Sábado, 28 de febrero de 2009 | Bugs, Microsoft, Seguridad
El pasado 24 de febrero, Microsoft reconoció en una nota oficial que estaban investigando la existencia de una nueva vulnerabilidad en Office Excel que podría permitir la ejecución remota de código si un usuario abre un archivo Excel especialmente manipulado.
La vulnerabilidad, de la que se han dado pocos detalles, estaría causada por una referenciación a un objeto no válido al abrir un documento Excel, lo que podría permitir la ejecución de código. Si el usuario abriese el archivo con permisos de administrador, el atacante podría tomar completo control del sistema afectado.
Continuar leyendo este articulo »
Jueves, 26 de febrero de 2009 | Adobe, Bugs, Microsoft, Seguridad
Puesto que Adobe decidió “esperar” varias semanas para solucionar un grave problema de seguridad, ya ha aparecido un parche no oficial programado por un tercero. Esta era una parcela que hasta ahora se creía reservada para el sistema operativo Windows. Adobe Reader está cada vez más en el punto de mira de la industria del malware, como buen vehículo para instalar troyanos en el sistema sin que el usuario lo perciba. Ha protagonizado una nueva ola de ataques y Adobe sigue sin responder correctamente, sin experiencia en ser el centro de atención. ¿Sabrá esquivar los golpes que pueden llegarle en los próximos años?
Symantec y Shadowserver dieron la voz de alarma a mediados de febrero: una nueva vulnerabilidad de Acrobat estaba siendo aprovechada para instalar malware. Poco después Adobe publica una nota oficial en la que reconoce el fallo, pero afirma que lo solucionará el 11 de marzo e incluso más tarde para las ramas más veteranas del producto. No publica más información, ni contramedidas, ni consejos, ni alcance… nada.
Continuar leyendo este articulo »
Miércoles, 11 de febrero de 2009 | Actualización, Bugs, Microsoft, Seguridad
La empresa Microsoft ha publicado cuatro boletines de seguridad correspondientes al mes de Febrero, dos calificados como “Críticos” y dos calificados como “Importantes”.
Resumen:
A continuación se presenta un resumen de los boletines publicados:
MS09-02: CRÍTICO. Actualización acumulativa de Seguridad para Internet Explorer.
MS09-03: CRÍTICO. Vulnerabilidades en Microsoft Exchange podrían permitir la ejecución remota de código arbitrario.
MS09-04: IMPORTANTE. Vulnerabilidades en Microsoft SQL Server podrían permitir la ejecución remota de código arbitrario.
MS09-05: IMPORTANTE. Vulnerabilidades en Microsoft Office Visio podrían permitir la ejecución remota de código arbitrario.
Continuar leyendo este articulo »
Lunes, 9 de febrero de 2009 | Microsoft, Noticias, Seguridad
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cuatro boletines de seguridad. Las actualizaciones afectarían a Internet Explorer, Microsoft Exchange Server, Microsoft SQL Server y Microsoft Office
Si en enero se publicó un sólo boletín de seguridad, este mes Microsoft prevé publicar un total de cuatro actualizaciones el martes 10 de febrero. Dos de ellas, las dedicadas a la versión 7 de Internet Explorer y al servidor Exchange, alcanzan la categoría de críticas, mientras que las otras dos, referentes al servidor de SQL y al software gráfico Visio de Office, están catalogadas como importantes.
Continuar leyendo este articulo »
Domingo, 8 de febrero de 2009 | Actualización, Bugs, Microsoft, Seguridad
El reciente descubrimiento de una vulnerabilidad en UAC en Windows 7 Beta ha hecho que los desarrolladores de Microsoft se pongan rápidamente manos a la obra para elaborar un parche que ya está completado pero que aún no está disponible para los usuarios de esa versión.
Varios bloggers y expertos en seguridad alertaron hace unos días de los riesgos que implicaba el uso de UAC en Windows 7 Beta, ya que algunos programas maliciosos podían ganar acceso a todos los recursos del sistema operativo aprovechando un defecto de su diseño.
Continuar leyendo este articulo »
Miércoles, 14 de enero de 2009 | Actualización, Bugs, Microsoft, Seguridad
La empresa Microsoft ha publicado un boletín de seguridad correspondiente al mes de Enero de 2009 calificado como “crítico”.
Resumen:
A continuación se presenta un resumen del boletín publicado:
MS09-001: CRITICO.Vulnerabilidades en SMB podrían permitir la ejecución remota de código arbitrario, denegación de servicio, o elevación de privilegios.
Versiones Afectadas
Productos a los que afecta el presente Boletín:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 y Windows XP Service Pack 3
- Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 con SP1 para sistemas con Itanium y Windows Server 2003 con SP2 para sistemas con Itanium
- Windows Vista y Windows Vista Service Pack 1
- Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
- Windows Server 2008 para sistemas de 32 bits
- Windows Server 2008 para sistemas x64
- Windows Server 2008 para sistemas con Itanium
Continuar leyendo este articulo »
Domingo, 11 de enero de 2009 | Bugs, Microsoft, Seguridad
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se espera un solo boletín de seguridad. La actualización afectaría al sistema operativo Windows.
Si en diciembre fueron ocho boletines de seguridad los que salieron a la luz, en su último ciclo de actualizaciones del año Microsoft prevé publicar una sola actualización el martes 13 de enero. En realidad, y antes de acabar el año, Microsoft se vio obligada a publicar un parche fuera de su ciclo habitual, que corregía una grave vulnerabilidad en su navegador que estaba siendo aprovechada por atacantes.
Continuar leyendo este articulo »
Domingo, 14 de diciembre de 2008 | Microsoft
Dentro del conjunto de boletines de seguridad de diciembre publicado este martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-076) de una actualización para Microsoft Windows Media destinada a solucionar dos vulnerabilidades que podrían permitir a un atacante remoto ejecutar código arbitrario y obtener información importante.
Continuar leyendo este articulo »
Domingo, 14 de diciembre de 2008 | Bugs, Internet Explorer, Microsoft, Seguridad
Microsoft ha confirmado que existe un problema sin parchear en Internet Explorer 7 que usuarios malintencionados podrían explotar. La confirmación se extiende aún más al confirmar que el mismo problema afecta a las versiones anteriores del navegador e incluso a la versión beta 2 de Internet Explorer 8.
Mientras parchean el bug recomiendan encarecidamente deshabilitar el archivo Oledb32.dll para permanecer seguros.
Continuar leyendo este articulo »
Lunes, 8 de diciembre de 2008 | Actualización, Microsoft, Seguridad
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan ocho boletines de seguridad. Las actualizaciones afectarían a Windows (dos de ellas), Windows Media Center, Internet Explorer, Visual Basic y a los componentes SharePoint, Word y Excel de Microsoft Office.
Si en octubre fueron tan sólo dos boletines de seguridad los que salieron a la luz, en su último ciclo de actualizaciones del año Microsoft prevé publicar ocho actualizaciones el martes 9 de diciembre. Seis de los boletines están catalogados como “críticos”, calificación máxima otorgada por Microsoft. Estos serían los dedicados a Windows, Microsoft Office (Excel y Word), Visual Basic y Visual Studio; junto con la actualización acumulativa para su navegador Internet Explorer. Los dos boletines restantes, referentes a SharePoint y Windows Media Center, han sido calificados como “Importantes”.
Continuar leyendo este articulo »
Lunes, 24 de noviembre de 2008 | Bugs, Microsoft, Windows Vista
La compañía austriaca de seguridad Phion reveló una vulnerabilidad en el núcleo de Vista que puede producir un desbordamiento de buffer colgando el sistema, o que puede ser explotado para inyectar código malicioso y comprometer la seguridad del equipo cliente.
La vulnerabilidad se encuentra en el sistema de red cuando se envían solicitudes a la API “iphlpapi.dll”. El error está comprobado en Vista Ultimate y Enterprise y según los investigadores “es muy probable que afecte al resto de versiones de 32 y 64 bits”. Windows Xp no está afectado, según explican.
Continuar leyendo este articulo »
Martes, 18 de noviembre de 2008 | Bugs, Microsoft, Seguridad
Dentro del conjunto de boletines de seguridad de noviembre publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-069) de una actualización crítica para evitar tres vulnerabilidades en Microsoft XML Core Services, que podrían permitir a un atacante remoto ejecutar código arbitrario, o revelar información sensible, si el usuario visualiza un email, o abre con Internet Explorer una página web especialmente manipulada.
La primera vulnerabilidad está causada por una corrupción de memoria provocada por un error en la forma en la que Microsoft XML Core Services procesa contenido XML. El error podría ser aprovechado por un atacante remoto para ejecutar código arbitrario si el usuario visualiza un email o página web especialmente manipulada. Si el usuario abriese el archivo con permisos de administrador, el atacante tomaría completo control del sistema.
Continuar leyendo este articulo »