Apple contrató a una reconocida experta en seguridad, que trabajó en este tema en un equipo especial creado por Microsoft para Windows. Kristin Paget entró al equipo al hackear Windows Vista, cuando la compañía de Redmond ya pensaba que estaba listo para salir a la venta.

Su contratación revela que en Apple hay preocupación respecto a la seguridad en su ecosistema. Mientras Windows fue el que sufrió la mayor cantidad de los embates durante años, considerando que el 90% de los PCs del mundo usaban este sistema operativo, las cosas están cambiando y Mac OS X se está volviendo poco a poco un objetivo de los ataques.

El trabajo que realizará en Apple no ha sido revelado, algo que no es nuevo para Paget. Cuando trabajó en Microsoft, tuvo prohibido hablar sobre su trabajo durante 5 años. Cuando se venció ese plazo, dio una conferencia en el evento Black Hat de Las Vegas. Su trabajo con Windows Vista fue tan potente que Microsoft tuvo que retrasar la fecha de lanzamiento del sistema operativo para reparar los bugs que ella había encontrado. No es que eso salvara el destino de Vista, pero al menos sentó las bases para crear un Windows más seguro.

Hace cinco meses, Apple cambió su sitio web, dejando de afirmar que los Mac “no tienen virus”, como decía hasta entonces. La compañía parece estar consciente del tema de la seguridad, y es bueno que esté tomando medidas al respecto antes de que sea tarde.

Google ha inaugurado el código fuente de la reciente presentación de Sistema Android, esta es 4.2 Jelly Bean para Sistema Android Opens Source Project (AOSP) según lo pregonó el ingeniero de liberación Jean-Baptiste Queru en el sitio Android Building Group.

Esta es una enormemente excelentísima novedad para toda la comunidad Sistema Android ya que los perfeccionadores de ROMS personalizadas como Cyanogenmod, MIUI o AOKP obtendrán comenzar a acomodar sus recientes revelaciones para este sistema operativo. A Partir de la página oficial de Cyanogen ya informaron que la reciente presentación de Sistema Android será CyanogenMod 10.1, en tanto que ya están inaugurando revelaciones estables de Jelly Bean 4.1 bajo el nombre CyanogenMod 10.

Según el aviso así mismo se pudo averiguar que Sistema Android 4.1.2 marcará el fin para el Nexus S y el Motorola Xoom, dispositivo internos que no recibirán más soporte de AOSP.

Si deseas puedes mirar el post del anuncio aquí.

Adobe ha lanzado un nuevo boletín de seguridad en el que corrige un número importante de vulnerabilidades en Flash Player. En total son 25 los errores subsanados, repartidos entre las versiones de Flash para Windows, Internet Explorer y Chrome entre otros. La compañía también ha lanzado un parche para Adobe Air.

Las correcciones de seguridad para Adobe Flash Player siguen siendo una constate. Precisamente ayer Microsoft lanzaba una actualización de seguridad para su navegador Internet Explorer 10 en la que corregía un problema de seguridad. Siguiendo esa senda, ahora es Adobe la que presenta un boletín de seguridad con importantes actualizaciones para su software.

En concreto la lista de correcciones de seguridad se eleva a 25. La compañía ha explicado que se trata de un paquete importante, en el que se corrigen fallos de seguridad para las distintas versiones de Flash Player. En concreto, hay soluciones a 14 problemas que generaban el desbordamiento de búfer y 11 correcciones para problemas relacionados con la corrupción de memoria.

En la web de Adobe se puede ver el listado completo de correcciones, los problemas que se resuelven y los sistemas a los que afectaban. Según la información facilitada por la compañía, prácticamente todos los sistemas reciben algún parche. En el listado aparecen los equipos Mac, Linux, Windows, Android y los navegadores Internet Explorer y Chrome.

Además de las actualizaciones para Flash Player, Adobe también ha lanzado parches para corregir una vulnerabilidad de su software Adobe Air. La compañía ha explicado que dichos parches afectan a Windows, Mac, Android y al SDK de Air.

Dado el volumen de la actualización y la naturaleza de los fallos, la compañía recomienda ejecutar la actualización lo antes posible. Las instrucciones para ello figuran en la web, aunque los usuarios recibirán un aviso en sus propios sistemas. La falta de actualización puede poner en riesgo los equipos de los usuarios.

Recientemente el equipo de WordPress ha liberado una nueva versión de su popular gestor de contenidos que soluciona una vulnerabilidad que podría ser usada para escalar privilegios y otra cuyo impacto no ha trascendido.

La última versión de Wordpress, la 3.4.2, soluciona numerosos fallos y dos vulnerabilidadesencontradas por el equipo de seguridad de este CMS, que no ha facilitado demasiada información al respecto.
La primera de ellas podría ser usada para elevar privilegios de forma remota sin que se sepa de momento los motivos del fallo ni la forma de explotarlo.

La segunda afecta, según el equipo de seguridad de WordPress, a la “instalación multisitio con usuarios en los que no se confíe“.
Todas las instalaciones cuya versión sea inferior a la 3.4.2 son potencialmente vulnerables, por lo que se recomienda su actualización a la última disponible desde el panel de administración o desde el link de descarga que se facilita desde la web oficial.
Esta nueva versión también corrige otros problemas menores.

Más información:
WordPress 3.4.2 Maintenance and Security Releasehttp://wordpress.org/news/2012/09/wordpress-3-4-2/

Todo preparado para la celebración en septiembre de la conferencia mundial de seguridad profesional EUSecWest 2012 que se celebrará en Amsterdam y que continúa el CanSecWest canadiense celebrado en marzo.

La primera conferencia presentada ha sido el Mobile Pwn2Own, muestra del enfoque móvil que está tomando la informática/tecnología actual y la necesidad de aumentar la seguridad en el sector ante la llegada de múltiples amenazas.

Una conferencia donde destaca el desafío hacker patrocinado por TippingPoint ZDI, AT&T y RIM, y que pretende mostrar la situación actual de la seguridad en las tecnologías móviles más comunes, incluyendo ataques a navegadores web para móviles, Near Field Communication (NFC), SMS y a la banda base.

Los premios han aumentado hasta 200.000 dólares y para que el ataque se considere exitoso debe utilizar una vulnerabilidad zero-day, comprometer archivos y datos personales del terminal, capacidad para llamadas externas premium o escucha de conversaciones.

Se implementará una caja especial RF para facilitar los hacks sin romper las leyes locales y como en el resto de desafíos Pwn2Own, los participantes tendrán que informar a los fabricantes de las vulnerabilidades encontradassin divulgación pública.

Los terminales usados tendrán que estar actualizados con la última versión del software / firmware disponible y entre los modelos disponibles se incluyen la BlackBerry Bold 9930, Samsung Galaxy SIII, Nokia Lumia 900 o el Apple iPhone 4S.

Si un día entramos en la oficina y vemos una regleta de este tipo debajo de la mesa posiblemente no nos extrañaría. Sin embargo si nos fijamos un poco más habría algo que nos llamaría la atención, además del hecho de que utiliza enchufe tipo americano, ¿para qué necesita otros puertos adicionales en el lateral?.

Esta regleta, en apariencia convencional, esconde una serie de transmisores 3G, Bluetooth y WiFi que permiten de forma remota hacer diferentes pruebas de seguridad para comprobar si una red es segura y detectar ciertas vulnerabilidades aplicando una serie de pruebas de resistencia y exploits de todo tipo.

Por lo que cuentan sus creadores, ha sido un proyecto financiado por la agencia DARPA, este Power Pwn es fácil de usar y sólo hace falta enchufarlo para empezar a utilizarlo. Además, se puede utilizar y configurar a través del teléfono móvil enviando mensajes de texto al terminal en cuestión.

De hecho, incluso se puede configurar para utilizar comandos de voz de Siri, aunque esto lo cierto es que esto último no deja de ser algo más que anecdótico. Se entiende que esta regleta se ha diseñado para hacer pruebas de seguridad en redes domésticas o intranets, no para espiar a los usuarios y sacar información de los equipos.

De momento la herramienta en cuestión no está a la venta aunque podemos reservarla y adquirirla a un precio final de 1.300 dólares (unos 1.070 euros al cambio). Las primeras unidades se empezarán a distribuir a partir del 30 de septiembre. Una idea bastante interesante, aunque no creemos que llegue más lejos de Estados Unidos, por aquello de la compatibilidad con el tipo de enchufe.

Está claro que no hay sistema que no se vuelva vulnerable si hay quien lo estudia, analiza y busca sus agujeros de seguridad. Hasta ahora siempre la víctima número uno de todos los ataques, virus y vulnerabilidades ha sido Windows, entre otras razones por su gran popularidad y cantidad de usuarios, y quizá por ser un sistema menos seguro que Unix/ Linux.

Y precisamente un buen reclamo comercial bastante útil y hasta ahora utilizado por Apple, con su sistema OSX con núcleo Unix , era que era invulnerable a los virus. Un eslogan atractivo, impactante y  que era una verdad a medias. A medias porque como hemos dicho no hay sistema que sea totalmente inexpugnable y libre de ser atacado.Porque está desarrollado por humanos, y no existe la perfección.

En Apple se han puesto las pilas, todo hay que decirlo, y se han dado cuenta de que el panorama está cambiando. Tras conocerse la infección de más de 650.000 equipos Mac de un troyano llamado Flashback, y la aparición de otro aún más peligroso llamado SabPub desde luego ya no se puede afirmar como estaban haciendo hasta ahora de que OSX es un sistema invulnerable. La popularización que ha experimentado Mac con toda su gama de portátiles y sobremesa ha hecho que lo que hasta ahora parecía un sistema impenetrable sea ahora un objetivo más de crackers y otras alimañas de la red con oscuras intenciones. Hay “negocio” porque hay una masa crítica de usuarios y estos ya no son tan especialistas o técnicos.

Y lo destacaban en la zona de razones para adquirir un Mac, que ahora se ha transformado a una versión más light y que no deja lugar a dudas: El sistema operativo de Apple también es vulnerable a virus y malware. También acompañan la imagen con un par de párrafos técnicos en los que explican cómo un Mac está diseñado para evitar los ataques y que nuestra información está a salvo. Está claro que los dos factores, popularización y primeros problemas de seguridad importantes en su sistema, han hecho a Apple plantearse seriamente la afirmación y modificarla acorde a la actualidad.

Sea problema de Mac, o de aplicaciones de terceros que corren en el sistema, lo que está claro es que no hay sistema que se pueda vender bajo la máxima de inmune a los problemas de seguridad. Quiero recordar como siempre, que el mejor sistema de seguridad del que podemos disponer es de sentido común, tener el sistema actualizado a la última versión y ser consciente de lo que uno hace con su equipo. ¿A ustedes que les parece? ¿Hace bien en rectificar Apple?

Joomla se ha actualizado a la versión 2.5.5 para corregir dos vulnerabilidades que podrían permitir a un atacante remoto revelar información sensible y escalar privilegios.

Joomla! es un sistema de gestión de contenidos o CMS, de código abierto y programado en su mayor parte en PHP. Es muy utilizado para la creación de portales y sitios web. La gran cantidad de extensiones existentes y su fácil integración con el sistema proporcionan un gran potencial a este CMS.

La primera de las vulnerabilidades, descubierta por Nils Rückmann, es causada por un error al realizar determinadas comprobaciones de forma incorrecta y podría permitir a un atacante elevar sus privilegios. A esta vulnerabilidad se ha asignado una severidad media-alta por parte del Joomla! Security Center.

La segunda es debida a una falta de filtrado en los errores de SQL cuando la opción ‘display_errors‘ se encuentra activada. Aprovechando este fallo un atacante remoto podría conseguir revelar información sensible (dónde está instalado el programa) provocando un error SQL y mirando el código fuente de la página resultante. Esta vulnerabilidad fue descubierta por Jakub Galczyk en abril y publicó una prueba de concepto.

Estas vulnerabilidades afectan a las versiones de Joomla! anteriores a la 2.5.5.

Más información:

[20120602] – Core – Information Disclosure
http://developer.joomla.org/security/news/471-20120602-core-information-disclosure

[20120601] – Core – Privilege Escalation
http://developer.joomla.org/security/news/470-20120601-core-privilege-escalation

Se veía venir. Hace ya algunos meses, Google Chrome, uno de los navegadores web más jóvenes del mercado, sobrepasaba a Internet Explorer, un producto que una vez lo tuvo todo y que pese a seguir teniendo una envidiable cuota de mercado parece seguir perdiendo el favor del público. Lo hacía momentáneamente por unas horas debido a un pico y tras éstas la suma de las diferentes versiones de Internet Explorer volvía a reinar, pero era cuestión de tiempo que pasara lo que hoy ha pasado: Google Chrome ya es el navegador más utilizado de Internet.

Son datos de StarCounter, uno de los barómetros (seguramente el más popular) para medir el uso de los diferentes navegadores web. Aunque sea lo de menos, entrando en detalles el gráfico que podéis ver a continuación indica que Google Chrome ya cuenta con un 32.76% del mercado a nivel mundial, e Internet Explorer un 31.94%, seguido a bastante distancia por Mozilla Firefox, que parece mantenerse con un 25.47%. Se trata de, descontando el pico que nombrábamos al principio, la primera vez que un navegador supera a Internet Explorer desde hace casi 15 años, en 1998.

¿Cuáles son los secretos de Google Chrome? Bastantes, pero particularmente, su sencillez de uso, versatilidad (con miles de extensiones y complementos) y su gran velocidad no sólo para abrirse desde cero, sino para mostrar las diferentes páginas web, independientemente del contenido de éstas. Dando por hecho que se trata de un navegador que sigue los estándares, algo que Microsoft tan sólo cumple desde las últimas versiones y como consecuencia directa de que sus competidores estaban arrebatándole usuarios por este motivo, Chrome lleva tiempo en el punto de mira como el ejemplo a seguir, habiendo quitado en tan sólo 3 años el puesto a Firefox como “el elegido” que acabaría con Internet Explorer.

Desde sus primeras versiones Chrome llegó a las máximas puntuaciones en tests de compatibilidad con estándares web referentes en el sector y mostrando un buen rendimiento con los mismos, obteniendo por ejemplo una puntuación perfecta en el Acid3 test, y también siendo uno de los impulsores de las nuevas tecnologías y más concretamente HTML5.

Aunque lejos de contentarse con sus logros y su cada vez mayor base de usuarios, Chrome ha sido impulsor de buena parte de las medidas de seguridad web que hoy en día son básicas en cualquier navegador, y de hecho sigue siendo tal vez el primero en no sólo estar a la última en navegación segura mediante protocolos como HTTPS, sino en pequeñas ideas que terminan por imponerse como la utilización de favicons tan sólo en las tabs, algo que por ejemplo Mozilla ha seguido en las últimas versiones beta de Firefox.

También íntimamente relacionado con Mozilla por el debate que se ha generado al respecto, no sería justo no nombrar que uno de los secretos de Google Chrome son sus constantes actualizaciones, y lo que es más importante, el hecho de que estas sean silenciosas. ¿Qué versión de Google Chrome tienes? Seguramente para responder a la pregunta hayas tenido que mirar la información sobre la misma, y es que Chrome ya va por su versión 18 en el canal normal y por la 20 en el de desarrollo, y nadie dice frases como “pues yo utilizo Chrome 17”. Simplemente decimos “Yo utilizo Chrome”. Esto propicia que el usuario siempre esté a la última, con un navegador que se actualiza sólo y del que no tenemos que preocuparnos por mantener, algo que Mozilla lleva intentando durante las últimas versiones y también ha terminado por imponer Google.

¿Significa esto que la famosa browser war ha acabado? Ni mucho menos. Microsoft sigue tratando de innovar y se puede decir que Internet Explorer 9 vuelve a ser un producto digno de competir con estos dos jovencísimos navegadores (y por supuesto con otros grandes como Opera o Safari), y aunque ahora parezca que la batalla final la librarán Firefox y Chrome, en pocos meses llegará un nuevo sistema operativo en el que se puede producir un nuevo vuelco.

Windows 8 aportará la nueva versión propuesta por Microsoft de su navegador web, y Google y Mozilla estarán también allí, siendo tal vez más obvios estos últimos, que llevan tiempo dando detalles sobre su nueva versión Metro. Por su parte, Microsoft parece dar un paso atrás imposibilitando que otros fabricantes (y aquí incluimos a los mencionados) desarrollen navegadores para una versión específica de Windows 8 que promete tener una buena cuota de usuarios: Windows 8 ARM.

La actualización de seguridad de mayo repara el fallo que ha estado explotando Duqu, un malware que ha afectado a más productos de los que se pensaba.

Microsoft ha lanzado esta semana siete boletines de seguridad que reparan 23 fallos, algunos críticos, que afectan a Microsoft Windows, Silverlight, Microsoft Office y .NET Framework.

De los siete boletines de seguridad, Microsoft ha pedido que se preste especial atención a los dos primeros: MS12-034 and MS12-029, calificados como ‘críticos’ y que permiten la ejecución remota de código. El primero, además, soluciona diez fallos en varias líneas de producto que representan los últimos parches para una vulnerabilidad explotada por el malware Duqu.

Para muchos heredero de Stuxnet, Duqu apareció el pasado mes de septiembre explotando una vulnerabilidad que afectaba a Microsoft Word. La compañía parcheó el fallo en su boletín MS11-087, pero después se descubrió que otros productos de la compañía tenían la misma vulnerabilidad.

El boletín MS12-029, por su parte, soluciona otro fallo crítico en Microsoft Office que podría llevar a la ejecución remota de código si la víctima abre un archivos RTF (Rich Text Format) malicioso utilizando una versión vulnerable de Microsoft Office. Microsoft ha pedido a los usuarios que apliquen el parche tan pronto como sea posible.

En la actualización de seguridad también se han solucionado dos vulnerabilidades críticas en .NET Framework (MS12-035) que podrían permitir que un atacante ejecutar código si la víctima visita una página web especialmente manipulada utilizando un navegador capaz de ejecutar aplicaciones XAML.

El resto de los boletines se ha calificado de ‘importantes’ y están relacionados con Windows y Microsoft Office.

La actualización de seguridad de Microsoft se lanza la misma semana que Adobe ha tenido que lanzar un parche de emergencia para Flash Player y que Apple ha actualizado su plataforma iOS reparando algunas vulnerabilidades de seguridad.