiones: 8.49

* PeopleSoft Enterprise HRMS versiones: 8.9 y 9.0

* Siebel Highly Interactive Client versiones: 7.5.3, 7.7.2, 7.8, 8.0,

8.1

* Oracle WebLogic Server 10.3, 10.0MP1

* Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 hasta 9.2 MP3

* Oracle WebLogic Server 8.1 hasta 8.1 SP6

* Oracle WebLogic Server 7.0 hasta 7.0 SP7

* Oracle Complex Event Processing 10.3 y WebLogic Event Server 2.0

* Oracle JRockit R27.6.3 y anteriores (JDK/JRE 6, 5, 1.4.2)

De las 33 correcciones:

* 10 afectan a Oracle Database. Tres de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. 2 afectan a Oracle Secure Backup. Una de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Network Foundation, Network Authentication, Advanced Replication, Config Management, Upgrade, Virtual Private Database, Listener, Secure Enterprise Search, Core RDBMS y Auditing.

* Dos vulnerabilidades para Oracle Secure Enterprise Search 10g con Oracle Secure Enterprise Search.

* Dos afectan a Oracle Application Server. Las dos requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son: Oracle Security Developer Tools y HTTP Server.

* 5 afectan a Oracle Applications. 3 no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Oracle Application Object Library, Application Install, Oracle Applications Framework, Oracle iStore y Oracle Applications Manager.

* Dos afectan a Oracle Enterprise Manager. Todas requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Config Management.

* Tres afectan a Oracle PeopleSoft and JDEdwards Suite. Una no requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: PeopleSoft Enterprise FMS, PeopleSoft Enterprise PeopleTools – Enterprise Portal y PeopleSoft Enterprise HRMS eProfile Manager.

* Una afecta a Oracle Siebel Suite. Requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son:

Highly Interactive Client

* Cinco afectan a Oracle BEA Products Suite. Ninguna requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: Jrockit, Oracle Complex Event Processing, WebLogic Server.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación

oficial:

Oracle Critical Patch Update Advisory – July 2009 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

Fuente:Noticias Hispasec

Read More