Update Drupal

El equipo de seguridad de Drupal ha solucionado varias vulnerabilidades
en Drupal 6 y 7 que podrían ser aprovechadas por atacantes para provocar
condiciones de cross-site scripting, cross-site request forgery, revelar
información sensible o realizar ataques de inyección SQL.

Drupal es un CMF (Content Management Framework) modular multipropósito y
muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la
publicación de artículos, imágenes, y otro tipo de archivos con
servicios añadidos como foros, encuestas, votaciones, blogs y
administración de usuarios y permisos.

El primero de los problemas reside en un cross-site scripting en la
función Drupal.ajax() en Drupal 7, otra vulnerabilidad de cross-site
scripting afecta a la funcionalidad de autocompletado en formularios en
Drupal 6 y 7. También se ha corregido un cross-site request forgery en
la API de formularios de Drupal 6 y 7, que podría permitir a un usuario
subir archivos al sitio bajo la cuenta de otro usuario.

Una vulnerabilidad en Drupal 6 y 7 podría permitir a usuarios sin
permisos de acceso a contenidos ver los títulos de los nodos a los que
no tenga acceso, incluso podría acceder a ellos si se encuentras
añadidos al menú del sitio.
Por último, una inyección SQL en Drupal 7 en el sistema de filtrado de
comentarios, podría permitir a usuarios inyectar código SQL malicioso en
los comentarios,

Afectan a las versiones 6.x anteriores a 6.37 y 7.x anteriores a 7.39,
se recomienda la actualización a las versiones Drupal core 6.37 o Drupal
core 7.39.
https://www.drupal.org/drupal-6.37-release-notes
https://www.drupal.org/drupal-7.39-release-notes

Tags: 

Es Android es seguro?

Hace algunos días, la firma de seguridad Zimperium reveló el
descubrimiento de un fallo en el sistema de Android, llamado
Stagefright, que permitía a un atacante remoto ejecutar código mediante
un MMS malicioso. La vulnerabilidad se encuentra en un proceso con
permisos "system" que podría permitir a un atacante tomar el control del
dispositivo (permitiría escuchar comunicaciones, robar datos, etc.).
Esto nos hace pensar qué ocurre con las aplicaciones que descargamos.

Para averiguarlo hemos analizado una de las aplicaciones más famosas,
que cuenta con más de 1.000 millones de descargas: Facebook. Es una gran
sorpresa descubrir la gran cantidad de librerías nativas usadas por esta
aplicación, 67 en total. Para optimizar el tiempo de ejecución, todo el
código que se encarga de comprimir imágenes, cifrar las comunicaciones,
etc. está desarrollado a bajo nivel. Sin embargo, codificar a bajo nivel
aumenta la superficie de ataque. Entre otras dificultades el código
nativo requiere una serie de habilidades que no se encuentran en el
común de los desarrolladores. Siendo la gestión de la memoria la
principal característica y fuente irremediable de problemas de seguridad
y estabilidad de los programas.

Librerías nativas de Facebook:
http://3.bp.blogspot.com/-PMvTmtf8VDQ/VdL_u5JP_tI/AAAAAAAAEgc/uJqanHziNz...

Para encontrar posibles librerías vulnerables, nos hemos centrado en
librerías que usan código libre como libpng, libevent, libjpegturbo,
SQLite, etc. Con la ayuda de las bases de datos del MITRE y CVEDetails,
hemos podido encontrar las vulnerabilidades que afectan a estas
librerías desde el año 2012. ¿Por qué el 2012? Porque el compilador con
que se compilaron esas librerías data de ese mismo año. Solo tomamos en
cuenta las vulnerabilidades que podrían permitir ejecutar código
arbitrario.

* libevent (versión obsoleta 1.4.14b-stable): afectada por el
CVE-2014-6272 que podría permitir un desbordamiento de búfer basado en
heap. Sin embargo, Facebook nunca llama a las funciones perjudicadas por
esa vulnerabilidad, así que esta vulnerabilidad no se puede explotar.

* JPEGturbo (versión por lo menos de 2013): se encontró un importante
fallo (CVE-2012-2806) en la versión de 2012, pero fue corregido el mismo
año, así que esta librería tampoco está afectada.

* SQLite no tiene ninguna vulnerabilidad que permita a un atacante
comprometer el sistema (según CVEDetails).

* libPNG (versión obsoleta 1.6.10, del 6 de marzo de 2014): tiene
el CVE-2015-0973 que podría permitir a un atacante provocar un
desbordamiento de búfer, que según MITRE conllevaría una denegación
de servicio o a la ejecución de código arbitrario.
http://4.bp.blogspot.com/-aOZEbK7m_eQ/VdMBI4VhHqI/AAAAAAAAEgo/PPDltnkfi6...

* Facebook también usa otras librerías como libwebp, libsjni, libglog,
etc. pero no se encontró ninguna vulnerabilidad en las versiones
empleadas de todas ellas.

Finalmente, hemos constatado que Facebook usa librerías obsoletas, como
libPNG (versión 1.6.10) que podría permitir a un atacante remoto
ejecutar código arbitrario. Y con ello leer SMS, contactos, etc. (todos
los permisos de Facebook).

Aunque en algunos casos la corrupción de memoria pueda llevar al
compromiso del sistema, Android tiene protecciones para hacer la
explotación más difícil. Podemos destacar medidas como la randomización
de las posiciones de las librerías en la memoria (ASLR), el sandboxing
(con una mejora gracias a la integración de SELinux), protección contra
la ejecución de la pila, etc.

Esto con una aplicación sobradamente conocida y depurada, y con un
fuerte respaldo detrás como la aplicación de Facebook. ¿Qué puede
ocurrir con otras aplicaciones?

Tags: 

Es la nube segura?

El tiempo estaba despejado pero cuando los investigadores iniciaron su
conferencia las nubes se volvieron de un color negruzco. Más que nubes,
nubarrones. Se avecinaba una tormenta. Un atacante podría acceder a los
archivos de servicios en la nube como Dropbox, Google Drive o OneDrive
sin necesidad de la contraseña del usuario.

Los investigadores de la firma Imperva, mostraron en la conferencia
Black Hat lo que han bautizado como ataques "man in the cloud" (hombre
en la nube). Estos ataques MITC podrían permitir a un atacante obtener
todos los archivos almacenados en servicios basados en la nube, o
infectarlos con malware, sin conocimiento del usuario.

Este ataque se diferencia de los ya conocidos de hombre en el medio, en
los que se interfiere la comunicación entre dos servidores o usuarios,
ya que en esta ocasión se aprovecha una vulnerabilidad en el diseño del
sistema de sincronización de archivos ofrecido por diversos servicios de
este tipo, como Dropbox, OneDrive o Google Drive.

Sin usar ningún exploit, simplemente con una sencilla reconfiguración de
los servicios se puede conseguir una herramienta de ataque devastadora y
difícilmente detectable.

El ataque reside en conseguir el token de contraseña, un pequeño archivo
que para mayor comodidad se localiza en el dispositivo del usuario, para
evitar tener que introducir la contraseña cada vez que el servicio
quiera sincronizarse. Una vez que se consigue el token, para lo que
puede emplearse cualquier otro tipo de ataque (p.ej. phishing o
drive-by), se puede emplear para engañar a un nuevo equipo y convertir
al atacante en el dueño de la cuenta. A partir de aquí ya está todo
hecho, el atacante podrá acceder y robar los archivos del usuario,
añadir malware en la nube del usuario, emplear la cuenta de ese usuario
para otros ataques…

El token de autenticación se almacena en el sistema del usuario en el
registro o en un archivo. Después de la autenticación, no se necesitan
más credenciales explícitas (o almacenadas) para acceder a la cuenta del
usuario. Además este token de sincronización es independiente de la
máquina, puede utilizarse el mismo en máquinas diferentes.

La siguiente tabla muestra los tokens y las localizaciones para las
diferentes aplicaciones evaluadas por los investigadores:
http://4.bp.blogspot.com/-Ubyr0buA_so/VcTvF9n21vI/AAAAAAAAEcs/BtcLsDnziG...

Incluso se puede ir aun más lejos, el atacante podrá actuar como el
dueño de la cuenta, si modifica la contraseña impedirá al usuario
legítimo acceder a su cuenta, quedando bajo el control total del
atacante.

Esperemos que se cumpla el dicho de que "Después de la tormenta siempre
llega la calma".

Fuente:http://unaaldia.hispasec.com/2015/08/nubes-tormentosas-archivos-robados....

Tags: 

El Señor de los Android

Una clase para gobernar a todos los Android. Una clase para
encontrarlos, una clase para atraerlos a todos y atarlos en
las tinieblas.

Después de las dos vulnerabilidades importantes anunciadas en los
últimos días, se confirma otra nueva vulnerabilidad en los dispositivos
Android. Or Peles (@peles_o) y Roee Hay (@roeehay) del equipo de
seguridad X-Force de IBM han publicado los detalles en un documento
titulado "Una clase para gobernarlos a todos" ya que solo encontraron
una clase con una vulnerabilidad de serialización en la plataforma
Android, la 'OpenSSLX509Certificate', pero fue suficiente para tomar el
control del dispositivo.

El equipo aprovechó el problema para reemplazar una aplicación existente
en el dispositivo atacado por otra con todos los privilegios. De esta
forma podría permitir robar datos, evitar la política SElinux, o
ejecutar código arbitrario.

Se le ha asignado el CVE-2015-3825, según el informe de IBM el problema
afecta a Android 4.3 a 5.1 (Jelly Bean, KitKat y Lollipop), incluyendo
también a la primera preview de la próxima versión de Android M. Según
IBM esto se cifra en un 55% de los dispositivos Android.

Mi tessssoro

En un vídeo muestran una prueba de concepto del ataque, de forma que una
vez que el malware se ejecuta, reemplaza la aplicación real por otra
falsa, permitiendo al atacante obtener datos de la aplicación o crear el
ataque de phishing perfecto. En este caso el vídeo muestra como la
aplicación de Facebook real se reemplaza por una falsa llamada Fakebook.

https://youtu.be/VekzwVdwqIY

El equipo de IBM partía de la idea de que si encontraban una clase
serializable, que en su método 'finalize' liberara algún objeto nativo
cuyo puntero estuviera controlado podrían conseguir ejecutar código en
el contexto de la aplicación o servicio. Su investigación se centró en
encontrar clases vulnerables en el framework Android y en SDKs de
terceras partes.

Tras analizar las 13.321 clases disponibles en el framework de un
Android 5.1.1 Nexus 5 solo la clase 'OpenSSLX509Certificate' cumplía
todos los requisitos para llevar a cabo el ataque de forma exitosa.

Y también en SDKs

Después de buscar en el framework de Android, pasaron a analizar 32.701
aplicaciones Android populares de los desarrolladores más conocidos para
buscar otras clases que pudieran ser vulnerables. Encontraron un total
de 358 clases en 176 APKs que cumplían su criterio (serializable con un
método 'finalize' y un campo controlable por el atacante). Finalmente
enumeran 6 SDKs vulnerables:
* Jumio (CVE-2015-2000)
* MetaIO (CVE-2015-2001)
* PJSIP PJSUA2 (CVE-2015-2003)
* GraceNote GNSDK (CVE-2015-2004)
* MyScript (CVE-2015-2020)
* esri ArcGis (CVE-2015-2002)

Los investigadores de IBM comunicaron los problemas a Google y a los
desarrolladores de los SDKs afectados.

Google ha publicado parches para Android 5.1 y 5.0 y ha portado el
parche a Android 4.4. La actualización también está disponible en
Android M. Esperemos que les llegue pronto a los usuarios. Igualmente
los desarrolladores de SDKs también han publicado parches para los
problemas.

Desde los abismos llegó su último lamento ¡Tesoro! Y desapareció para
siempre.

Tags: 

Huawei P8 Lite - Dual SIM

Como todo es bien sabido Huawei tunea las versiones de ROM para los operadores, este celular de fábrica viene con el soporte de DUAL SIM , es decir en el primer Slot es asignado al primer SIM y soporta bandas de 2G/3G y 4G y en el segundo Slot (aqui viene la desgracia) que es asignado a la memodia SD puedes ponerle un nanoSIM , pero es uno o es otro, es decir si quieres el 2do SIM sacrificas la memoria externa, pero es problema esto ?? , realmente no , el Huawei P8 tiene 2 GB de RAM y 16 GB de memoria interna , pero solo se le asigna 10Gb al usuario ,aun asi 10Gb es mucho toda vez que las fotos la puedes subir a la nube.

Bueno... pero muchos dirá como hago esto ?? , pues es muy sencillo :

PASO 1:

Primero irse a la version de soporte de España (cada pais tiene su propia version)
http://consumer.huawei.com/es/support/downloads/index.htm?keyword=ALE-L23
Descargarse la version de OpenMarket (la que probé) estoy por cargar la otra internacional (a mi me baja la version L21 pero igual sin miedo)
Luego copiarlo a una SD (insertar una) y copiar el dload (descomprimirlo desde la fuente)

PASO 2:

Apretar Volumen DOWN + UP y luego el POWER (sin soltarlo) una vez que inicia el equipo soltarlo y el mismo equipo con el EMUI se encargará de todo , como mencioné antes me bajo la version para L21 y no la L23 al final de la instalacion que demora un poco le saldrá error .. no se asusten .. reinicien el equipo

Y listo !!!

Subo una foto para que comprueben esto ::

Tags: 

Páginas