Mozilla detecta plug-ins inseguros para IE, Chrome y Safari

Mozilla ha lanzado un servicio que comprueba los plug-ins para los navegadores Internet Explorer, Chrome, Opera y Safari para asegurarse de que no incorporan fallos conocidos o vulnerabilidades de seguridad.

El servicio se basa en una característica lanzada el año pasado y que sólo comprobaba que los plug-ins para Firefox estuvieran actualizados. Por el momento se ofrece una cobertura limitada para las extensiones de Internet Explorer, pero Mozilla planea ofrecer un servicio completo.

Desde la fundación creen que la seguridad de los plug-ins es un tema pendiente para la web y que por eso, aunque inicialmente los esfuerzos se centraron en crear una página que funcionara con los usuarios de Firefox, “el equipo ha extendido la comprobación de plug-ins a Safari 4, Chrome 4 y Opera 10.5”.

El control está diseñado para advertir a los usuarios de que están utilizando versiones desactualizadas de Adobe Flash, Oracle Java Virtual Machine, u otros tipos de programas que trabajan de cerca con los navegadores. De hecho, sólo unas semanas después de lanzarse el servicio de comprobación para Flash se descubrió que más de la mitad de los navegadores Firefox estaban ejecutando una versión insegura del programa de Adobe.

fuente: itespresso.es


Anuncios

Aparece el primer malware que se aprovecha del iPad

Los propietarios de un iPad y usuarios de Windows han sido fichados por los hackers, que les esperan con un nuevo malware.

Los estafadores están distribuyendo correos electrónicos diseñados para tentar a los propietarios de un iPad y tentarlos para que se descarguen lo que creen que es una actualización del tablet de Apple. En realidad se trata de un malware que abre una puerta trasera en el ordenador

El correo electrónico tiene por título “iPad Software Update” y un enlace a una página web que simula la página de descargas de iTunes, explican en BitDefender. En su lugar el enlace instala un malware identificado como Backdoor.Bifrose.AADY.

El malware se inyecta en el proceso “explorer.exe” y abre una puerta trasera que los atacantes pueden utilizar para tomar el control del sistema siempre que quieran.

También intenta leer las claves y números de serie de varios programas de software instalados en el ordenador y anotar las contraseñas de las cuentas de correo electrónico, Messenger y el almacenamiento protegido.

Según BitDefender los usuarios de Mac no se ven afectados por este malware.

fuente: itespresso.es




A la venta 1,5 millones de identidades robadas de Facebook

Un hacker llamado Kirllos tiene una propuesta poco común para cualquiera que quiera realizar spam, robar o cometer fraude sobre Facebook: un número sin precedentes de cuentas de usuarios.

Investigadores del grupo iDefense de VeriSign han descubierto a Kirllos vendiendo nombres de usuario y contraseñas Facebook en un foro clandestino de hackers, pero lo que realmente ha llamado la atención de los expertos de la compañía es la cantidad de credenciales que ha puesto a la venta. Nada menos que 1,5 millones.

IDefense no sabe si las cuentas ofertadas por Kirllos son legítimas, y, por el momento, Facebook sigue sin resolver esta cuestión. De serlo, este hacker tendría información de uno de cada 300 usuarios del sitio de networking social y pide por ella un precio que varía entre los 25 y los 45 dólares por 1.000 cuentas, dependiendo del número de contactos de cada usuario. Hasta el momento, Kirllos parece haber vendido cerca de 700.000 cuentas, según Rick Howard, director de VeriSign para Ciberinteligencia.

Los precios de Kirllos resultan asombrosamente baratos si se comparan con otros casos de este tipo. En su más reciente informe Internet Security Threat Report, Symantec estimaba que los nombres de usuario y contraseñas de correo electrónico se vendían generalmente a entre 1 y 20 dólares por cuenta, mientras que Kirllos los está ofreciendo a una media de 0,025 dólares por cuenta. Cuando se trata de información con detalles de tarjetas de crédito o cuentas bancarias, más cotizada, los precios oscilan entre 0,85 y 30 dólares, y entre 15 y 850 dólares respectivamente.

Facebook cuenta actualmente con más de 400 millones de usuarios a nivel mundial, muchos de los cuales caen víctimas de estafas cada día. En una de ellas, los ciberdelincuentes empezaron a enviar mensajes desde una cuenta comprometida contando a los contactos de su propietario que éste había quedado atrapado en el extranjero y necesitaba dinero para regresar a casa.

fuente: csospain.es


Mozilla lanza la beta de Firefox 3.6.4 y deshabilita Java

Mozilla ha publicado la nueva versión beta de Firefox para Windows, Mac y Linux con la incorporación de un sistema que evita que los errores de los plugins afecten al navegador. Además, la compañía ha bloqueado la versión 6.0.200.2 del plugin “Java Deployment Toolkit” y sus versiones anteriores.

Esta nueva beta de Firefox será mucho más estable frente a errores en los plugins, o al menos eso es lo que promete el proyecto denominado internamente “Lorentz”, que según ha defendido Mozilla, protegerá al navegador de los posibles fallos originados en plugins como Adobe Flash, Apple Quicktime o Microsoft Silverlight. Gracias a este nuevo sistema, los usuarios podrán recargar la página y reiniciar el plugin donde se originó el fallo, todo ello sin que el navegador se “cuelgue”, según apunta la compañía.

No obstante, desde Mozilla han recordado que al tratarse de una versión beta, esperan recibir sugerencias y modificaciones por parte de la comunidad desarrolladora antes de lanzar, dentro de unas semanas, la versión final de Firefox 3.6.4.

Por otro lado, Mozilla ha deshabilitado de Firefox el plugin “Java Deployment Toolkit” y todas sus versiones anteriores a la 6.0.200.2, después de localizar una vulnerabilidad de seguridad en dicho software. Desde Oracle han anunciado que el error ya está solucionado; para ello, han publicado una nueva actualización, pero los desarrolladores de Mozilla no están tan seguros y siguen sin habilitar el plugin de Java en Firefox.

Frente a esta decisión de Mozilla, muchos usuarios se han quejado del cambio en la web Bugzilla, sobre todo los que tienen habilitado el sistema de actualización automática de la compañía que, en algunos casos considerados leves, se instalan sin pedir confirmación. No obstante, cualquier usuario que lo desee puede instalar libremente en Firefox la actualización de Java que, según defiende Oracle, debe solucionar estas vulnerabilidades.

fuente: csospain.es


Los hackers atacan a los usuarios de PlayStation Network

Los ciberdelincuentes han extraído claves de cuentas del servicio online de Sony que están utilizando para hacer compras.

La comunidad de usuarios de PlayStation Network, la plataforma online para PlayStation 3 y PSP, ha sido el nuevo objetivo de los ciberdelincuentes.

Los hackers se han servido de malware para apropiarse de miles de contraseñas de cuentas del servicio. Lo han hecho mediante mails en cadena, que contenían el acceso a ciertas URL maliciosas. Al entrar en ellas, automáticamente, las claves serían sustraídas, aunque el usuario no hubiera introducido en ese momento su información personal.

Parece que los hackers están usando los códigos de acceso de los que se ha apropiado para hacer numerosas compras. De hecho, a algunos poseedores de PlayStation ya les han llegado facturas astronómicas.

Para evitar esta invasión de la intimidad se recomienda eliminar la información de la tarjeta de crédito del servicio y modificar el email y contraseña asociados al mismo mediante la propia web oficial de PSN, asi como bloquear contactos que envíen correos que susciten dudas. En el caso de detectar transacciones sospechosas lo mejor es hablar con la entidad bancaria correspondiente.

fuente: itespresso.es


Sun Solaris tendrá parches de seguridad trimestrales

Oracle ha decidido incluir los productos de Sun en su calendario de seguridad. La incorporación de Sun Solaris a esta actualización periódica permitirá a los usuarios del sistema operativo de Sun Microsystems conocer con meses de antelación cuándo recibirán las actualizaciones de seguridad.

Con este anuncio, realizado el pasado jueves, la compañía aseguró que incluirá una serie de productos de Sun, como Solaris, Sun Cluster, Sun Corvengence o el software Sun Ray Server, en su Critical Patch Update.

A pesar de que Sun ya había lanzado previamente los parches de seguridad sobre una base predeterminada, Oracle, que compró Sun el año pasado, está ahora integrando todos los productos de Sun en su ciclo de parches trimestrales para hacer el proceso más predecible, según la propia compañía.

Muchas grandes empresas de software, como Cisco Systems, Microsoft o Adobe ya han adoptado ciclos similares de revisión periódica.

Como es habitual, Oracle también pondrá a disposición de sus clientes correcciones para su base de datos (siete de los 47 son para este fin), sin embargo, de acuerdo con la compañía, los errores de la base de datos no son tan críticos como otras vulnerabilidades.

fuente: csospain.es


Microsoft encuentra 1.800 agujeros en Office

Los desarrolladores de Office han localizado más de 1.800 agujeros en Office 2010 sin solucionar tras ejecutar millones de pruebas de las denominadas “fuzzing”. Microsoft aclara que no todos los fallos comprometen la seguridad de la suite.

Según explica Tom Gallagher, del equipo Trustworthy Computing de Microsoft, estas pruebas fuzzing son una práctica que llevan a cabo tanto los desarrolladores de software como los investigadores de seguridad cuando buscan agujeros en las aplicaciones. Para ello, insertan datos en analizadores de formatos de archivos para ver dónde fallan los programas. Debido a que algunos errores pueden ser posteriormente atacados con éxito para romper el software, permitiendo a un atacante insertar código maligno en la aplicación, estas prácticas fuzzing son de gran interés tanto para los investigadores, ya sean criminales o con objetivos legítimos, a la hora de localizar vulnerabilidades de seguridad.

“Hemos localizado, y solucionado, 1.800 agujeros en el código de Office 2010″, explica Gallagher, quien, tras reconocer que es “un gran número”, destaca que “lo importante es que no significa que hayamos encontrado 1.800 problemas de seguridad, puesto que también hemos solucionado aspectos que no conciernen a la seguridad de la aplicación”.

Gallagher declinó, en cualquier caso, cuantificar el número de agujeros localizados por estas técnicas que sí podrían ser considerados vulnerabilidades. Algunas de ellas ya han sido solucionadas en versiones anteriores de la suite ofimática puesto que la información obtenida con los análisis fuzzing del código de Office 2010 fue contrastada con el código de esas versiones anteriores (como Office 2007 y 2003) y parcheadas durante el desarrollo de Office 2010.

Así, los agujeros descubiertos en la última versión que no afectan a la seguridad pero que ya existían en versiones anteriores serán solucionados en los próximos Service Pack que prepara la compañía, asegura Gallagher.

Microsoft ha sido capaz de encontrar tal cantidad de agujeros utilizando no sólo máquinas de su laboratorio, si no también PC infrautilizados o sin trabajo dentro de la empresa. Un concepto que tampoco es nuevo. El proyecto Search for Extraterrestrial Intelligence fue el primero en popularizar esta práctica, que también se utiliza en investigaciones médicas o para localizar el mayor número primo.

Tal y como explica Gallagher, “lo llamamos una red botnet para fuzzing”, en referencia a lo que la propia Microsoft ha denominado Distributed Fuzzing Framework (DFF). Así, el software cliente instalado en las máquinas de la red de Microsoft automáticamente detecta cuándo un PC está sin trabajo, como los fines de semana, y lo aprovecha para realizar estos tests fuzzing. “Podemos hacer millones de operaciones de este calibre cada semana”, explica Gallagher, quien calcula que, en algunos casos, se superan los 12 millones de operaciones.

Aunque todo el equipo de desarrollo de Office utiliza esta red DFF, no todos los grupos dentro de Microsoft explotan sus posibilidades. En estos momentos, SharePoint, MSN y las búsquedas con Fast han probado este sistema, pero no los desarrolladores de Windows, por ejemplo.

fuente: csospain.es