Este blog se ha mudado

febrero 18, 2014 § Deja un comentario

Este blog actualizado se encuentra en blog.segu-info.com.ar

Anuncios

Saltando la pantalla de bloqueo en iOS 6.1

febrero 16, 2013 § Deja un comentario

iPhone-lock-screen.jpgUna vez más, la nueva actualización de iOS le ha salido rana a Apple. Esta vez, en la versión 6.1 de iOS, nos podemos saltar la pantalla de bloqueo de nuestro sistema.

El truco está en hacer una llamada de emergencia, colgar rápidamente y luego mantener pulsado el botón de encendido hasta que se pone la pantalla en negro, soltar  y luego  mantener pulsado dicho botón otra vez y desbloquear (ver vídeo). Esto nos salta al sistema del terminal donde podemos acceder a las aplicaciones, ver y modificar contactos, acceder al buzón de voz y acceder a las fotos a través de añadir un nuevo contacto (seleccionar foto para el nuevo contacto).

Fuente: Cyber Hades

Actualizaciones críticas de Adobe Flash Player

febrero 9, 2013 § Deja un comentario

El día de ayer Adobe publicó un nuevo boletín de seguridad con actualizaciones para dos vulnerabilidades críticas, CVE-2013-0633 y CVE-2013-0634, que pueden ser explotadas en varias plataformas.

De acuerdo a lo publicado en el boletín de seguridad si no se actualizan correctamente las versiones de Adobe Flash Player podrían ser utilizadas para que ciberdelincuentes afecten el sistema o incluso tomen el control del mismo.

Quizá lo más relevante de este caso es que se trate de vulnerabilidades multiplataforma. En el caso de la vulnerabilidad CVE-2013-0633 está siendo explotada en ataques que utilizan archivos adjuntos de Microsoft Word con contenido SWF malicioso. Esta vulnerabilidad tiene como objetivo el componente ActiveX de Flash Player en Windows.

La vulnerabilidad CVE-2013-0634, por otro lado, es aprovechada a través de contenido Flash malicioso alojado en sitios web y tiene como objetivo los reproductores Flash Player en Firefox y Safari en plataformas Mac, así como también ataques que utilizan contenido SWF malicioso en documentos de Microsoft Word enviado como datos adjuntos de correos electrónicos. Esta situación pone de nuevo a los usuarios en una situación que los deja vulnerables, si no están debidamente protegidos ante ataques que busquen descargar malware en sus computadoras a través de contenido malicioso en formato Flash. Por lo tanto es muy importante que cuenten con una solución de seguridad que los proteja mientras navegan en Internet, pues una gran cantidad de estos códigos maliciosos suelen alojarse en sitios web, con el agravante que muchas veces los atacantes vulneran sitios legítimos para obtener mayores réditos en sus ataques.

Todas estas vulnerabilidades en programas como Java o Adobe Flash Player abren la posibilidad para que los ciberdeliencuentes desarrollen códigos maliciosos para diferentes plataformas y de esta forma expandan su espectro de víctimas aumentando sus réditos económicos. Las recomendaciones por parte de Adobe para sus usuarios es actualizar el reproductor Flash Player lo antes posible. Las actualizaciones se encuentran disponibles para las plataformas Windows, Linux, Mac y Android.

Finalmente, recordamos que durante los últimos meses del año pasado se informó sobre varios casos como este, como por ejemplo, a finales de agosto la grave vulnerabilidad 0-day en Java solucionada por Oracle o la vulnerabilidad 0-day en Internet Explorer y las 11 vulnerabilidades críticas en Firefox 16 en septiembre y octubre respectivamente. Incluso el mes pasado informábamos sobre un exploit 0-day en Java utilizado masivamente por exploit kits. ¡A actualizar los sistemas y protegerse de estas amenazas!

Fuente: ESET Latinoamérica

Disponible JailBreak iOS 6.x

febrero 4, 2013 § 1 comentario

Finalmente se publicó la aplicación que permite aplicar JailBreak a los dispositivos iOS 6.x. Evasi0n es una herramienta automatizada que se encargará de eliminar las limitaciones de fábrica del iPad/Mini, iPod, iPhone y Apple TV con versión del sistema 6.0 ó 6.1.

La aplicación (disponible tanto para Mac OS, Windows o Linux) requiere únicamente que conectes el dispositivo y hagas click sobre un botón para que “la magia” se produzca. Es muy recomendable realizar una copia de seguridad antes de empezar con el proceso.

Fuente: Engadget

Libro gratis: OWASP Top 10 para desarrolladores .NET

enero 27, 2013 § Deja un comentario

Troy Hunt (Software architect and Microsoft MVP) ha escrito una serie de artículos durante 19 meses y finalmente ha logrado completar un libro electrónico.

Según dice, fue una aventura épica de aprendizaje. Escribir la serie lo obligó a conocer su contenido en profundidad. Finalmente el esfuerzo ha sido muy bien recibido por las comunidades de .NET y OWASP y ha decidido convertirlo en un libro electrónico gratis sobre OWASP Top 10 para desarrolladores .NET [PDF].

Además para quien esté interesado en leer la serie y los comentarios originales:

  1. Injection
  2. Cross-Site Scripting (XSS)
  3. Broken Authentication and Session Management
  4. Insecure Direct Object References
  5. Cross-Site Request Forgery (CSRF)
  6. Security Misconfiguration
  7. Insecure Cryptographic Storage
  8. Failure to Restrict URL Access
  9. Insufficient Transport Layer Protection
  10. Unvalidated Redirects and Forwards

Cristian de la Redacción de Segu-Info

Skype permite a terceros resetear la contraseña (actualizado)

noviembre 14, 2012 § Deja un comentario

Skype cuenta con un agujero de seguridad gracias al que cualquiera que conozca el e-mail asociado a nuestra cuenta puede modificar nuestra contraseña y, por tanto, quitarnos el acceso.

Al parecer este problema fue detectado por primera vez (enlace oculto hasta que solucionen el problema) hace un par de meses y dado a conocer a través de un foro ruso, pero lo grave es que ni Skype ni Microsoft lo han solucionado todavía. Aseguran, eso sí, estar investigando el tema para arreglarlo lo antes posible.

Como decía al principio, el ladrón debe conocer la cuenta de correo que tenemos asociada a nuestro Skype, por lo tanto una solución rápida es cambiarla por otra que no conozca nadie, una de esas cuentas secundarias que tenemos por ahí perdidas. Incluso podemos crearnos una cuenta tonta si no tenemos nada a mano para usarla de forma temporal hasta que se solucione el asunto.

En este momento, Skype confirma que, como medida preventiva, ha deshabilitado la posibilidad de resetear la contraseña de nuestras cuentas mientras sigue investigando la vulnerabilidad.

Actualización: Skype comunica que ya ha modificado y corregido el proceso de cambio de contraseña.

Fuente: Genbeta

Firefox 16.0.2 soluciona bug crítico (Actualiza!)

octubre 28, 2012 § Deja un comentario

Mozilla lanzó una nueva revisión menor para su navegador web Firefox 16.0.2. La razón de esta actualización es un fallo de seguridad crítico relacionado con el objeto “Location” que permitiría ejecución de código en el sistema, sin interacción con el usuario.

Esta vulnerabilidad consistía en el hecho de que el verdadero valor de “window.location”, que contiene detalles sobre la dirección URL del documento y ofrece la posibilidad de cambiarla, puede ser ofuscado por el contenido de usuario. Combinado con algunos plugins, se podría lanzar un ataque XSS contra el usuario.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría Seguridad en Seguridad Informática.