martes, 28 de octubre de 2014

Denegación de servicio en dispositivos Cisco IOS y Cisco IOS XE

Cisco ha anunciado la existencia de una vulnerabilidad de denegación de servicio en dispositivos con software Cisco IOS y Cisco IOS XE.
La vulnerabilidad, con CVE-2014-3409, reside en el Ethernet Connectivity Fault Management (CFM) debido a a un tratamiento incorrecto de paquetes CMF específicamente construidos. Un atacante remoto sin autenticar podrá explotar esta vulnerabilidad para provocar el reinicio del dispositivo. La repetición del ataque de forma continuada podrá provocar la condición de denegación de servicio.
Cisco no ofrece actualizaciones gratuitas para este problema. Los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.
Más información:
Cisco IOS and IOS XE Software Ethernet Connectivity Fault Management Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3409
 
Fuente | www.hispasec.com
Publicado por | No hay comentarios:
Etiquetas: , , ,

Apple iTunes 12.0.1 y QuickTime 7.7.6 para Windows: Mismos Bugs y más Librerías inseguras

El investigador de seguridad Stefan Kanthak ha publicado que aunque Apple iTunes 12.0.1 ha sido liberado recientemente, algunas de las librerías de terceros utilizadas por iTunes y QuickTime son vulnerables a día de hoy. Hace unos meses, el propio Stefan publicó estos hechos y nosotros hablamos de ello en Seguridad Apple. Como se podía ver las siguientes librerías presentaban vulnerabilidades conocidas, además, hacia bastante tiempo:


  • ibeay32.dll y ssleay32.dll 0.9.8.d tienen más de 7 años y 27 vulnerabilidades conocidas. 
  • libcurl.dll 7.16.2 con al menos 18 vulnerabilidades conocidas. 
  • libxml2.dll 2.6.0.0 con 17 vulnerabilidades conocidas. 
  • La última se puede consultar a través del CVE-2013-0339. icuuc40.dll, icuin40.dll, icudt49.dll, libicuuc.dll y libicuin.dll 49.1.1 con al menos 4 vulnerabilidades conocidas. Pueden ser consultadas por CVE-2013-2419, CVE-2013-2383, CVE-2013-2384, CVE-2013-1569. 
Según publica Stefan de nuevo, no se han actualizado las librerías de terceros, por lo que se sigue estando expuesto a estas vulnerabilidades, aunque la versión de iTunes haya pasado de la 11.2.2 a la 12.0.1. Estos bugs, como ya se ha visto, permiten realizar elevación de privilegios y ataques D.O.S. en Windows por medio de las rutas inseguras.

Figura 1: Automatic Updates de Apple también arrancaba desde rutas inseguras

Además, estos fallos de seguridad se presentan también en la aplicación de reproducción de video de Apple QuickTime 7.7.6. Parece que en el roadmap de Apple no entró el solucionar estos problemas, seguiremos atentos para ver qué ocurre a corto plazo.
 
Publicado por | No hay comentarios:

INTECO publica el "Estuido sobre la Ciberseguridad y Confianza en los hogares españoles".

El Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI) de Red.es, junto con el Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), presentan la oleada del panel de hogares del "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles".
Desde Hispasec hemos colaborado de forma activa en realización de este estudio, que presenta dos tipos de datos, obtenidos siguiendo diferentes metodologías:
  • Dato declarado: Obtenido de las encuestas online realizadas a los 3.074 hogares que han conformado la muestra del estudio.
  • Dato real: Para ello se utiliza el software iScan que analiza los sistemas y la presencia de malware en los equipos, recogiendo datos del sistema operativo, su estado de actualización y las herramientas de seguridad instaladas.

Algunos datos que se pueden encontrar en el informe son:
  • Las medidas activas más utilizadas son las contraseñas (57,5 %) y el borrado de archivos temporales y cookies (53,4 %) generados durante la navegación a través de la red Internet.
        
  • El 69,4 % de los usuarios declara que la frecuencia de actualización de las herramientas de seguridad se determina de manera automática por las propias herramientas.
         
  • La mayoría de usuarios –superior al 73 %– mantiene buenos hábitos de comportamiento referentes a los servicios de banca y comercio a través de Internet. Únicamente el uso de tarjetas prepago o monedero es secundado por un porcentaje menor de usuarios (41 %).
         
  • El troyano sigue siendo el tipo de malware más detectado en los ordenadores españoles, llegando a presentarse en el 35,8 % de los ordenadores escaneados durante marzo de 2014.

El estudio completo se puede descargar desde la página del ONTSI en el siguiente enlace:
http://www.ontsi.red.es/ontsi/sites/default/files/estudio_sobre_la_ciberseguridad_y_confianza_en_los_hogares_espanoles_octubre_14.pdf
Más información:
Estudio sobre la Ciberseguridad yConfianza en los hogares españoles
http://www.ontsi.red.es/ontsi/sites/default/files/estudio_sobre_la_ciberseguridad_y_confianza_en_los_hogares_espanoles_octubre_14.pdf

Fuente | www.hispasec.com
Publicado por | 1 comentario:
Suscribirse a: Entradas (Atom)