Samsung ayuda a preservar la cultura quechua

Anunció una alianza con el Gobierno Regional de Cuzco, Perú, para llevar la tecnología a las aulas de la más antigua escuela republicana del país andino y mantener vivo el lenguaje indígena quechua en la región

Fundada por Simón Bolívar en 1825, se considera al Colegio Nacional de Ciencias como una institución emblemática y, con 192 años, el día de hoy sirve a más de 2.000 alumnos de la ciudad, quienes llegarán a ser beneficiados con la tecnología de la empresa en su proceso de aprendizaje.

Además de promover el programa Smart School, Samsung tiene el objetivo de revalorizar la cultura quechua, que desciende del antiguo imperio Inca. Como parte de las actividades que se llevarán a cabo en la nueva unidad, la empresa llevó un grupo de alumnos destacados para una visita al sitio arqueológico de Machu Picchu, también conocida como la “ciudad perdida de los incas”.

“Samsung toma las alianzas como un valor corporativo. Queremos usar nuestra tecnología para mejorar la educación y respaldar el desarrollo social en la región, así como contribuir para preservar el lenguaje y la cultura quechua”, explicó Helvio Kanamaru, gerente sénior de Ciudadanía Corporativa de Samsung América Latina.

De acuerdo con Kanamaru, se ofrecerán clases que integren el uso de herramientas tecnológicas para revalorizar el quechua para los alumnos de cursos específicos hasta el final de este año, con la intención de que se mantengan en el transcurso de 2018. “Poder contribuir con la preservación de un lenguaje ancestral como el quechua, con innovación y conocimiento, es un importante resultado del programa de Samsung”, enfatizó.

Samsung Smart School

Consiste en brindar a las aulas en escuelas de la red pública dispositivos tecnológicos, con el objetivo de proporcionar a los alumnos y profesores con un ambiente de calidad para la educación. El objetivo de la empresa con esta iniciativa es contribuir al fomento del proceso de aprendizaje, proporcionando nuevas tecnologías y equipos, así como haciendo el ambiente educacional más intuitivo, interactivo y eficiente.

Samsung informó que, desde 2013, alrededor de 2.500 Smart Schools en más de 90 países han ofrecido nuevas oportunidades de aprendizaje a más de 300 mil jóvenes en todo el mundo. En América Latina, ya ha inaugurado un total de 144 unidades en los últimos cuatro años. En Perú, hay 12 escuelas localizadas en nueve regiones del país, en el litoral, la sierra y la selva, beneficiando más de 12 mil estudiantes.

Filtraciones de exploits provocan más de 5 millones de ataques en el segundo trimestre

De acuerdo con el informe sobre malware de Kaspersky Lab, la propagación incontrolada de paquetes de exploits cambió el panorama de las amenazas cibernéticas durante este período. Los principales hallazgos.

En solo 3 meses, los productos de Kaspersky Lab bloquearon más de cinco millones de ataques que involucraban exploits originados en archivos filtrados en la web.
Un exploit es un tipo de malware que utiliza errores en el software para infectar dispositivos con código malicioso adicional, como troyanos bancarios, ransomware o malware de espionaje cibernético.

La compañía informó que el segundo trimestre de 2017 experimentó una ola masiva de estas vulnerabilidades incontroladas debido a una serie de exploits que se filtraron en la web. Esto generó un cambio significativo en el panorama de las amenazas cibernéticas. Se inició principalmente con la publicación del archivo “Lost In Translation” por el grupo Shadow Brokers, que contenía una gran cantidad de exploits para diferentes versiones de Windows.

A pesar de que la mayoría de estas vulnerabilidades no eran de día cero y fueron enmendadas por la actualización de seguridad de Microsoft un mes antes de que sucediera la filtración, su publicación tuvo consecuencias desastrosas. El promedio de ataques por día está en constante crecimiento: 82% del total de ataques fue detectado en los últimos 30 días del trimestre.

El daño causado por el malware que utilizó exploits originados en el archivo, así como el número de usuarios infectados, va más allá, y las pandemias de ExPetr y WannaCry son los ejemplos más notables. Otro ejemplo es la vulnerabilidad CVE-2017-0199 en Microsoft Office, descubierta a principios de abril. A pesar de que fue reparada en el mismo mes, el número de usuarios atacados alcanzó un máximo de 1.5 millones. En general, 71% de los ataques a estos usuarios aprovechaban la vulnerabilidad CVE-2017-0199.

Otras estadísticas

Las soluciones de Kaspersky Lab detectaron y repelieron 342,566,061 ataques maliciosos originados a partir de recursos en línea en 191 países de todo el mundo durante el segundo trimestre. Esta cifra es menor, en comparación con el período anterior, donde se detectaron 479,528,279, procedentes de recursos en línea ubicados en 190 países de todo el mundo.

Por otra parte, se intentaron infectar 224,675 computadoras de usuarios con malware dirigido a robar dinero mediante el acceso en línea a cuentas bancarias, en comparación con 288,000 durante el primer trimestre.

Asimismo, se bloquearon ataques de cryptoransomware en 246,675 computadoras únicas, en comparación con 240,799 durante el primer trimestre.

La compañía informó, además, que la herramienta antivirus de Kaspersky Lab detectó un total de 185,801,835 objetos únicos maliciosos y potencialmente no deseados durante el segundo trimestre, en comparación con un total de 174,989,956 objetos únicos maliciosos y potencialmente no deseados durante el primer trimestre.

En promedio, 17.26% de las computadoras conectadas a Internet en el mundo sufrieron al menos un ataque utilizando objetos maliciosos de tipo malware.

“El panorama de las amenazas en el segundo trimestre proporciona otro recordatorio de que la falta de vigilancia es uno de los peligros cibernéticos más importantes. Aunque los productores corrigen las vulnerabilidades de forma regular, muchos usuarios no prestan atención a esto, lo que da lugar a ataques a gran escala cuando estas son reveladas a la extensa comunidad de ciberdelincuentes”, señaló Alexander Liskin, experto en seguridad de Kaspersky Lab.

Vulnerabilidades en Mozilla Firefox

Mozilla ha publicado su boletín número 18 de este año, el cual está calificado como crítico. En total se han corregido 29 vulnerabilidades, de las cuales 5 tienen un impacto crítico,  11 de impacto alto, 7 de impacto moderado  y 6 de bajo.

Vulnerabilidades de impacto crítico

Se corrigen dos vulnerabilidades en la gestión de memoria, una inyección XUL en la herramienta en desarrollo y dos uso de memoria previamente liberada en el WebSocket y en el proceso de reescalado. Todas ellas
podría permitir la ejecución de código.

CVE asociados: CVE-2017-7779, CVE-2017-7780, CVE-2017-7798, CVE-2017-7800 y CVE-2017-7801.

Vulnerabilidades de impacto alto

Se corrigen cuatro vulnerabilidades: una al utilizar memoria previamente liberada durante la gestión del DOM, en el observador de imagen, en el elemento imagen y en el gestor SVG. Además, se corrigen tres desbordamientos de memoria en el atributo ARIA del DOM, en el renderizado del SVG y en el visor de certificados. Finalmente, se corrige dos saltos de restricciones, uno en ‘WindowsDllDetourPatcher’ y otro en las políticas de mismo origen (same-origin), un secuestro de dominio (Domain hijacking) y una lectura fuera de límites.

CVE asociados: CVE-2017-7753, CVE-2017-7784, CVE-2017-7785, CVE-2017-7786, CVE-2017-7787, CVE-2017-7792, CVE-2017-7802, CVE-2017-7804, CVE-2017-7806, CVE-2017-7807 y CVE-2017-7809.

Vulnerabilidades de impacto moderado

Se corrige un spoofing en la navegación con datos, una fuga de información CSP, un error en la reserva de memoria en las protecciones DWP y WindowsDllDetourPatcher, un error al añadir un punto en una curva
elíptica, dos errores en la sandbox y una inyección XUL.

CVE asociados: CVE-2017-7781, CVE-2017-7782, CVE-2017-7791, CVE-2017-7794, CVE-2017-7799, CVE-2017-7803 y CVE-2017-7808.

Vulnerabilidades de impacto bajo

Se corrige un error al procesar el nombre de usuario en la URL, un error de herencia en las directivas CSP en eliframe sbout:srcdoc, un error al activar HSTS, un error de lectura en los reportes de Windows, una gestión de ficheros al gestionar las actualizaciones y una fuga de información en en nombre de algunas cabeceras.

CVE asociados: CVE-2017-7783, CVE-2017-7788, CVE-2017-7789, CVE-2017-7790, CVE-2017-7796 y CVE-2017-7797.

La vulnerabilidades han sido corregidas en la versión 55 del navegador, que puede ser descargada desde la página oficial o a través del propio sistema de actualización de Firefox.

Más información:
Mozilla Foundation Security Advisory 2017-18
https://www.mozilla.org/en-US/security/advisories/mfsa2017-18/

Ejecución de código arbitrario en Git

Se ha hecho público un fallo en el sistema de versiones Git que podría permitir la ejecución de código arbitrario en la máquina de la víctima y al cual se le ha asignado el identificador CVE-2017-1000117.

Los sistemas de control de versiones son herramientas desarrolladas para el seguimiento de un proyecto o aplicación. Herramientas sumamente importantes y utilizadas en cualquier desarrollo.

La vulnerabilidad no solo afecta al control de versiones Git, sino también están afectados los sistemas de control de versiones Mercurial y Subversion. Aunque el error es similar, los identificadores de la vulnerabilidades son distintos, siendo CVE-2017-9800 para Subversion y CVE-2017-1000116 para Mercurial.

El fallo es provocado por un error en el procesado de los comandos “ssh://“, el cual puede ser explotado si un repositorio remoto envía una URL especialmente manipulada a la víctima cuando esta ejecuta un comando
clone“, permitiendo la ejecución de cualquier programa existente en la máquina de la víctima.

Pero esto no acaba aquí: esta URL podría ser colocada en el fichero “.gitmodules“ del proyecto clonado para así conseguir tener la máquina infectada y que esta vulnerabilidad se ejecute de nuevo al invocar un comando “git clone –recurse-submodules

La vulnerabilidad en Git ha sido corregidas en las últimas versiones publicadas.

Oracle presenta aplicaciones de Nube de última generación

Anunció nuevas capacidades en su presentación de la versión 13 de las aplicaciones SCM, CX, ERP y HCM de Oracle Cloud, que apuntan a mejorar la experiencia de usuario. El detalle de las mejoras.

Las innovaciones en esta nueva versión de la suite de aplicaciones de Nube apuntan a mejorar la experiencia del usuario y otorgarles poder en todos los aspectos de la organización, que incluyen a profesionales de cadena de suministros, experiencia del cliente, finanzas y recursos humanos.

La más reciente versión incluye nuevas capacidades y mejoras en Oracle Supply Chain Management (SCM) Cloud, Oracle Customer Experience (CX) Cloud Suite, Oracle Enterprise Resource Planning (ERP) Cloud y Oracle Human Capital Management (HCM) Cloud.

En lo que respecta a Oracle SCM Cloud, la versión 13 introduce más de 200 características y seis productos nuevos que cubren planificación de ventas y operaciones, gestión de demanda, planificación de suministro, colaboración, gestión de calidad y mantenimiento.

Por otra parte, la nueva versión de Oracle CX Cloud Suite presenta innovaciones a Oracle Sales Cloud, que incluyen capacidades móviles y de visualización de datos mejoradas, así como otras que incrementan la productividad de los representantes de ventas.

Asimismo, la compañía introdujo Oracle Engagement Cloud, una nueva solución que combina capacidades de ventas y servicio para permitir a las organizaciones incrementar la satisfacción y lealtad del cliente, además de las oportunidades de escalar la oferta.

En cuanto a Oracle ERP Cloud, busca ayudar a las organizaciones a acelerar la innovación a través de una funcionalidad de dominios más profunda, que incluyeDynamic Discounting y Multi-Funding. Asimismo, ofrece cobertura para industrias como la educación superior, los servicios financieros y la manufactura, así como una expansión de la localización en Brasil e India.

Finalmente, según informó Oracle, el 80% de las mejoras de la última versión de HCM Cloud están centradas en el cliente Además, introduce una mayor personalización de experiencia de usuario y de manejo de marca, así como soporte adicional de localización de primer nivel.

También incluye capacidades mejoradas para apoyar las necesidades de clientes que tienen fuerzas de trabajo sindicalizadas, como comercios minoristas o empresas del sector salud con modelos laborales flexibles.

“Estamos comprometidos con ayudar a las organizaciones de todos tamaños a transformar sus funciones empresariales críticas para impulsar su crecimiento y mantenerse competitivas”, señaló Steve Miranda, vicepresidente Ejecutivo de Desarrollo de Aplicaciones en Oracle. “Con la más reciente versión de las aplicaciones de Oracle Cloud, presentamos cientos de innovaciones. Las nuevas actualizaciones incluyen importantes mejoras a la suite de gestión de la cadena de suministro que ayudarán a los clientes a crear cadenas inteligentes, conectadas y centradas en el cliente. Asimismo, presentamos una solución completamente nueva que enriquece la experiencia del usuario al cerrar la brecha entre las ventas y el servicio al cliente. La nueva versión también incluye mayores avances a la experiencia de usuario y cambios dirigidos al cliente para recursos humanos y finanzas”.

AMD lanza dos modelos de procesadores de gama alta para desktop

Se trata de los Ryzen Threadripper 1950X y 1920X, los cuales soportan la nueva plataforma Socket TR4, con 64 carriles PCIe, memoria DDR4 de Quad-Channel y tecnología SMT. Precios y disponibilidad.

“El nivel de apoyo global y entusiasmo que se ha acumulado alrededor de los procesadores AMD Ryzen ha sido algo increíble de ver en estos últimos meses, y con el lanzamiento actual de Threadripper Ryzen, ofrecemos un nuevo nivel de potencia de cómputo a los sistemas de escritorio ultra-premium más rápidos del mundo a través de una plataforma completamente nueva y un conjunto de procesadores multi-core”, dijo Jim Anderson, vicepresidente senior y gerente general Computing and Graphics Group de la compañía.
“Ryzen Threadripper es el impacto de innovación que el consumidor de escritorio de alta gama estaba esperando, proporcionando la capacidad esperada para elegir el procesador que mejor satisface sus necesidades de cómputo a un precio competitivo”.

Mientras el Ryzen Threadripper 1950X viene con soporte para 16 núcleos y 32 hilos de procesamiento, el 1920X ofrece 12 núcleos y 24 hilos. Ambos modelos están disponible a nivel global a partir del 10 de agosto de 2017. Una tercera variante, el Ryzen Threadripper 1900X de 16 threads, se espera que esté disponible el 31 de agosto.

Los nuevos procesadores incluyen 40MB y 38MB de cache de procesador, respectivamente, y todos los Ryzen Threadripper desde el 1900X, de US$ 549, al 1950X, de US$ 999, tienen ancho de banda de memoria DDR4 del Quad-Channel, 64 carriles PCIe 3.0 y Conectividad SATA/NVMe/USB directa.

Un ecosistema completo de plataformas SocketTR4 X399, con conectividad USB 3.1 Gen2 10 GB/s nativa, ofrece soporte para todos los procesadores Ryzen Threadripper en el lanzamiento, con motherboards provenientes de fabricantes como ASRockASUSGigabyte y MSI.

Alienware Area-51 Threadripper  Edition

Alienware ha lanzado también su sistema exclusivo de preconstruidos de 16-cores AMD Ryzen Threadripper Edition para los entusiastas de desktop de alta gama de todo el mundo. Tiene un diseño de chasis Triad similar al de los sistemas existentes del Area-51, pero incorpora el procesador 1950X del fabricante.

La respuesta definitiva a la pregunta sobre las contraseñas, la seguridad y todo lo demás

Probablemente, el nombre de Bill Burr no te suene a nadie en particular, a menos que las publicaciones especiales del NIST sean tu nicho favorito de lectura en cuanto a literatura moderna se refiere. Burr es, ni más ni menos, el “culpable” de que cuando te piden un consejo acerca de la elección de contraseñas seguras, le digas al amigo de turno: “larga, no menos de 8 caracteres y sobre todo añade caracteres especiales mezclados con mayúsculas”, para terminar, como diría Bond: “mezclados, no agitados”.

El bueno de Burr ha confesado, desde su retiro como jubilado, que esa recomendación que él mismo escribió de su puño y letra en 2003, no era ni mucho menos la más adecuada. “Me equivoqué”. La entrevista completa fue publicada hace una semana en el Wall Street Journal (paywall). Sin embargo, aunque admite que su contribución hizo más mal que bien, el artículo deja entrever el contexto en el que el entonces analista tuvo que desenvolverse: prisas y presiones por acelerar la publicación de la guía, casi nulo conocimiento práctico en aquella época sobre la gestión de contraseñas, etc.

No hay nada que culpar. La norma ha estado vigente durante años, casi década y media, hasta que el NIST ha actualizado dicha guía el pasado mes de junio, cambiando y desaconsejando este tipo de política de contraseñas. ¿Por qué? Son difíciles de gestionar, debido fundamentalmente a que una contraseña debería ser algo que “sabes”, pero si se genera de manera muy compleja, termina en un post-it; luego se transforma de “algo que sabes” a “algo que tienes”. Dad una vuelta por una oficina y veréis esos papelitos amarillos deseando confesaros la contraseña del WiFi corporativo o el acceso a un escritorio remoto (un clásico cuando desde Auditorías hacemos una visita física).

Otro problema con la guía fue lo rápido que sentó cátedra. No es para menos, una enorme cantidad de normativas, certificaciones de seguridad y políticas de seguridad han seguido letra a letra copiando el mantra de las contraseñas complejas. Una falsa concepción de seguridad que todos (o casi todos) dábamos por sentado que era el camino a seguir. Además, en la guía también se aconseja “renovar la contraseña cada 90 días mínimo”. Esto último solo complica aún más la situación, debido a que una gran mayoría de personas no utiliza un gestor de contraseñas, e incluso aun usándolo hay que ser consciente de que estamos depositando todo el llavero en un único punto de tensión. Si el gestor cae, todo se derrumba.

Un visionario de esta situación (como de tantas otras) fue el conocido ilustrador Randall Munroe, autor de la siempre sagaz tira XKCD. En la número 936 ya nos explicaba el sinsentido de elegir contraseñas complejas versus la simple elección de cuatro palabras elegidas con aleatoriedad. Todo un clásico de la temática, que incluso nos incluye la entropía de Shannon y el tiempo estimado de resistencia al ataque por fuerza bruta. Todo ello explicado de forma gráfica y sencilla.

Entonces ¿Cuál es la forma correcta?

Lo tenemos fácil. Irónicamente debemos seguir la guía del NIST, la nueva versión, y cruzar los dedos para que dentro de unos veinte años no volvamos a leer un nuevo artículo de Paul A. Grassi, uno de los autores de la revisión, diciendo aquello de “…fue un error”.

En primer lugar, la guía pone de manifiesto una de nuestras tantas limitaciones, la incapacidad de memorizar contraseñas complejas. Ante esta situación el ser humano tiende a…hacer el mínimo esfuerzo. Esto es, o elegir una contraseña trivial del tipo “12345” o apuntarlo en un papel (recordad “saber” -> ”tener”). Incluso con las reglas de composición de algunos sitios web, esas que nos hacen inventar dos millones de veces una contraseña hasta aceptar el formulario, la experiencia que se tiene tras los hackeos y volcados de hashes es negativa. La conclusión es que este tipo de contraseña no es tan segura como se pensaba y encima es nefasta para la usabilidad.

En la nueva guía se aconseja que las contraseñas sean razonablemente largas, extensas:

“Users should be encouraged to make their passwords as lengthy as they want, within reason.”

Eso sí, no nos están diciendo que nuestra contraseña sea los dos volúmenes completos del Quijote en castellano antiguo. Eso sería computacionalmente ridículo, debido al gasto relativo al cálculo del hash resultante y a que podría ser fácil de adivinar si conocen nuestros habituales para la lectura.

En relación a la complejidad, clarifican muchas de las sospechas que teníamos con la experiencia. Incluso con reglas de composición de contraseñas el usuario (vuelve a) opta por el camino fácil. Por ejemplo, si ha de usar mayúsculas y números pasa de “password” a “Password1” y si tiene que meter signos vuelve a hacer de las suyas con el ya clásico: “Password1!”. Para evitar estas martingalas se recomienda la comparación con una lista negra de contraseñas que no permita pasar tamaños actos de lucidez.

En definitiva, el gran problema de las contraseñas sigue siendo el ilustre usuario, y el reto de la seguridad es aliviar el peso que supone su falta de adiestramiento o ese gran porcentaje de sentidos comunes a estrenar, impecables y sin uso. La contraseña es un reducto del pasado, pero un pasado que aún sigue siendo presente y se niega a ser jubilado. Condenados a vivir con ella, al menos un tiempo más, la nueva norma dicta que más que una excesiva complejidad tomemos una longitud considerable y una buena capacidad para generar ítems aleatorios (palabras, símbolos, …), a ser posible con una distribución uniforme que aleje a la fuerza bruta y las listas de diccionarios muy lejos de la adivinación.

Ahora y por fin, después de tantos años, ya sabemos la respuesta definitiva a la pregunta sobre las contraseñas, la seguridad y todo lo demás:

“correcto caballo batería grapa”

  Más información:

The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!

https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118

Digital Identity Guidelines

https://pages.nist.gov/800-63-3/

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf

Password Strength

https://xkcd.com/936/

Entropía

https://es.wikipedia.org/wiki/Entropia_(información)

Comprometidas dos populares extensiones de Google Chrome

El equipo de seguridad de Google ha enviado advertencias a través de e-mail a los desarrolladores de extensiones de Chrome después de que muchos de estos fuesen objetivos de ataques de phishing. Algunos de estos ataques consiguieron su objetivo y permitieron el robo de algunas extensiones.

Estos ataques tuvieron lugar la semana pasada, cuando las cuentas de los desarrolladores de las extensiones CopyFish (80.000 usuarios) y Web Developer (100.000) se vieron comprometidas. Los atacantesaprovecharon para insertar código malicioso de adware en la extensión. De esta manera consiguieron ingresos a través de todos los usuarios que las tuvieran instaladas.
Estos ataques llevan cerca de dos meses produciéndose sin que hasta la fecha nadie se haya percatado. El phishing en cuestión se hace pasar por una cuenta oficial de Google, informando a los desarrolladores de una supuesta violación de los terminos de servicio de Chrome Web Store. Es entonces cuando las víctimas accedian a un sitio falso que solicitaba el login a una cuenta de Google.
Phishing email
Captura de los e-mails de phishing. Fuente: www.bleepingcomputer.com

 

Los avances en la investigación indican que los dominios utilizados para robar la información de estas dos extensiones son los mismos, y el e-mail prácticamente idéntico, lo que apunta a un actor común en ambos ataques. La misma estrategia fue probada de nuevo en agosto, pero esta vez Google Safe Browsing bloqueó estos enlaces fraudulentos.
Tras el secuestro de las extensiones, Google envió un e-mail a todos los desarrolladores informando de la situación e indicando las instrucciones para reportar futuros casos similares.
Google email warning
Captura del e-mail de alerta de Google. Fuente: bleepingcomputer.com
Más información:

Chrome Extension Developers Under a Barrage of Phishing Attacks

Microsoft soluciona 48 vulnerabilidades en sus boletines de agosto

Esta vez, son un total de 48 vulnerabilidades las solucionadas por Microsoft, de entre las cuales 25 son consideradas críticas, repartidas entre 6 productos: Windows en sus diferentes versiones, Internet Explorer, Edge, SharePoint y SQL Server y finalmente Adobe Flash Player que sin ser producto de Microsoft ya es un habitual en sus boletines.

Entre las vulnerabilidades encontradas destaca la identificada como CVE-2017-8620. Descubierta por Nicolas Joly de MSRC, este fallo está presente en todas las versiones de Windows con soporte (desde Windows 7 a Windows Server 2016) y permite la ejecución remota de código arbitrario a través del servicio Windows Search.

La vulnerabilidad es especialmente crítica teniendo en cuenta que este servicio es accesible desde varios componentes del sistema, entre ellas el menú de Inicio y el navegador de ficheros. Además, según los comentarios finales del reporte:

Additionally, in an enterprise scenario, a remote unauthenticated attacker could remotely trigger the vulnerability through an SMB connection and then take control of a target computer.

Es decir: sería posible para un atacante remoto no autenticado explotar la vulnerabilidad a través de conexiones SMB. Por este motivo, este fallo es señalado por varios expertos como el de mayor prioridad a la hora de parchear.

Precisamente, esta vulnerabilidad junto con CVE-2017-8627 y CVE-2017-8633 son las únicas que han sidoreveladas antes de que se publicara el boletín, aunque en el mismo Microsoft afirma que no se conocen casos de explotación hasta el momento.

Finalmente, un breve repaso al resto de las vulnerabilidades:

  • Dos de los problemas afectan al Subsistema de Windows para Linux, siendo el más crítico el identificado como CVE-2017-8622, cuyo impacto es elevación de privilegios.
  • Un total de 19 vulnerabilidades afectan a Microsoft Scripting Engine, siendo 17 de ellas corrupciones de memoria.
  • Los navegadores también reciben actualizaciones: Explorer (4) y Edge (7), siendo solo 2 de ellas críticas.
  • En el boletín se incluyen las vulnerabilidades CVE-2017-3085 y CVE-2017-3106 de Adobe Flash, que podrían permitir la ejecución remota de código.
  • Corregidas 2 vulnerabilidades en Windows HyperV, una de ellas permitiendo la ejecución remota de código.
  • Se corrige una vulnerabilidad XSS en Microsoft Sharepoint.
Especialmente útil cuando se tratan de reportes tan extensos (el boletín consta de 121 entradas este mes) es este script en PowerShell creado por John Lambert, empleado de Microsoft, que organiza el boletín por CVEs de forma más clara.
Más información:

August 2017 Security Updates

cURL y libcurl afectados por varias vulnerabilidades

Se ha publicado una nueva versión de la librería libcurl y de la propia herramienta curl, para corregir 3 vulnerabilidades que podrían permitir a un atacante local o remoto obtener información sensible o causar una denegación de servicio


cURL es un cliente de transferencia de archivos multiprotocolo que también tiene una versión en formato librería (libcurl) para poder ser integrado en productos de terceros. Es una de las herramientas de referencia en su ámbito, y es utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs. En su página web aparece una lista incompleta de los productos comerciales que usan libcurl.
Son tres las vulnerabilidades que se han corregido en esta nueva versión:
  • La vulnerabilidad identificada como CVE-2017-1000101, afecta únicamente a la versión de línea de comandos (no a la librería). Básicamente es un error al parsear una URL con formato incorrecto, que podría permitir la lectura de una pequeña cantidad de memoria del proceso (o al menos, detener el proceso). El escenario de ataque más claro es un atacante local que introduce una URL especialmente manipulada en una aplicación que usa libcurl
  • Otra vulnerabilidad, ésta identificada como CVE-2017-1000099afecta a ambas versiones, línea de comandos y libcurl. El error se produce por utilizar por error un trozo de memoria no inicializadocuando se realiza una petición a una URL con protocolo file:// (archivos locales), lo que confunde al programa y puede terminar devolviendo al usuario un trozo extra inesperado de memoria dinámica en una pseudo-cabecera HTTP (cURL devuelve los metadatos del archivo como cabeceras HTTP). El escenario de ataque sería muy similar al de la vulnerabilidad comentada anteriormente.
  • Y finalmente, el CVE-2017-1000100 también afecta a ambas versiones, línea de comandos y libcurl. Este error sí que tiene bastante más peligro, y recuerda un poco a Heartbleed, aunque en este caso sería revelación de información del cliente hacia el servidor, y no al contrario. El problema es que las URL’s con protocolo TFTP que son demasiado largas son truncadas por cURL cuando se almacenan en memoria, pero cURL usa la longitud previa al truncamiento cuando quiere transmitir información al servidor. Por lo que termina saliendo de los límites de memoria asignado y envía más de lo debido. Debido a la estructura de memoria dinámica no se puede saber qué hay exactamente después, pero podría ser cualquier cosa. El ataque más simple sería, ante una petición al servidor maligno, que éste redirigiese a una URL especialmente manipulada con protocolo TFTPapuntando al mismo servidor (para recoger la memoria filtrada).
La nueva versión publicada es la 7.55.0, no es una versión publicada expresamente para corregir vulnerabilidades (es decir, resuelve otros fallos no relacionados con la seguridad y añade nuevas funcionalidades), y está disponible desde https://curl.haxx.se/download.html. También se han publicado parches individuales para solucionar los diferentes fallos de seguridad.