lunes, 29 de septiembre de 2014

Vulnerabilidades en Joomla!

Se han anunciado dos vulnerabilidades en Joomla! que podrían permitir a atacantes remotos realizar ataques de cross-site scripting o evitar el mecanismo de autenticación.

Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para que los atacantes.

El primero de los problemas reside en que determinadas entradas en el componente "com_media" no se limpian adecuadamente antes de mostrarse al usuario. Esto podría permitir la realización de ataques de cross-site scripting con lo que el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Por otra parte un  error al tratar la autenticación a través de LDAP podría permitir evitar el mecanismo de autenticación.

Estas vulnerabilidades se dan en las versiones anteriores a la 3.2.5 y a la 3.3.4. Se ha solucionado en las versiones 3.2.5 y a la 3.3.4 disponibles desde www.joomla.org

Más información:

[20140902] - Core - Unauthorised Logins

[20140901] - Core - XSS Vulnerability



Antonio Ropero

Twitter: @aropero

domingo, 28 de septiembre de 2014

Apple publica iOS 8.0.2 para solucionar diversos problemas

Apenas días después del lanzamiento de iOS 8, Apple publica una nueva versión de su sistema operativo para dispositivos móviles. Esta versión está destinada a corregir los primeros problemas encontrados en la versión recién publicada.

A los pocos días de publicar iOS 8, Apple lanzó la actualización 8.0.1 destinada a corregir los primeros problemas encontrados en iOS 8, sin embargo en esta ocasión el remedio fue peor que la enfermedad. Los usuarios con iPhone 6 (e iPhone 6 Plus) vieron como sus dispositivos experimentaban fallos de cobertura, problemas con el TouchID y otras incidencias. Lo que obligó a Apple a retirar la actualización apenas transcurridas unas horas desde su publicación, e incluso recomendar a los usuarios volver a iOS 8.

Tras los problemas iniciales Apple publica iOS 8.0.2, que más que fallos de seguridad está destinada a solucionar cuestiones relacionadas con la usabilidad y funcionalidad de los dispositivos. Se solucionan los errores de conectividad y con el Touch ID en iPhone 6 e iPhone 6 Plus que dieron lugar a la retirada de iOS 8.0.1. Apple no ha detallado si la actualización referente al Touch ID es para mejorar su seguridad, en relación a los avisos que confirmaban que su funcionalidad había sido vulnerada. También corrige un fallo por el que las aplicaciones HealthKit están disponibles en la App Store. Se soluciona un problema de usabilidad en los teclados de terceras partes. 

También se ha corregido un error que impedía que diversas aplicaciones pudieran acceder a las fotos desde la Librería de Fotos. Otro problema solucionado hacía relación a un aumento del uso de datos al recibir mensajes SMS/MMS. Y por último, otros fallos corregidos hacen relación a la restauración de tonos de llamada desde copias iCloud y a la subida de fotos y vídeos desde Safari. 

Esta nueva versión está disponible para los dispositivos Apple iPhone 4S y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).

Más información:

iOS 8.0.2

una-al-dia (19/09/2014) Actualización masiva de productos Apple: iOS, OS X, Safari...

una-al-dia (24/09/2014) El lector de huellas del iPhone 6 sigue siendo vulnerable




Antonio Ropero
Twitter: @aropero