Posts Tagged ‘exploit’

Problemes de seguretat Android i iPhone

dissabte, agost 14th, 2010

Aquesta setmana han aparegut dos problemes de seguretat importants.

Un per a iPhone 4, 3.x, iPod i per a iPad, consistent en un bug en les llibreries PDF que permetien executar codi amb permís total sobre el telèfon.

Fins ara només s’ha detectat un ús benintencionat consistent a permetre alliberar el mòbil (jailbreak).

Apple s’ha afanyat a solucionar el problema (gravíssim si se’n fa un mal ús ja que es podrien robar les dades dels usuaris, esborrar els telèfons, enviar sms de pagament, etc…) i han alliberar les actualitzacions de Firmware iOS 4.0.2 iOS 3.2.2.

Via: ars technica

L’altre problema de seguretat ha estat en Android però no és un error atribuïble a la marca sinó que es tracta d’un programa fet per uns delinqüents que si s’instal·la genera grans pèrdues.

És el mateix que si a l’ordinador instal·les un programa camuflat que realment pretén extorsionar-te o robar-te (troià).

Concretament un troià que un cop instal·lat comença a enviar sms de pagament, sense el permís de l’usuari, a números de serveis especials (premium) i que enriqueixen als pirates, destinataris dels sms i arruïnen a la víctima propietària del telèfon.

El troià es fa passar com un programa per a visualitzar vídeos i música (media player), ocupa 13 K, i en instal·lar-se comença a enviar sms als cibercriminals.

Amb l’ordinador o amb el mòbil hem de parar molta cura sempre que ens instal·lem un programa des d’Internet i fer-ho només de fons acreditades.

Via: OSNews | Kaspersky antivirus

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Hack a l’iPhone que permetria a un hacker tenir tots els sms (fins i tot els esborrats)

dissabte, març 27th, 2010

Aquest dies s’està celebrant un esdeveniment de Hacking i seguretat mundial: Pwn2Own 2010.

Uns investigadors de seguretat europeus han demostrat com un iPhone completament actualitzat amb el darrer firmware, és hackejat d’una manera tan simple com visitant una plana web maliciosa.

En visitar aquesta plana, tots els SMS, fins i tot els esborrats, i els contactes, s’envien als hackers.

Un efecte secundari d’aquest hack és que el navegador web Safari peta (dóna un error), tot i que ens investigadors han dit que poden fer-ho sense que provocar l’error al navegador.

Una cosa que m’emprenya d’apple és aquest control sobre les aplicacions que es poden descarregar per a l’iPhone, l’iPad, etc… ho dic perquè Opera Mini (muntatge a la fotografia) per a iPhone es troba en mans d’apple pendent de l’acceptació, però no tinc clar si permetran que es pugui descarregar de la apple store.

De moment a l’esdeveniment Pwn2Own d’enguany han hackejat tots els navegadors menys el Google Chrome.

Via: Download Squad via ZDnet via Neowin

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Alliberat Drupal 6.16

dissabte, març 6th, 2010

El proppassat dia 4 fou alliberat Drupal 6.16.

Drupal és un programari lliure, gestor de continguts (Content Management System).

Aquesta nova versió soluciona molts errors, però sobretot evita uns forats de seguretats força greus descoberts darrerament.

Veure: Anunci oficial de Drupal

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Error de seguretat en tots els Windows 32 bit

dissabte, gener 23rd, 2010

Ha trascendit un error de seguretat que afecta totes les versions de Windows 32 bit, des de 1993 fins a les actuals (des de windows nt, xp, vista, 7).

El juny del 2009, Tavis Ormandi, va informar microsoft d’aquest greu problema de seguretat, que permet guanyar el control de la màquina.

Tècnicament permet a un programa de 16 bits executat des d’un compte d’usuari sense privilegis, guanyar el nivell SYSTEM, que pot fer-ho tot a l’ordinador.

Microsoft no ha solucionat l’error de seguretat, però impedir aprofitar-se d’aquest bug és fàcil.

Adjunto un vídeo que indica pas per pas com desactivar la possibilitat d’executar codi 16 bits.

S’ha cobert de glòria microsoft no solucionant-ho en més de 6 mesos.

Via: NoticiesdotCom

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Alliberada actualització de seguretat per a Mac Os X

dimecres, gener 20th, 2010

Mac, la marca que discrimina el Català, ha alliberat un nou pedaç de seguretat per a Mac OS X.

Tal i com informen http://support.apple.com/kb/HT4004 (anglès, traducció al Català) aquest pedaç soluciona diversos problemes de seguretat que poden portar a que un atacant es faci amb el control de l’aparell.

Les versions de Mac Os X afectades són la 10.5.x i 10.6.x, també la versió Server.

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Alliberat Zend Server 4.0.6 (crític)

dimecres, gener 20th, 2010

S’ha alliberat una actualització per a Zend Server 4.0.6 que actualitza el framework Zend a la versió 1.9.7 i que soluciona diversos errors de seguretat crítics.

Com sabeu el framework Zend és de PHP. M’ha fet moltíssima gràcia veure que l’enllaç que m’han enviat de la llista de distribució és un .ASPX el que indica que empren el servidor web i el llenguatge de microsoft (o el projecte momo que és una versió programari lliure de .NET).

http://app.news.zend.com/e/er.aspx?s=714&…

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Alliberat WordPress 2.8.6 (seguretat)

divendres, novembre 13th, 2009

wordpressS’ha alliberat la versió 2.8.6 de WordPress que soluciona dos problemes de seguretat greus, que poden ser aprofitats per usuaris amb permís per a publicar articles al bloc.

Un afecta a totes les plataformes i l’altre només a algunes configuracions del servidor web Apache en pujar un arxiu amb un nom que ha de ser renombrat.

Descripció del problema (anglès, traduir a Català amb google)

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Actualització WordPress 2.8.5 (seguretat)

Dimarts, octubre 20th, 2009

wordpressAcaba d’alliberar-se la versió 2.8.5 de WordPress.

Bàsicament és una actualització de seguretat urgent, del problema que us informava ahir de trackback, i inclou un canvi que podria comprometre la seguretat i dos canvis menors.

En poques hores serà disponible la versió en Català.

La versió en anglès ja ho està.

Enllaç a l’anunci de WordPress anunciant aquest “hardening release”.

Actualització 2009-10-21: WordPress 2.8.5 en Català ja és disponible.

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Actualitzacions de seguretat de Windows 2003 Server (molt urgent)

Dimarts, octubre 13th, 2009

codic-cat-2009-10-13-windows2003-32bitMicrosoft ha presentat avui tot un seguit d’actualitzacions de seguretat (patch o pedaços) realment crítics per al seu programari servidor Windows 2003 server.

Jo he vist una servidor hackejat recentment i estic segur que s’han aprofitat d’alguna d’aquestes vulnerabilitats.

De fet microsoft ja admet a la descripció de les actualitzacions que un atacant pot guanyar el control del servidor.

De moment he vist les actualitzacions per a windows server 32 bit en anglès, però sospito que les versions de 64 bit també deuen estar afectades i per descomptat les versions localitzades en qualsevol altre idioma.

De fet la llista d’actualitzacions de seguretat publicades avui és extensa.

Inclou errors de Windows 2003 Server, de Sql Server 2005 SP 3, de .NET Framework 1.1 SP1, .NET framework 2.0 SP2, Internet Explorer 8, i Outlook 2003.

La llista d’actualitzacions i el l’enllaç a microsoft per a descarregar-les manualment:

http://go.microsoft.com/fwlink/?LinkId=125438

http://go.microsoft.com/fwlink/?LinkID=163830

http://go.microsoft.com/fwlink/?LinkId=163913

http://go.microsoft.com/fwlink/?LinkId=162442

http://go.microsoft.com/fwlink/?LinkID=161342

http://go.microsoft.com/fwlink/?LinkId=164004

http://go.microsoft.com/fwlink/?LinkID=163832

Microsoft .NET Framework 1.1 Service Pack 1 Security Update for Windows Server 2003 x86 and Windows Server 2003 R2 x86 (KB953298)
Date last published: 10/13/2009

http://go.microsoft.com/fwlink/?LinkID=127836

Microsoft .NET Framework 2.0 Service Pack 2 Security Update for Windows 2000, Windows Server 2003, and Windows XP (KB974417)
Date last published: 10/13/2009

http://go.microsoft.com/fwlink/?LinkId=161067

Cumulative Security Update for Internet Explorer 8 for Windows Server 2003 (KB974455)

http://go.microsoft.com/fwlink/?LinkId=163979

Cumulative Security Update for ActiveX Killbits for Windows Server 2003 (KB973525)

http://go.microsoft.com/fwlink/?LinkId=158202

Security Update for Windows Server 2003 (KB975467)
Date last published: 10/13/2009

http://support.microsoft.com/kb/975467

Security Update for Microsoft Office 2003 (KB974554)

http://support.microsoft.com/kb/974554

Security Update for Microsoft Office Outlook 2003 (KB973705)
Date last published: 10/13/2009

http://support.microsoft.com/kb/973705

Security Update for SQL Server 2005 Service Pack 3 (KB970892)
Date last published: 10/13/2009

http://support.microsoft.com/kb/970892

Actualització 2009/10/14: Les actualitzacions també estan disponibles per a Windows 2003 Server 64 bit.

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Greu problema de seguretat en el programari de control de versions, projectes i repositori de codis fonts SVN (Subversion)

divendres, setembre 25th, 2009

codic.cat-solucio-per-apache-svnEnllaço a aquest magnífic article (en anglès) que descriu la vulnerabilitat que permet accés a tots els codis font del conegut CVS (Concurrent Version System – Sistema de versions concurrents) Open Source: SVN o Subversion.

L’article també explica com solucionar el problema de seguretat.

http://www.smashingmagazine.com/2009/09/25/svn-strikes-back-a-serious-vulnerability-found/

Via: OS News

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Alliberat Mozilla Thunderbird 2.0.0.23 (crític)

divendres, agost 21st, 2009

codic.cat-2009-08-21-thunderbir-actualitzacio-CatalaS’ha descobert un error greu de seguretat en Mozilla Thunderbird, el programa de correu gratuit.

La vulnerabilitat és en referència a les comunicacions segures SSL.

Per veure els diferents errors esmenats a cada versió aneu a la plana web d‘avisos de seguretat de Thunderbird versió 2.

Es recomana actualitzar immediatament. Encara que no empreu connexió TLS/SSL al vostre servidor de correu, puix que el programa de correu permet obrir connexions web i la descripció de la vulnerabilitat no indica les circumstàncies concretes en que es produeix la vulnerabilitat de seguretat.

Les distribucions d’Ubuntu Linux, també estan afectades tal i com anuncien a USN-817-1.

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Forat de seguretat al servidor web de microsoft IIS 6.0

dijous, maig 21st, 2009

webdav

S’ha descobert un forat de seguretat que permetria saltar-se l’autentificació d’IIS 6.0 i accedir a contingut protegits sense tenir els pertinents permissos.

Aquesta vulnerabilitat també permetria descarregar-se els arxius .ASP.

Tal com reporta the H security aquesta vulnerabilitat o exploit només es pot fer servir si el servidor té activat WebDAV. Per defecte ve desactivat.

Via: l’home dibuixat

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Descoberta vulnerabilitat a totes les versions de Firefox i SeaMonkey

dilluns, març 30th, 2009

firefox_web_browser___international_versions__get_firefox_in_your_languageEl 25/03/2009 es va publicar la nota informant del problema, que consisteix en que amb un XML maliciós es pot penjar Firefox i SeaMonkey i es podria arribar a executar codi maliciós (és a dir, arribar a guanyar el control de l’ordinador).

L’informe de l’error a bugzilla.

A Security Focus hi ha una llista de tots els sistemes afectats.

L’error queda solucionat actualitzant a la última versió.

Via: FireFoxCAT

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Alliberat PHP 5.2.9-1 (actualització de seguretat per a Windows)

dijous, març 12th, 2009

phpPocs dies després del llançament de la versió 5.2.9, concretament el 10 de Març, apareix aquesta actualització de seguretat per a Windows.

Auqesta release soluciona un problema de seguretat introduït per la llibreia cURL (CVE-2009-0037). Aquí hi ha una profusa descripció: http://curl.haxx.se/docs/adv_20090303.html

La funció cURL és desabilitada quan open_basedir o safe_mode són actius.

Aquest problema només afecta a les versions de Windows.

Via: PHP.NET

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Excel 2008 per Mac i Windows té un bug de seguretat (remote-exploit)

dimecres, febrer 25th, 2009

Symantec van localitzar la vulnerabilitat que es produeix en els antics fitxer .xls i no pas en el nou format .xlsx

http://www.macworld.com/article/139017/2009/02/excel.html?lsrc=rss_main (Anglès)

https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/vulnerabilities_exploits/article-id/189 (Anglès)

http://www.microsoft.com/technet/security/advisory/968272.mspx (Anglès)

http://es.appleweblog.com/2009/02/vulnerabilidad-en-excel-para-mac (castellà)

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy