Vulnerabilidad en sudo

Recursos afectados

El programa sudo 1.8.0 hasta la versión 1.8.3p1. Las versiones anteriores no están afectadas.

Descripción

Se encuentra en un parámetro de cadena de formato de texto en una llamada a la función fprintf que puede ser controlado por el atacante.

Solución

Instalar la versión 1.8.3p2. Tanto para la versión 1.8.3p1 como para las versiones 1.8.0-1.8.3 puede hacerse a través de sudo-1.8.3p2.patch.gz, aunque es preferible hacerlo a través del programa de actualización de paquetes propio de la distribución de Linux/Unix.

Detalle

La vulnerabilidad, la CVE 2012-0809, se encuentra en el código de depuración de sudo.
En la función sudo_debug(), el nombre del propio programa sudo es utilizado como parte del argumento de cadena de formato de texto que utiliza fprintf(). El problema se encuentra en que el nombre del programa puede ser controlado mediante un enlace simbólico o estableciendo argv[0], lo permite la aplicación de variadas técnicas de explotación de vulnerabilidades en las cadenas de formato de texto:

$ ln -s /usr/bin/sudo ./%s

$ ./%s -D9

Segmentation fault

Para la explotación de esta vulnerabilidad el atacante no necesita estar listado en el archivo sudoers.

Impacto:

• Escalado de privilegios a root.
• Caída ("cuelgue") de sudo.

Fuente: https://cert.inteco.es

Microsoft, Google y Facebook, aliados contra el phishing

No cabe duda de que unas de las amenazas más temidas por los usuarios son aquellas que les afectan directamente a su bolsillo, y que les sustraen dinero de su cuenta bancaria. Es lo que conocemos como phishing y actualmente vemos varios casos al día en todo el mundo. Es normal que nos encontremos múltiples ejemplos en la forma de correos electrónicos en nuestra bandeja de entrada, los cuales suplantan a todo tipo de entidades bancarias o pasarelas de pago como PayPal.

Aunque a muchos usuarios les empieza a sonar este tipo de amenazas, no son pocos los que siguen picando en ellas, debido al desconocimiento o a la buena suplantación de las webs y correos electrónicos que realizan los ciberdelincuentes.

Para evitar que sigan aprovechándose del desconocimiento de algunos usuarios, ha nacido una alianza entre empresas como Google, Microsoft, Facebook, Yahoo! y otras once más que se hace llamar DMARC. La finalidad de esta alianza es evitar que los mensajes de phishing lleguen a nuestras bandejas de entrada, revisando que el remitente es quien dice ser y bloqueando aquellos correos fraudulentos.

Esta iniciativa no es nueva, puesto que ya vimos un adelanto cuando PayPal emprendió junto a Google y Yahoo! un proceso de verificación de sus correos. Quienes tengan una cuenta en Gmail o Yahoo! habrán comprobado desde hace meses cómo los mensajes verificados de PayPal tienen un tratamiento especial en sus casillas de correo.

Con esta iniciativa se evita que sea el usuario quien tenga que averiguar si el mensaje que acaba de recibir es fraudulento revisando su cabecera, algo que la gran mayoría de usuarios desconoce cómo hacer. Esta automatización, de funcionar tal y como está previsto, supondrá una capa de protección adicional a los filtros antispam y antiphishing tradicionales, evitando de paso la recepción de correos innecesarios.

Desde el laboratorio de ESET en Ontinet.com apoyamos iniciativas como esta, puesto que hacen de Internet y sus servicios un lugar más seguro, sin que el usuario tenga que realizar un esfuerzo adicional. No obstante, no conviene bajar la guardia, y hay que revisar siempre cualquier mensaje sospechoso que podamos recibir de nuestra entidad bancaria, sobre todo si nos pide acceder a un enlace e introducir nuestros datos de usuario.

Fuente:  http://blogs.protegerse.com

Europa investiga la nueva política de privacidad de Google

Artículo 29, la organización que agrupa a las agencias de protección de datos europeas, entre ellas la española, ha solicitado a Google que paralice los anunciados cambios en su política de privacidad hasta haber estudiado el alcance de los mismos.. En una carta remitida a la compañía, explican que necesitan indagar si las nuevas medidas contemplan una protección suficiente de los datos personales de los internautas. Según la agencia española, la decisión de intervenir se tomó en una reunión de las citadas autoridades ayer.
Google anunció en enero que unificaba en un único formulario las condiciones de uso de cerca de 60 servicios de la empresa para facilitar su compensión. Los datos personales de estos servicios serían accesibles desde todos los servicios de Google. La medida debe entrar en vigor el 1 de marzo de este año y Google ya ha empezado a avisar a los internautas de este cambio que deberán aceptar expresamente el día que entren en vigor. Google no admite que el internauta pueda oponerse a algunas de las condiciones de uso que impone. Las citadas agencias explican en la carta, dirigida a Larry Page, jefe ejecutivo de Google, que la variedad de servicios que ofrece la compañía y su popularidad hace que cualquier cambio en la política de privacidad afecte a millones de ciudadanos. “Queremos comprobar las posibles consecuencias para la protección de la privacidad de los ciudadanos”, explica la carta que informa que la autoridad francesa será la responsable de coordinar la investigación.
La iniciativa tiene el apoyo de la comisaria europea Viviane Reding. Google, informa Reuters, ha mostrado su sorpresa por la iniciativa porque, asegura, había informado a las autoridades sin recibir ninguna opinión desfavorable. Con todo, anuncian su predisposición a colaborar en la investigación. Google, sin embargo, no está obligada por esta petición a frenar la implantación de su nueva política de privacidad.
Esta iniciativa llega después de que la Unión Europea aunciara una renovación de sus políticas sobre el tema que, algunas, datan de hace 17 años.
Por otra parte, dos representantes de Google acudieron este jueves al Congreso de EE UU para explicar estas medidas. Según los medios, no parece que convencieran a los congresistas, atendiendo a las declaraciones de algunos que consideran que no se simplifica la presentación de las condiciones de uso y reclaman el derecho de los internautas a negar el intercambio de datos entre distintos servicios, a su elección, sin que ello suponga penalizar a los mismos en su uso.

Tantas bajas de autónomos en enero como en todo el año 2011

Los datos conocidos hoy y puestos de manifiesto por UPTA (Unión Profesional de Trabajadores Autónomos) vienen a indicar que las bajas de autónomos en enero de 2012 han sido 30.458, mientras que el todo 2011 llegaron a 32.579. Eso supone que en este primer mes del año ha habido casi tantas bajas de autónomos como en todo 2011.
Eso demuestra que el gravísimo problema del desempleo no sólo alcanza a los trabajadores por cuenta ajena y también las cifras de los de cuenta propia son más que preocupantes.

No debemos olvidar que la inmensa mayoría de los empleos se crean desde las pymes y los autónomos y con cada uno de ellos que cesa en su actividad no solo se incrementan el número de desempleados, sino que es un empleador menos y una nueva puerta que se cierra a la generación de empleo.
Las alarmas están encendidas en cuanto que se pretende que la Reforma Laboral cree las bases para que, inicialmente, no sea necesario despedir a ningún trabajador más y a partir de ahí se empiece a crear nuevo empleo, pero para esto último no sólo es necesario frenar la sangría de cierres de negocios sino una politica de fomento y apoyo de creación de nuevas empresas.
Viendo el calendario de medidas del Gobierno no aparece, en el futuro inmediato, nada encaminado al fomento de la actividad emprendedora, ni de apoyo a las pymes o del cumplimiento estricto de la Ley contra la Morosidad, lo que nos lleva a pensar que pasarán otros dos meses antes de la aprobación de algo, que no sabemos ni lo que es ni si será efectivo.
A este ritmo, cuando se pongan en marcha esas supuestas medidas, habremos llegado a los 100.000 empleadores menos en 2012. Eso serán 100.000 posibilidades menos para creación de empleo, pero bueno, supongo que habrá problemas más importantes que resolver.

Fuente:  http://www.pymesyautonomos.com