19. Octubre 2008 por Portalhispano.

Google incorporará una función que le permite eliminar de manera centralizada los programas instalados en los teléfonos móviles que usen el sistema operativo Android.

Hace algunos meses Apple causó sorpresa e indignación entre los compradores de su teléfono iPhone al saberse que había ocultado una función “kamikaze” en el aparato. Esta función hace posible para Apple eliminar ficheros peligrosos directamente en el teléfono, sin que el usuario lo haya aceptado.

Al parecer, Google ha aprendido del error de Apple, al emplear una táctica distinta.

Pone las cartas sobre la mesa

Lo anterior no implica que el teléfono de Google no vaya a incluir la función de eliminación centralizada de ficheros, sino que Google no intentará ocultarla.

En las condiciones de uso del aparato se indica claramente que si Google detecta programas descargados desde Google Market, que sean considerados peligrosos para el teléfono, estos serán borrados sin aviso. Esta sería la única función del caso, y no borraría otros programas aparte de los incluidos en la eventual lista negra.

¿Solo aplicaciones de Google Market?

El texto completo de la licencia ha sido revisado por la publicación The Register, que concluye que abre la posibilidad de que Google elimine programas que no hayan sido descargados directamente desde Google Market.

El sentido elemental de Android OS es que por tratarse de una plataforma abierta es posible descargar al teléfono y ejecutar programas descargados de toda Internet…sigue

Fuente diarioti.com

Publicado en Google Android, Apple, Google | Imprimir | Ningún comentario »

25. Septiembre 2008 por Portalhispano.

La empresa de Bill Gates responde con ironía tras años de burlas publicitarias de Apple

Macintosh lleva años ridiculizando a su eterno rival PC con una serie de anuncios, pero éste último ha decidido por fin responder.

Todo empezó en 2002, con la joven estudiante Ellen Feiss. Explicaba mirando a cámara cómo su ordenador se había colgado mientras escribía un trabajo de instituto y tuvo que hacerlo de nuevo. Al final de la explicación, el anuncio sentenciaba: “Pásate a Mac”.

Empezaba así la exitosa campaña de Apple para conseguir que los usuarios de PC se atrevieran a dar el paso y cambiarse a Mac. La táctica publicitaria se repitió en 2006 con el lema “Get a Mac” (“Consigue un Mac”). La fórmula, que aún explotan, va más allá: dos personajes, uno poco agraciado y otro delgado y moderno representan a un PC y a un MAC, respectivamente. Cada pequeño sketch se burla de algún aspecto de los PC y destaca alguna virtud de los ordenadores de Apple.

En los últimos anuncios, se ríen de los riesgos de seguridad de los PC, problemas de conexión con dispositivos periféricos, los numerosos avisos de Vista e incluso hay un cameo de la modelo brasileña Gisele Bündchen, entre otros.

La respuesta

Microsoft ha decidido contratacar. La segunda fase de su campaña publicitaria para mejorar su imagen ha copiado el mismo modelo y arranca con una declaración de intenciones: “Hola, soy un PC y han hecho de mí un estereotipo”. Y sigue con un rosario de personas, en diferentes situaciones y trabajos, que declaran que “son un PC”…sigue

LEER mas en adn.es

Publicado en Apple, Microsoft | Imprimir | Ningún comentario »

23. Septiembre 2008 por Portalhispano.

Apple ha lanzado un nuevo paquete de actualizaciones para su sistema
operativo Mac OS X que solventa un mínimo de 35 problemas de seguridad
que podrían ser aprovechados por un atacante local o remoto para
conducir ataques de falsificación, revelar información sensible,
saltarse restricciones de seguridad, causar denegaciones de servicio o
ejecutar código arbitrario en un sistema vulnerable.

Dentro del paquete Security Update 2008-006, que actualiza a la versión
10.5.5 de Mac OS X se incluyen parches para los siguientes componentes:
ATS, BIND, ClamAV (actualización a la v.0.93.3), Directory Services,
Finder, ImageIO, Kernel, libresolv, Login Window, mDNSResponder,
OpenSSH, QuickDraw Manager, Ruby, SearchKit, System Configuration,
System Preferences, Time Machine, VideoConference y Wiki Server…sigue

* Desbordamiento de búfer basado en heap en ATS (Apple Type Services)
que podría ser aprovechado para causar una denegación de servicio o
ejecutar código arbitrario.

* Actualización de seguridad de BIND.

* Actualización a ClamAV 0.93.3 que resuelve múltiples vulnerabilidades
encontradas desde el lanzamiento de la versión 0.92.1, última presente
en Mac OS X.

* Revelación de información sensible en Directory Services.

* Posible escalada de privilegios a través de Directory Services si un
administrador usa la herramienta slapconfig para configurar OpenLDAP.

* Fallo en la ventana Get Info de Finder al mostrar los permisos sobre
los archivos…sigue

Las actualizaciones pueden ser instaladas a través de la funcionalidad
de actualización (Software Update) de Mac OS X o, según versión y
plataforma, descargándolas directamente desde:

Security Update 2008-006 Server (PPC):
http://www.apple.com/support/downloads/securityupdate2008006serverppc.html

Security Update 2008-006 Server (Universal):
http://www.apple.com/support/downloads/securityupdate2008006serveruniversal.html

Security Update 2008-006 (PPC):
http://www.apple.com/support/downloads/securityupdate2008006clientppc.html

Security Update 2008-006 (Intel):
http://www.apple.com/support/downloads/securityupdate2008006clientintel.html
Mac OS X 10.5.5 Combo Update
http://www.apple.com/support/downloads/macosx1055comboupdate.html

Mac OS X 10.5.5 Update
http://www.apple.com/support/downloads/macosx1055update.html
Mac OS X Server 10.5.5
http://www.apple.com/support/downloads/macosxserver1055.html

Mac OS X Server Combo 10.5.5
http://www.apple.com/support/downloads/macosxservercombo1055.html

LEER mas en hispasec.com

About the security content of Mac OS X v10.5.5 and Security Update 2008-006
http://support.apple.com/kb/HT3137

Publicado en Apple, Seguridad informatica | Imprimir | Ningún comentario »

28. Agosto 2008 por Portalhispano.

Un fallo de seguridad permite a cualquiera saltarse la protección por contraseña del iPhone

Basta con presionar el botón de llamada al servicio de emergencia y dos veces seguidas el de inicio para acceder a las principales funciones del teléfono

Los propietarios de un teléfono de Apple que piensen que basta con activar la protección por contraseña para evitar que el teléfono pueda ser usado por otras personas -en caso de pérdida o robo- no pueden estar seguros.

Un grave fallo de seguridad permite a cualquiera que se haga con uno de estos terminales acceder a las principales funciones del iPhone. Y sin necesidad de ser ningún ‘hacker’.

Con el teléfono ya bloqueado por la contraseña, basta con presionar en la pantalla táctil el botón que permite realizar llamadas de emergencia, y presionar después dos veces la tecla de inicio.

Vía libre con tres clics

A partir de ese punto, el teléfono da libre acceso al menú de Favoritos, desde el que se puede hacer prácticamente de todo: abrir el navegador, enviar SMS y leer los enviados, acceder a la lista de contactos e incluso al correo electrónico del propietario.

La técnica, desvelada en el conocido foro macrumours, y de la que se hace eco The Register, funciona al menos en la versión 2.0.2 del sistema operativo del teléfono -la más reciente-, aunque otros usuarios la han probado ya con éxito en alguna edición anterior.

Solución parcial

Para tapar este agujero de seguridad, la única vía que les queda a los usuarios es esperar a que la marca de la manzana actualice el software del terminal.

Mientras tanto, un sencillo procedimiento puede servir para tapar el agujero. Para ello, basta con ir a Settings>General>Home Button, y una vez allí, pulsar en una de las siguientes opciones: “Home” o “iPod”.

De esta manera,el doble clic en Inicio en la pantalla de la llamada de emergencia devolverá al usuario al formulario en el que se solicita la clave.

Fuente ADN.ES

Publicado en Apple, Seguridad informatica | Imprimir | Ningún comentario »

17. Julio 2008 por Portalhispano.

Apple lanzó el pasado viernes la versión 2.0 del firmware para los
dispositivos iPhone 2G y iPod touch. La actualización incluye parches
para un total de trece problemas de seguridad que podrían ser
aprovechados por un atacante remoto para acceder a información sensible,
falsificar ciertos datos, provocar que el sistema deje de responder o
incluso ejecutar código arbitrario en un dispositivo vulnerable.

De los trece fallos de seguridad corregidos, ocho corresponden al
navegador Safari y otros tres a WebKit el motor de código abierto en
el que se basa el navegador de Apple. De los dos restantes, uno está
localizado en el kernel de sistema operativo y el otro en CFNetwork.

A continuación se describen con brevedad todos los problemas
solventados, que no afectan al modelo de iPhone 3G que fue lanzado a
la venta también el pasado viernes, puesto que éste ya trae de serie
la versión 2.0 del firmware.

1- Un fallo en CFNetwork que podría permitir que un servidor proxy HTTPS
falsificase ciertas páginas web seguras.

2- Un problema en el Kernel al manejar ciertos paquetes IP que podría
provocar que el dispositivo se reiniciase al intentar procesar un
paquete especialmente manipulado.

3- Un fallo en Safari haría que se interpretasen los espacios entre
signos ideográficos codificados con Unicode en la barra de direcciones,
lo que podría permitir la falsificación de URLs.

4- Un error en Safari a la hora de validar los certificados autofirmados
o no válidos de un sitio web, podría hacer que se aceptasen de forma
automática, permitiendo una revelación de información sensible.

5- Un problema en Safari al manejar índices de arrays JavaScript podría
ser aprovechador por medio de un archivo especialmente manipulado para
hacer que la aplicación deje de responder o ejecutar código arbitrario.

6- Cross-site scripting en Safari a través de etiquetas HTML maliciosas.

7- Un fallo de corrupción de memoria en el manejo de arrays JavaScript
en WebKit podría ser aprovechado para causar una denegación de servicio
en Safari y ejecutar código arbitrario…sigue

El resto de la noticia en hispasec.com

About the security content of iPhone v2.0 and iPod touch v2.0
http://support.apple.com/kb/HT2351

Publicado en Apple | Imprimir | Ningún comentario »

11. Julio 2008 por Portalhispano.

Telefónica regalará el iPhone a quienes paguen 100 € al mes por voz y datos

Movistar ha hecho públicos hoy los precios del nuevo móvil de Apple, que empieza a venderse mañana en todo el mundo.
Los compradores quedan atados a la operadora durante 24 meses.

Si quieres un iPhone 3G tendrás que comprometerte. La segunda generación del teléfono de Apple llega mañana a España de la mano de Telefónica, que ha anunciado esta mañana las condiciones de comercialización. No se venderá libre, y los clientes de Movistar podrán conseguirlo gratis si se ligan a la operadora con alguno de los contratos contrato de voz y datos disponibles.

Los planes de precios hechos públicos por la operadora ponen a disposición de los consumidores una oferta diferenciada para voz y datos. En la primera podrán decantarse por pagar mensualmente por un consumo mínimo de 9, 20, 40 60 y 90 euros (más IVA). Después, deben elegir una de las modalidades de tarifa plana de datos: las hay de 15 y 25 euros.

Por 25 euros podrás navegar hasta descargar 1 GB, superado el límite baja la velocidadLa tarifa plana de 15 euros tiene un límite de descarga de 200 megas. Cuando se supere esa cifra el usuario del iPhone no pagará más, pero si navegará con una velocidad de descarga inferior: parte de 3,6 megabytes por segundo, y por encima del límite navegará a 512 Kb/s. En la tarifa de 25 euros el límite de descarga es de 1 giga.
Para cada combinación de tarifas el iPhone se entrega a un precio diferente al consumidor. Si se combina por ejemplo una tarifa de 15 euros de datos y un consumo de 40 euros de voz el iPhone 3G de ocho gigas costará 39 euros. Si la combinación es de 25 euros de datos y 60 euros de voz el terminal de ocho gigas sale gratis. Con 15 euros de datos y 20 de voz el teléfono cuesta 129 euros. Si lo que se quiere es el iPhone de 16 gigas el precio del terminal sube 60 euros en todas las fórmulas de precios.

Por ese precio, además de poder utilizar las redes de telefonía de tercera generación para navegar por internet los usuarios del iPhone podrán acceder libremente a la Red a través de los puntos de acceso inalámbrico que Telefónica tiene repartidos por todo el territorio español y que normalmente son de pago.

Gratis, pero no tanto

Los compradores del iPhone quedan vinculado a Movistar al menos durante 18 mesesEl iPhone, tal y como anunció Apple hace poco más de un mes, ha bajado de precio sensiblemente respecto a su lanzamiento inicial en EE UU. Puede conseguirse incluso gratis, pero quien lo adquiera quedará vinculado a la operadora al menos durante 24 meses por contratro.
Al bloquear el teléfono y obligar al cliente a firmar ese compromiso de permanencia, Movistar liga la adquisición del iPhone al consumo de internet desde el dispositivo móvil, de esta forma, el coste del terminal se traslada a la factura mensual.

Quien opte por ejemplo por la tarifa de 25 euros de datos y 60 de voz obtendrá el iPhone 3G de 8G gratis, pero pagará cada mes una factura cercana a los 100 euros. Al final de año habrá pagado unos 1.200 euros por el terminal, sus conversaciones telefónicas y la posibilidad de llevar internet en el bolsillo…sigue

LEER mas en 20minutos.es

Publicado en Apple | Imprimir | Ningún comentario »

7. Junio 2008 por Portalhispano.

Ejecución remota de código por medio de Safari en Windows Vista y XP

Se ha encontrado un problema de seguridad en Microsoft Windows Vista y XP con el navegador Safari que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario. Esto sería posible si un atacante explotase de forma conjunta un fallo en Safari que permite la descarga no solicitada de archivos junto con otra vulnerabilidad no especificada en Internet Explorer.

Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows XP y Vista. Durante los últimos meses se ha estado ofreciendo la descarga de Safari junto con las actualizaciones periódicas de iTunes, el gestor de archivos multimedia de Apple.

El pasado 14 de Mayo, el investigador Nitesh Dhanjani, de Ernst & Young, publicó una entrada sobre una falta de control sobre las descargas en Safari, problema que bautizó como “Carpet Bomb”. En ella se mostraba que es posible la descarga de forma automática de un gran número de archivos en el escritorio, si se visita con Safari una web maliciosa que haga uso de un script CGI especialmente preparado. El navegador no incluye la opción para mostrar un cuadro de dialogo antes de iniciar una descarga usando este método, no pregunta si quieres bajar algo o no, simplemente descarga cualquier archivo en la carpeta elegida por defecto (normalmente el escritorio de Windows). Por lo tanto, un usuario que visite con Safari una página web especialmente manipulada podría efectuar la descarga no solicitada e inadvertida de un archivo malicioso. Un atacante podría “colar” cualquier tipo de malware en el escritorio de una víctima que, de ejecutarlo por accidente, podría causar el compromiso total del sistema.

Cuando Apple fue informado acerca de este supuesto fallo en Safari, sus investigadores no lo consideraron un problema de seguridad aunque añadieron que estudiarían la posibilidad de incluir un cuadro de diálogo en un futuro. Es cierto que no es una vulnerabilidad en el sentido más estricto, pero puede provocar que los usuarios de Safari en las plataformas Windows acaben con el escritorio repleto de malware.

Desde Microsoft se ha tomado el asunto mucho más en serio, de tal forma que el pasado día 30 de mayo publicó una advertencia de seguridad. En dicha nota se advierte contra una “amenaza combinada que permite la ejecución remota de código en todas las versiones de Windows XP y Vista que tengan Safari instalado”. Aunque se puntualiza que actualmente no se tiene conocimiento de ningún ataque que intente explotar dicha amenaza.

La segunda parte de esta “amenaza combinada”, y necesaria para que sea posible la ejecución remota de código sin interacción por parte del usuario, es una vulnerabilidad en Internet Explorer descubierta hace tiempo por el investigador israelí Aviv Raff. No se han desvelado más detalles acerca de la misma, pero Raff afirma que por medio de un ataque que aproveche de forma combinada de las dos vulnerabilidades se podría comprometer por completo un sistema vulnerable. Desde su blog confirma que está trabajando junto con Microsoft para solventar la vulnerabilidad y rehúsa publicar más datos hasta que no haya un parche disponible.

Microsoft sugiere como contramedida cambiar el lugar por defecto donde Safari descarga los archivos, pero Raff advierte que es insuficiente para evitar la amenaza y sugiere dejar de usar Safari hasta que se haya solventado el problema.

Fuente hispasec.com
Microsoft Security Advisory (953818): Blended Threat from Combined
Attack Using Apple’s Safari on the Windows Platform
http://www.microsoft.com/technet/security/advisory/953818.mspx
Nitesh Dhanjani: Safari Carpet Bomb
http://www.oreillynet.com/onlamp/blog/2008/05/safari_carpet_bomb.html

Aviv Raff: Safari pwns Internet Explorer
http://aviv.raffon.net/2008/05/31/SafariPwnsInternetExplorer.aspx

Publicado en Apple, Windows, Microsoft | Imprimir | Ningún comentario »

1. Abril 2008 por Portalhispano.

NSA y sistemas operativos

La presunta participación de la Agencia Nacional de Seguridad estadounidense en los sistemas operativos de Microsoft (y más que presunta en Windows Vista) es todo un clásico, pero no tanta gente sabe que la inteligencia USA ha parido SELinux, y que Apple, Novell y Sun han sometido también a la revisión de los espías estadounidenses Mac OSX, SUSE Linux y OpenSolaris repectivamente. También VMWare ha colaborado con la NSA.

¿Qué significa esta extraña tradición? ¿Qué sentido tiene? ¿Colabora la NSA desinteresadamente en mejorar la seguridad de estos productos en pro del bien general o lo hace para su propio uso? O, quizás es al contrario: ¿Son acaso las propias empresas quienes, gustosa u obligadamente, han de realizar este curioso ritual de “rendez-vous”?

LEER mas y Referencias en kriptopolis.org

Publicado en Apple, Sun, Open Solaris, Novell, Linux | Imprimir | Ningún comentario »