problema de seguridad en Skype para iPhone e iPod

Grave problema de seguridad en Skype para iPhone e iPod

 

Permite que al abrir un mensaje de chat de Skype un atacante obtenga la libreta de contactos.

Recursos afectados

Dispositivos iPhone e iPod Touch con Skype 3.0.1, o versiones anteriores, instalado.

Solución

Instalar la nueva versión. Se puede encontrar más información en el siguiente aviso de seguridad:

• Nueva versión de Skype para iPhone e iPad

Detalles

El problema se encuentra en los mensajes de chat de Skype, de tal forma que un atacante puede enviar un mensaje de chat malicioso que al ser abierto por la victima provoca que se envíe la libreta de contactos.

Actualización de seguridad de Flash Player

 

Resuelve 6 problemas graves de seguridad que pueden permitir la ejecución de código al visitar una página web maliciosa.

Recursos afectados

• Adobe Flash Player 10.3.183.7, y versiones anteriores, para Windows, Macintosh, Linux y Solaris.
• Adobe Flash Player 10.3.186.6, y versiones anteriores, para Android.

Cómo comprobar la versión instalada de Flash Player:
Se muestra accediendo a la página Acerca de Flash Player o pulsando el botón derecho del ratón en un contenido de Flash, y seleccionando la opción de "Acerca de Adobe Flash Player".
Para comprobar la versión instalada en Android, se debe hacer click en el menú [Settings > Applications > Manage Applications > Adobe Flash Player 10.x.].

Solución

• Para plataformas Windows, Macintosh, Linux y Solaris actualizar a la última versión (la 10.3.183.10). Es posible hacerlo desde el centro de descargas de Adobe Flash Player.
• Los usuarios de Android deben actualizar a la versión 10.3.186.7 a través del Mercado de Aplicaciones.
• El navegador Chrome se actualizará automáticamente con la nueva versión de Flash.

Detalles

Flash Player es un programa muy extendido para visualizar videos en páginas web.
La actualización de seguridad resuelve varios problemas de seguridad que pueden permitir desde la ejecución de órdenes en páginas web sin conocimiento del usuario, como compras o envíos de correos de web, hasta el control del ordenador por un atacante remoto.

Nueva versión de Skype para iPhone e iPad

 

Además de incorporar nuevas funcionalidades, soluciona un grave problema de seguridad descubierto la semana pasada.

Recursos afectados

Dispositivos iPhone, iPod Touch y iPad con Skype una versión anterior a la 3.5.84 instalada.

Solución

La actualización se puede descargar de iTunes: Skype para iPhone y Skype para iPad.

Detalles

La versión 3.5.84 de Skype permite el uso de manos libres bluetooth e incluye un estabilizador de imagen de vídeo, y corrige una grave vulnerabilidad XSS que permite la captura de la libreta de contactos:

• Grave problema de seguridad en Skype para iPhone e iPod

Posible acceso a información privada en smartphones HTC

 

El fallo puede llegar a permitir el acceso a información confidencial por parte de aplicaciones de terceros a las que el usuario permita el acceso a Internet.

Recursos afectados

De momento se ha detectado el problema en los siguientes modelos:

• EVO 4G
• EVO 3D
• Thunderbolt
• EVO Shift 4G
• MyTouch 4G Slide

No se descarta que existan más modelos afectados.

Solución

Hasta que HTC no publique una solución al problema, como medida de prevención se debería de evitar la instalación de nuevas aplicaciones en el dispositivo en la medida de lo posible, y en caso de necesitar
instalarlas, se debe acudir a la página del desarrollador o bién a repositorios que nos ofrezcan la máxima seguridad. Respecto de las aplicaciones que estén instaladas en nuestro terminal, habría que eliminar aquellas que no sean totalmente necesarias y que hayamos instalado recientemente.

Detalles

En una actualización reciente para algunos de sus dispositivos, HTC incluyó una serie de herramientas que recopilan información del dispositivo. Entre esos datos hay contactos, datos de llamadas, de SMS, datos de localización y alguno del sistema.
El problema radica en que esa recogida de información no está tratada de forma segura, codificada o protegida por algún tipo de permiso adecuado, sino que por el contrario cualquier aplicación que tenga permisos de acceso a Internet (android.permission.INTERNET, común a aplicaciones que se conectan a Internet) podría acceder a esa información sin ningún control por parte del sistema.

Impacto

La explotación de esta vulnerabilidad podría permitir el acceso a información protegida mediante una aplicación con un permiso que en principio no debiera de suponer un riesgo.
Hay que señalar que sería necesario que el usuario instalara una aplicación que explotara esta vulnerabilidad.

 

Nueva actualización del navegador Chrome

 

Corrige 7 problemas de seguridad que pueden provocar el cuelgue del navegador web.

Recursos afectados

Todo tipo de ordenadores (Windows, Mac y Linux) con el navegador Chrome instalado.

Solución

No hace falta intervenir ya que el navegador instala la nueva versión automáticamente. Pero si se quiere comprobar si se tiene instalada la última versión o existe alguna actualización disponible, se debe hacer click en el icono de "herramientas" y seleccionar "Acerca de Google Chrome":

Si existe alguna actualización, aparecerá:

Detalles

Corrige varios problemas de seguridad que pueden ser utilizados por un atacante o página maliciosa para colgar el navegador.
Por otro parte, incluye la nueva versión de Adobe Flash Player.

Referencias

Actualización 14.0.835.202 de Google Chrome

Microsoft publica parche de seguridad fuera de su ciclo habitual.

 

A raíz de los incidendes ocurridos en los últimos días sobre la intrusión de en los sistemas de la autoridad de certificación Diginotar, Microsoft ha publicado un actualización para eliminar dichos certificados e impedir que se lleven a cabo cierto tipo de ataques contra los usuarios cuando navegan por Internet.

Recursos afectados

• Windows XP
• Windows Vista
• Windows 7

Solución

Los usuarios que tengan las actualizaciones automáticas activadas recibirán e instalarán la actualización de forma inmediata.

Detalles

La actualización se aplicará a ciertas versiones de Microsoft Windows por medio de las actualizaciones automáticas para revocar la confianza de los certificados emitidos por DigiNotar.
Dicha actualización se ha ampliado para todos los clientes que utilizan Windows XP y Windows Server 2003

certificados de Diginotar

Solución al problema de los certificados de Diginotar

 

Adobe ha publicado un aviso de seguridad en el que se indica la forma manual de solucionar el problema de los certificados de Diginotar.

Recursos afectados

• Adobe Acrobat 9 y X
• Adobe Reader 9 y X

Solución

Adobe nos indica dos formas de solucionar el problema, una mediante la importación de la configuración de seguridad de un documento que nos proporciona y la otra es una forma manual.

Mediante el fichero que proporciona Adobe
1. Se descarga este fichero, y se extrae el fichero que contiene RemoveDigiNotar.acrobatsecuritysettings.
2. Se abre el fichero con el producto desde Adobe Reader o Acrobat (o con ambos si están los dos instalados)
3. En Adobe Reader/Acrobat 9, se selecciona la opción "Documento" -> "Avanzado" -> "Seguridad" -> "Importar configuración de seguridad", en Adobe Reader/Acrobat X, del menú principal la opción "Edición" -> "Protección" -> "Importar configuración de seguridad"
4. Se abre el fichero que se ha descargado RemoveDigiNotar.acrobatsecuritysettings
5. Una vez abierto el fichero, se debe seleccionar la opción de "Importar" en la parte derecha de la ventana de importación

• Modificación de forma manual
• Adobe Reader 9
1. Se abre el programa Adobe Reader
2. Del menú principal se selecciona la opción "Documento" -> "Administrar identidades de confianza"
3. Del desplegable "Mostrar" se selecciona la opción "Certificados"
4. Se selecciona "DigiNotar Qualified CA"
5. Se selecciona la opción "Eliminar" y se confirma la eliminación
• Adobe Acrobat 9
1. Se abre el programa Adobe Acrobat
2. Del menú principal se selecciona la opción "Avanzado" -> "Administrar identidades de confianza"
3. Del desplegable "Mostrar" se selecciona la opción "Certificados"
4. Se selecciona "DigiNotar Qualified CA"
5. Se selecciona la opción "Eliminar" y se confirma la eliminación
• Adobe Reader/Acrobat X
1. Se abre el programa Adobe Acrobat
2. Del menú principal se selecciona la opción "Edición" -> "Protección" -> "Administrar identidades de confianza"
3. Del desplegable "Mostrar" se selecciona la opción "Certificados"
4. Se selecciona "DigiNotar Qualified CA"
5. Se selecciona la opción "Eliminar" y se confirma la eliminación

Detalles

Debido al problema de los certificados de diginotar, Adobe ha publicado un aviso de seguridad en el cual ofrece dos alternativas para eliminar el certificado raiz de esa autoridad certificadora de su lista de certificados de confianza para evitar que sus productos Adobe Reader y Acrobat reconozca un documento firmado con un certificado que pudiera estar comprometido.

IMPACTO

Si un usuario no eliminara esa autoridad de certificación, su software de Adobe podría indicar como "confiable" un certificado que estuviera falsificado.