Nuevo fallo de seguridad de Adobe Flash Player!

Adobe ha emitido un aviso de seguridad reportando la existencia de una vulnerabilidad crítica, del tipo 0day, en Adobe Flash Player.

Recursos Afectados:

Todas las versiones de Flash Player hasta la actual 21.0.0.226 para Windows, Mac OS X, Linux y Chrome OS.

La Solucion:

Hasta el 12/5/2016 Adobe no tendrá disponible la actualización de seguridad que solucionará el problema. La actualización que solucionará esta vulnerabilidad se instalará de forma automática aunque también será posible descargarla desde:  https://get.adobe.com/es/flashplayer/

Hasta entonces, se recomienda desactivar Adobe Flash Player en los navegadores.

A continuación se describen los pasos necesario para desactivar Flash en los principales navegadores.


Internet Explorer

Selecciona el engranaje de la parte superior derecha de la pantalla y posteriormente selecciona “Administrar complementos”.

 El siguiente paso es seleccionar en la barra lateral izquierda “Barra de herramientas y extensiones” y busca “Shockwave Flash Object” y selecciona deshabilitar.

Firefox


Abrir el menú del navegador y pinchar en la opción “Complementos”.

Selecciona la opción del menú lateral izquierdo “Plugins”, buscar “Shockwave Flash Object” y  marca en el menú desplegable “No activar nunca”.

Chrome

Escribe “chrome:plugins” en la barra de direcciones del navegador sin comillas.
En la página que aparezca, buscar “Adobe Flash Player”.
Finalmente pulsar sobre el link “Inhabilitar” que aparece justo debajo.

Una vez se haya lanzado el parche de seguridad y actualizado el producto podrás volver a activarlo en los navegadores, sólo si lo necesitas, siguiendo los mismos pasos a la inversa.

Detalles

 

El fallo de seguridad en Adobe Flash Player no ha sido descrito completamente para no dar oportunidad a grupos de ciberdelincuentes a que se aprovechen de esta vulnerabilidad con propósitos maliciosos.
 
Sin embargo, lo que se conoce, es que a través de este nuevo fallo un atacante puede tomar el control remoto de un dispositivo y realizar cualquier acción como por ejemplo instalar malware.

Muchos ya deben tener deshabilitado Adobe Flahs Player pero nunca esta demas dar un aviso y ayuda.

Saludos!

Puput, correo electrónico sin Internet en cualquier parte y gratis

¿Qué te parecería acceder a la información de Internet sin Internet? Esto es precisamente lo que planean los creadores de Puput, un nuevo servicio revolucionario con el que podrás recibir siempre tus correos electrónicos allá dónde estés, aunque no dispongas de una conexión a Internet. Este servicio funciona sin fronteras, por lo que la iniciativa es especialmente interesante cuando viajamos al extranjero.

Este nuevo servicio, revolucionario en cuanto al enfoque, nace de una empresa catalana llamada Paradoxa, que ha puesto sobre la mesa una manera real y funcional de recibir nuestros correos electrónicos en cualquier lugar, sin importar que no dispongamos de una conexión a Internet. Vamos a ver más detalles:

Aunque hoy en día pueda parecer imprescindible Internet, ¿realmente lo es? Personalmente pienso que sí, aunque la iniciativa de esta empresa catalana tiene sin duda su mérito. Estos chicos plantean la posibilidad de recibir correo electrónico en nuestro smartphone de forma gratuita, sin Internet y a coste cero.

El servicio no puede ser más intuitivo, lo único que debemos hacer para recibir el correo electrónico de este modo es seguir los siguientes pasos:

1. Crear una cuenta de correo electrónico en la página web de puput.io.

2. Una vez creada solo tendremos que dar una llamada perdida al número que nos proporcionan.

3. En breves instantes recibiremos una llamada de voz y escucharemos nuestros correos electrónicos. Gratis.

Lo cierto es que suena interesante, ¿verdad? Esto podría ser una manera real de disponer de la información más importante allá dónde estemos, aunque no dispongamos de una conexión de datos o una red Wi-Fi cercana.

Además, podemos configurar el correo a nuestra medida, dando preferencia a ciertos mensajes, direcciones o filtrando el contenido para ajustarlo a nuestro gusto.

Parece que sí se puede tener Internet sin Internet, o al menos la información que hay en él. Puede que pronto veamos más iniciativas de este tipo, al igual que más propuestas de Paradoxa.

Solucionan una vulnerabilidad grave en el Kernel Linux que permite ejecutar código como root

Aunque por lo general el kernel Linux se desarrolla, comprueba y analiza por un gran número de personas (la comunidad), siempre existen pequeñas vulnerabilidades que es posible que hayan sido pasadas por alto por todos los que han revisado el código. Este es el caso de la nueva vulnerabilidad CVE-2016-0728, un fallo presente en dos de las funciones del llavero de Linux que podían dar lugar a ejecución de código en una máquina con permisos de kernel, el mayor nivel disponible. 

Esta vulnerabilidad, descubierta por los investigadores de Percepción Point, lleva presente desde la versión 3.8 del kernel, es decir, desde el año 2012. Este fallo de seguridad puede permitir a un usuario no autorizado, con acceso físico a la máquina y con los permisos mínimos por defecto, obtener acceso root y poner en peligro toda la máquina ejecutando código con el máximo nivel de permisos. La vulnerabilidad también afecta a más de un tercio de todos los dispositivos Android (KitKat y superiores) al utilizar, en común, esta versión del kernel.

Este fallo de seguridad se encuentra concretamente en el llavero que se instala en los sistemas Linux y que permite almacenar y cifrar todo tipo de contraseñas en el sistema para evitar que estas puedan caer en malas manos a la vez que facilita el acceso a otras aplicaciones (siempre que le demos permiso) a dichas contraseñas. El fallo se encuentra en dos funciones concretas de los llaveros, Add_key y request_key keyctl, diseñadas para permitir la ejecución de código con permisos de kernel en el espacio del usuario para que el usuario pueda añadir y recuperar las claves y utilizarlas junto a otras aplicaciones.

Aunque este error puede generar problemas de pérdida de información de la memoria, es posible que las consecuencias sean bastante más graves, llegando hasta la ejecución de código remoto con permisos de kernel. En resumen, los pasos a seguir para poder explotar esta vulnerabilidad son:

• Se debe mantener una referencia legítima a un objeto clave para posteriormente desbordarlo

•  Una vez desbordado, obtenemos acceso liberado al llavero y le asignamos un nuevo objeto diferente dentro del espacio del usuario, pero sobre la misma memoria de antes.

•  Haciendo uso de la referencia antigua del objeto podemos ejecutar código con permisos máximos en el sistema.

Algunas de las distribuciones afectadas por el fallo de seguridad son:

• Red Hat Enterprise Linux 7
• CentOS 7
• Scientific Linux 7
• Debian stable 8.x (jessie) / testing 9.x (stretch)
• SUSE Enterprise Desktop 12 & 12 SP1 / Server 12 & 12 SP1 / Workstation Extension 12 & 12 SP1
• Ubuntu 14.04 LTS (Trusty Tahr) / 15.04 (Vivid Vervet) / 15.10 (Wily Werewolf)
• Opensuse LEAP and version 13.2

Podemos ver un sencillo concepto de explotación desde GitHub.

Cómo solucionar y protegerse de la vulnerabilidad CVE-2016-0728 del Kernel Linux

Tal como afirman muchos de los desarrolladores, solucionar el fallo de seguridad era algo sencillo, el problema está en que no todos los usuarios son capaces de recibir actualizaciones automáticas (o simplemente de actualizarse, como es el caso de los smartphones antiguos Android), por lo que la brecha de seguridad puede quedar abierta en un considerable número de dispositivos.

Los usuarios que reciban parches de seguridad automáticos no deben preocuparse (aunque es recomendable reiniciar el sistema para asegurar que el parche se aplica correctamente), sin embargo, aquellos que no tengan actualizaciones automáticas deberán actualizar manualmente su sistema. Para ello bastará con teclear en un terminal los siguientes comandos:

Ubuntu / Debian:

sudo apt update

sudo apt upgrade

sudo reboot

CentOs / RHEL:

sudo yum update
reboot

También debemos asegurarnos de tener habilitados los módulos de seguridad SMEP y SMAP (y SELinux en Android) que hacen mucho más difícil el hecho de ejecutar código del kernel en entornos de usuario.

Bueno sin más que decir, espero les agrade y sea de utilidad el artículo

Saludos!

Ubuntu 16.04 LTS traera varias novedades

Estamos a poco tiempo de conocer el nuevo Ubuntu 16.04 LTS (Xerial Xerus), pero ninguna de sus novedades se ha intimidado, ya que se han ido descubriendo poco a poco ante la espera de los amantes del sistema operativo Linux. Todo indica que sería una de las actualizaciones más esperadas, pues más que mejoras de estabilidad y solución a problemas comunes, llegará cargado de cambios y características interesantes.

En esta ocasión, son varias las novedades que acompañarán a Ubuntu en su próxima versión con soporte a largo plazo, ya que luego de trabajar sin descanso en Ubuntu Touch para móviles, Canonical puso manos a la obra en la versión de escritorio. Encontraremos cambios notables en la interfaz y otros no tanto, pero igualmente considerables, uno de ellos bastante solicitado por los usuarios del sistema operativo, según reporta Softpedia

El lanzador de Unity podrá cambiarse de posición

 

Seguro que nadie lo esperaba, pero siendo el lanzador de Unity una de las características más representativas de Ubuntu y el equivalente a la barra de tareas de Windows, era cuestión de tiempo para que los desarrolladores cambiaran de opinión sobre mantenerlo fijo al costado izquierdo de la pantalla. A partir de Ubuntu 16.04 LTS, los usuarios podrán moverlo hacia la parte inferior, para mayor comodidad.

Posible adiós al Centro de Software de Ubuntu

La que parece ser una mala decisión de Canonical en realidad sería una buena noticia para los usuarios del sistema operativo y los desarrolladores de aplicaciones para Ubuntu, pues si bien hace poco fue actualizado el Centro de Software de Ubuntu tras un par de años sin darle mantenimiento, se estaría planeando la opción de cambiarlo por GNOME Software, interfaz gráfica equivalente para buscar, instalar, actualizar y eliminar aplicaciones.

Nuevas aplicaciones preinstaladas

 

Entre los planes de Canonical no sólo estaría decir adiós al centro de software, sino a algunas aplicaciones como Brasero, software para grabar, copiar y borrar información de CDs y DVDs, prácticas casi obsoletas; y Empathy, cliente para Google Talk, el chat de Facebook y otros servicios de mensajería. Además, parece que GNOME tendría más relevancia de la pensada en Ubuntu, con la inclusión de la aplicación Calendario.

Otra de las sorpresas es la adición de USB Startup Creator, aplicación para grabar imágenes de disco (sean o no de Ubuntu) en memorias USB para bootear. Fue trabajada especialmente para Ubuntu 16.04 LTS, luego de planear su rediseño y reconstrucción basándose en QML para hacerla más flexible y fácil de darle mantenimiento.

Otros cambios significativos y menores

Para rematar con esta serie de novedades incontables, Canonical preparó una actualización para la animación de inicio, Plymouth, la cual no ha sido actualizada desde el año 2009. Por otra parte, los paquetes de Snappy llegarán a Unity 7, mientras que de éste se deshabilitará la búsqueda en línea previamente habilitada por defecto.

Una nueva característica a introducir en Ubuntu 16.04 LTS, útil en términos de accesibilidad, es la capacidad para seleccionar un elemento y arrastrarlo sin tener qué mantener presionado el botón izquierdo del pad o el mouse, opción presente mucho antes en Windows y que probablemente llegará al sistema operativo Linux en una futura actualización.

A esto añadimos que los desarrolladores de Ubuntu planificaron la implementación del sistema de archivos ZFS (desarrollado por Sun Microsystems para Solaris) en los repositorios, ya que su estructura permite administrar los espacios de almacenamiento de manera sencilla. Todo sea para mejorar de dentro hacia fuera.

.

Sin duda que estamos ante la presencia de una actualización importante y con muchas mejoras en Ubuntu, esperemos que sea todo un éxito!

Saludos