Recientemente, se ha llegado a conocer una vulnerabilidad de la aplicación que deja al descubierto las conversaciones que mantenemos con nuestros contactos. Según explican, los datos que envía la aplicación (ya sea nombres de usuarios, como las conversaciones en sí) se envían sin ningún tipo de cifrado, por lo que quedan expuestos a potenciales ataques.

Dicho ataque puede ocurrir fácilmente cuando el usuario se encuentra conectado en una red inalámbrica no segura; para aquellos usuarios que no utilicen este tipo de conexiones vale comentar que no son vulnerable a este fallo, así que podrán seguir utilizando la aplicación con normalidad.

Por su parte, los desarrolladores han mostrado su enojo, afirmando que se encuentran a favor de la privacidad del usuario, por lo que trabajarán duro para tratar de solucionar este terrible fallo.

Vía: PC World

Si te ha saltado un pop-up en el muro de tu Facebook, o algún conocido te ha comentado algo sobre el tema, y el pop-up tenía una pinta extraña puedes permanecer tranquilo, ni estás loco ni paranoico (aunque sí, van a por ti), lo que ocurre, es que se ha descubierto una vulnerabilidad en Facebook.

Según Symantec, la vulnerabilidad viene del API de la versión móvil de Facebook, que, en sus propias palabras “filtra de forma insuficiente el JavaScript”, y lo que ocurre es que, si visitas un site una vez has iniciado sesión en Facebook, y ese site tiene el típico widget para dejar comentarios y demás, algún maligno puede utilizarlo para hacerte saltar el pop-up misterioso.

Según cuenta la gente de Facebook, están manos a la obra para arreglar la vulnerabilidad, pero por ahora lo que puedes hacer es acordarte de cerrar la sesión de Facebook cuando no estés usándolo, y bueno, si te sale algún pop-up raruno, ¡no le toques!

Todo apunta a que en pocos días Mozilla lance una nueva versión de su navegador Firefox debido a un fallo de seguridad crítico encontrado en las últimas horas. Recordemos que hace unos días Mozilla ya había lanzado las versiones 3.6.11 y 3.5.14 en las que se corregían ya varios agujeros de seguridad.

Esta vulnerabilidad ha sido encontrada por Norman, una empresa dedicada a la seguridad informática. Este fallo permite ataques ‘drive-by-download’, que consiste en la descarga automática de un troyano llamado ‘Belmoo’ al ingresar a un sitio infectado, que permite al atacante tomar el control del ordenador infectado.

Por tratarse de una vulnerabilidad de seguridad crítica, es muy probable que la nueva versión se encuentre disponible en los próximos días. De momento, se recomienda desactivar el uso de JavaScript del navegador y la utilización de un complemento llamado ‘No-Script’.

Vía: OpenSecurity

Hace ya un tiempo se venía hablando en la blogosfera sobre un exploit para QuickTime que se aprovechaba de una línea de código generada en 2001. Por desgracia para el usuario, esta vulnerabilidad permitía al atacante tomar el control del sistema, siempre y cuando el usuario utilice Internet Explorer como navegador y Windows XP, Vista o 7 como sistema operativo.

La verdad que la noticia no ha corrido por el lanzamiento de una nueva versión de QuickTime (7.6.8), sino por el tiempo que ha demorado Apple en corregir este fallo de seguridad tan amenazador para el usuario convencional.

Algunas fuentes cercanas a la empresa indican que Apple había sido informado sobre esta vulnerabilidad hace más de dos meses, tiempo demasiado extenso como para dejar al usuario indefenso ante un eventual ataque a su seguridad. Incluso han afirmado que estábamos frente a un problema que podría haber sido resuelto en menos de una semana.

Vía: DownloadSquad

Apple ha lanzado recientemente un paquete de actualizaciones (2010-005) en el que se arreglan algunas vulnerabilidades graves y se actualizan algunos componentes de terceros.

Puntualmente, se han corregido algunos agujeros de seguridad que permitían ejecutar código malicioso al ejecutar imágenes PNG o documentos PDF, dos tipos de ficheros muy frecuentes que podrían ser infectados simplemente. También, se ha actualizado PHP, Samba y ClamAV (el antivirus que se incluye por defecto en las distintas versiones de Mac OS X Server).

Como era de suponer, esta actualización se encuentra disponible tanto para Mac OS X 10.5 Leopard, como para Mac OS X 10.6 Snow Leopard. El paquete puede descargarse desde su sitio oficial (pesa aproximadamente 84 MB) o directamente desde ‘Actualizaciones de Software’; a continuación dejamos los enlaces de descarga.

Descargar: Actualización de seguridad 2010-005
Vía: OpenSecurity / Appleismo

Al igual que todos los segundos martes de cada mes, Microsoft ofrece a los usuarios de sus sistemas operativos un paquete mensual de actualizaciones en donde se arreglan, entre otras cosas, agujeros de seguridad detectados previamente. Vale aclarar que si estamos frente a una vulnerabilidad altamente crítica, la actualización puede ofrecerse inmediatamente.

Justamente hoy, es el segundo martes del mes, y Microsoft como ya nos tiene acostumbrados ha llegado con su paquete de actualizaciones: esta vez con un total de 15 boletines (la mayor cantidad de la historia) de los cuales 9 críticos.

Por último, cabe destacar que los arreglos de seguridad no son únicamente para el sistema operativo (Windows XP, Windows Vista, Windows 7), sino que otras aplicaciones reciben actualizaciones, como por ejemplo, su navegador Web (Internet Explorer), su suite ofimática (Office) y para el competidor de Adobe Flash (Silverlight).

Vía: gHacks

Hoy les presentamos un interesante informe en el que se observa el tiempo que tardan los grandes desarrolladores de software en corregir un agujero de seguridad. Este estudio ha sido realizado por dos grandes compañías privadas: iDefense y ZeroDayInitiative; ambas se dedican a comprar vulnerabilidades a los usuarios y revenderlos luego a sus desarrolladores.

Vale comentar que existen vulnerabilidades no públicas y públicas, estas últimas se corrigen mucho más rápido que las restantes debido a que utilizar dicho software resulta muy peligroso para el usuario; debido a ello, en este informe se han tenido en cuenta únicamente las vulnerabilidades no públicas.

Como estamos frente a un extenso informe, daremos algunos datos de interés y dejaremos el enlace para su posterior lectura:

• Apple y CA son los desarrolladores más eficaces en resolver vulnerabilidades de seguridad, teniendo casos en los que se han corregido en tan solo 8 días (desde que se encontró hasta que se lanzó el paquete de actualización).
• Seguramente muchos pensaban que Microsoft sería el que más tardaría en solucionar estos agujeros de seguridad, estaban equivocados (aunque no por tanto).
• Las vulnerabilidades que más se han tardado en solucionar han sido de IBM y de Microsoft, 1043 y 1021 días respectivamente; impresionante, casi tres años en corregir un agujero de seguridad.
• Si se tiene en cuenta únicamente las vulnerabilidades graves, los desarrolladores que más tiempo tardan en corregirlo son HP, seguido de Sum y Oracle.

Enlace: Artículo Completo
Vía: OpenSecurity

WordPress nos ofrece su nueva versión 2.9.2 que ya se puede descargar desde su web oficial. En esta ocasión, se han mejorado algunos problemas de seguridad y se han arreglado algunas vulnerabilidades que venían dando problemas desde la versión 2.9.0.

Este problema venía dado por la papelera de reciclaje que nos ofrecía WordPress desde esta versión a la que podíamos enviar post y comentarios que no queríamos tener en el blog ya que cualquier registrado en el blog, aunque fuera como suscriptor, podía recuperar y leer lo que nosotros mandábamos a la papelera.

Así que si quieres actualizar tu versión de WordPress para evitar este problema ya puedes descargar la nueva versión y si se te olvida, no te preocupes, seguro que la próxima vez que entres al Dashboard de tu blog ya te tiene que estar esperando la famosa cintilla amarilla que te anuncia novedades.

Fuente | Ayuda WordPress

En el otro lado del charco se comenta que Opera y Firefox han visto un aumento significativo de las descargas de sendos navegadores desde que las advertencias sobre los problemas que podía ocasionar Internet Explorer se empezaron a tomar en serio a nivel global. Nótese que estos cambios llegan cuando varios países han desrecomendado usar el navegador de Microsoft, cuando los expertos y usuarios hacía mucho tiempo que así lo advertían.

Volviendo al tema, y aunque no hay datos específicos y globales, en ambos navegadores se ha experimentado un incremento de nuevas descargas superando a la media habitual. En ocasiones se trata de descargas a nivel local y regional pero en cualquier caso, estamos hablando de un incremento que se cuentan a centenares de miles, mientras se estima que ha sucedido también en otros navegadores del mercado; pasa que estos no han facilitado cifras por el momento.

Estoy convencido de que Microsoft trabaja a marchas forzadas para parchear su navegador, y seguro que -como todo el mundo- de los errores aprende. El problema podría estar que cada descarga de la competencia es de un usuario que podría -y sólo podría- no regresar a Explorer. La solución llegará demasiado tarde para un problema que hace literalmente años que está presente en el navegador.

El experto en seguridad Mike Bailey ha descubierto un fallo en Adobe Flash puede ser aprovechado por los hackers para comprometer la mayoría de sitios que permiten subir contenidos por parte de los usuarios, para a continuación, atacar silenciosamente los ordenadores que visiten estos sitios. Según los cálculos, se estima que en la red de hoy en día la mayoría de paginas de internet permiten subir contenido, y que la mayoría de usuarios tienen instalado Adobe Flash en sus ordenadores, por lo que se podría decir, si los expertos están en lo cierto, que casi toda la red se encuentra ahora mismo en jaque ya que el problema va mucho más allá, llegando a servicios de Google, y alcanza a cualquier navegador que pueda ejecutar o no Flash.

La situación ha sido calificada como muy grave, mientras que Adobe entiende el problema pero no asume la responsabilidad del mismo, no hay parche inminente a la vista ni una solución fácil, y apunta a que deben ser los administradores de los sitios los que los protejan, y el diseñador y programador web de las aplicaciones lo que deben prevenir este tipo de ataques. Al parecer el problema radica en las políticas de ActionScript, y basta con subir contenido Flash malicioso al sitio, para que este código empiece a expandirse a través de cualquier ordenador que acceda a dicho contenido. Desde Adobe apuntan que efectivamente, el problema afecta a Flash, pero que también afecta a cualquier sitio que permite secuencias de comandos ActiveX, JavaScript y Silverlight.

En definitiva, parece que el fallo es tan absurdo y simple que se ha iniciado un partido de pasarse la patata caliente entre programadores y administradores, mientras casi toda la red, tal y como está concebida hoy en día, está expuesta a esta vulnerabilidad. Para hacerse una idea de la magnitud del fallo, basta con quedarse con una frase de los expertos que dice lo siguiente: “Casi todo el mundo en Internet es vulnerable a un sitio Web que permite que el contenido se actualice de manera inapropiada; esto no es una exageración, es solo hecho. Tiene el potencial de afectar a cualquier medio de comunicación, cualquier red social, cualquier sitio de encuentros, muchas tiendas online y muchas aplicaciones en ‘la nube’. Es por eso que este ataque es tan grave; y además, los usuarios finales nunca saben que se está explotando el fallo”.