Domingo, 16 dUTC noviembre dUTC 2008 | Actualización, Bugs, Mozilla
La Fundación Mozilla ha publicado múltiples actualizaciones para Thunderbird, Seamonkey y para las dos ramas de su navegador Firefox (2.x y 3.x). Las nuevas versiones corrigen múltiples fallos de seguridad que podrían permitir salto de restricciones, revelación de información sensible, denegaciones de servicio y ejecución de código arbitrario por parte de un atacante remoto, pudiendo comprometer un sistema vulnerable.
Las siguientes vulnerabilidades han sido calificadas como críticas por el equipo de Mozilla, ya que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario.
Continuar leyendo este articulo »
Viernes, 31 dUTC octubre dUTC 2008 | Actualización, Bugs, Opera, Seguridad
Se han reportado dos vulnerabilidades en Opera que pueden ser explotadas por personas maliciosas para realizar ataques de XSS (Cross-Site Scripting) y para ejecutar código arbitrario y comprometer el sistema afectado.
Versiones Afectadas
Las vulnerabilidades se reportan en las versiones:
Opera 5.x
Opera 6.x
Opera 7.x
Opera 8.x
Opera 9.x (anteriores a 9.62).
Continuar leyendo este articulo »
Domingo, 19 dUTC octubre dUTC 2008 | Actualización, Apple/Mac, Bugs, Seguridad
Apple publicó la semana pasada un nuevo paquete de actualizaciones (Security Update 2008-007) para su sistema operativo Mac OS X, que solventa un mínimo de 40 vulnerabilidades. Con este último paquete, Apple ha rebasando la barrera de los 250 problemas de seguridad parcheados en lo que va de año, y eso sin contar los parches específicos de Safari o Quicktime.
Los problemas de seguridad solucionados podrían ser aprovechados por un atacante local o remoto para conducir ataques de cross-site scripting, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio, y más de la mitad de ellos, podrían permitir la ejecución de código arbitrario en un sistema vulnerable.
Continuar leyendo este articulo »
Miércoles, 15 dUTC octubre dUTC 2008 | Actualización, Bugs, Microsoft, Seguridad
La empresa Microsoft ha publicado once boletines de seguridad correspondientes al mes de Octubre, cuatro de ellos calificados como “críticos”, seis calificados como “Importantes” y el restante como “moderado”.
Resumen
A continuación se presenta un resumen de los boletines publicados:
MS08-056: MODERADO Una vulnerabilidad en Microsoft Office podría permitir la revelación de información confidencial.
MS08-057: CRITICO Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código arbitrario.
MS08-058: CRITICO Actualización de seguridad acumulativa para Internet Explorer.
MS08-059: CRITICO Una vulnerabilidad en el Servicio RPC de Host Integration Server podría permitir la ejecución remota de código arbitrario.
MS08-060: CRITICO Una vulnerabilidad en Activre Directory podría permitir la ejecución remota de código arbitrario.
MS08-061: IMPORTANTE Vulnerabilidades en el Kernel de Windows podrían permitir la ejecución remota de código arbitrario.
MS08-062: IMPORTANTE Una vulnerabilidad en el Servicio de Impresión de Internet podría permitir la ejecución remota de código arbitrario.
MS08-063: IMPORTANTE Una vulnerabilidad en SMB podría permitir la ejecución remota de código arbitrario.
MS08-064: IMPORTANTE Una vulnerabilidad en el Manejo de los descriptores de direcciones virtuales podría permitir a un atacante la elevación de privilegios.
MS08-065: IMPORTANTE Una vulnerabilidad en el Servicio de Message Queue Server (MSMQ) podría permitir la ejecución remota de código arbitrario.
MS08-066: IMPORTANTE Una vulnerabilidad en el Controlador de la Función Auxiliar de Microsoft podría permitir a un atacante la elevación de privilegios.
Continuar leyendo este articulo »
Viernes, 10 dUTC octubre dUTC 2008 | Actualización, Microsoft
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan once boletines de seguridad, uno dedicado a Microsoft Host Integration Server, otro al Directorio Activo, a Internet Explorer, Office y el resto a Windows.
Si en septiembre fueron cuatro boletines de seguridad los que salieron a la luz, este mes Microsoft prevé publicar once actualizaciones el martes 14 de octubre. Cuatro alcanzan la categoría de críticos, seis de importantes y uno de moderado.
Continuar leyendo este articulo »
Jueves, 9 dUTC octubre dUTC 2008 | Actualización, Bugs, Opera
Se ha lanzado la versión 9.60 del navegador Opera, que corrige dos vulnerabilidades que podrían ser aprovechadas por un atacante remoto para saltarse restricciones de seguridad, revelar información sensible, causar una denegación de servicio o ejecutar código arbitrario en un sistema vulnerable.
Opera, además de ser un navegador web, contiene cliente de correo electrónico con gestor de contactos, cliente de IRC, lector de noticias RSS y gestor para la descarga de archivos torrent.
Continuar leyendo este articulo »
Jueves, 25 dUTC septiembre dUTC 2008 | Actualización, Bugs, Mozilla, Seguridad
La Fundación Mozilla ha informado sobre múltiples vulnerabilidades en varios de sus productos que podrían ser aprovechadas por un atacante remoto para revelar información sensible, perpetrar ataques de cross-site scripting, provocar una denegación de servicio, saltarse restricciones de seguridad o ejecutar código arbitrario en un sistema vulnerable.
Continuar leyendo este articulo »
Miércoles, 17 dUTC septiembre dUTC 2008 | Actualización, Apple/Mac, Mac Soft, Seguridad
Apple lanzo un parche el pasado 31 de Julio para resolver la vulnerabilidad DNS descubierta por Dan Kaminsky, pero como se descubrió luego dicho parche solo arreglaba el problema del lado servidor y no del cliente como habría informado SANS Institute en su momento.
Según Andrew Storms (nCircle), la actualización liberada por Apple estaría realizando la aleatorización de puertos necesaria para dificultar los ataques por envenenamiento de cache. También han sido solventadas algunas fallas en otros componentes comunes de Mac OS como Finder, Time Machine, el núcleo de Mac OS y algunos componentes de código abierto, incluyendo Ruby ClamAV y OpenSSH; sumando así un total de 25 errores corregidos con esta actualización.
Vía | infoworld.com
Viernes, 12 dUTC septiembre dUTC 2008 | Actualización, Linux
SuSE ha publicado actualizaciones para el kernel de openSUSE que solventan múltiples vulnerabilidades que podrían permitir a un atacante remoto causar una denegación de servicio y que un atacante local accediera a información sensible.
Se ha solventado un fallo en la comprobación de rangos en el decodificador ASN.1 en NAT par SNMP y CIFS que podría ser aprovechado por un atacante remoto para hacer que el sistema dejase de responder.
Continuar leyendo este articulo »
Viernes, 12 dUTC septiembre dUTC 2008 | Actualización, Bugs, Microsoft, Seguridad
Tal y como adelantamos, este martes Microsoft ha publicado cuatro boletines de seguridad (MS08-052 al MS08-055) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft los cuatro boletines presentan un nivel de gravedad “crítico”.
Continuar leyendo este articulo »
Viernes, 12 dUTC septiembre dUTC 2008 | Actualización, Bugs, QuickTime, Seguridad
Apple lanzó el pasado martes una actualización de seguridad que solventa múltiples vulnerabilidades en QuickTime.
También se han publicado actualizaciones para iTunes, iPod Touch y en la versión para Windows de Bonjour que describiremos en otra noticia.
A continuación se detallan las vulnerabilidades solventadas en Quicktime 7.7.5, de las cuales ocho son críticas y las cuatro primeras sólo afectan a la versión para Windows.
Continuar leyendo este articulo »
Sábado, 6 dUTC septiembre dUTC 2008 | Actualización, Bugs, Seguridad
Se ha publicado una nueva versión de Wireshark puesto que en las anteriores se han encontrado múltiples vulnerabilidades que podrían ser explotadas por un atacante remoto, por medio de una serie de paquetes especialmente manipulados, para causar una denegación de servicio.
Wireshark (todavía muy conocido por su nombre anterior Ethereal) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.
Continuar leyendo este articulo »