Un serio problema que afecta tanto a los usuarios de Internet Explorer 6 como a los del 7.

Un problema que afecta sobre todo a los usuarios que disponen de sitios web y acceden a ellos para modificar algún documento utilizando Explorer como cliente de FTP.

Tras editar un archivo HTML y guardarlo de nuevo, Internet Explorer incluye un comentario en el código fuente de la página con el nombre de usuario y contraseña de acceso al servidor FTP.

Según desvela Kriptópolis Microsoft conoce la existencia del problema desde el año 2004, aunque se justifica alegando que la capacidad de cliente ftp se incluye en Explorer sólo “por comodidad”, pero no se trata de un auténtico cliente de ftp.

Fuente: Kriptópolis

Hace unos días se celebró la convención Black Hat , un gran evento sobre seguridad informática y en el, Robert Graham (CEO de Errata Security ) asombró a todos demostrando lo fácil que era hackear cuentas de correo electrónico de Gmail mediante cookies, pese a que los proveedores como Yahoo!, Hotmail o Gmail mantengan la negativa de que se pueda hacer.La acción se realizó en vivo para más entretenimiento de los asistentes al evento, mediante una aplicación desarrollada por el llamada Hamster y transmitido por una pantalla gigante, mientras accedía de forma ilícita a una cuenta especialmente creada para ello “ getmehacked@gmail.com” .

El procedimiento empezó cuando George Ou, un especialista de ZDNet , envió varios correos electrónicos a algunos asistentes del evento. Momento en el que Graham se hizo con las cookies mediante su aplicación y el wireless del evento.

Recolectadas las cookies, Graham accedió a la cuenta mostrando el correo electrónico enviado por George Ou y posteriormente envió un correo con el mensaje “ I like sheeps ” a los anteriores receptores con el posterior asombro de estos.

Continuar leyendo »

El responsable de Firefox, Thunderbird y SeaMonkey ha publicado una actualización para estas herramientas que soluciona un problema de seguridad que podría permitir la ejecución remota de código.

El primer fallo se debe al manejo de páginas “about:blank” que se crean en el contexto de “chrome” en un addon. Un atacante podría ejecutar código script arbitrario si se pulsa sobre un enlace abierto en una ventana “about:blank” creada por uno de estos addons, que deben estar instalados en el sistema.

Aparte de esta vulnerabilidad, la versión 2.0.0.6 parece solventar el problema de manejo de URIs que permitía la ejecución de código en Windows a través de Firefox. Posteriormente se ha demostrado que Firefox no es la única vía por la que se puede llegar a aprovechar la vulnerabilidad. También han reconocido los propios desarrolladores que el parche aplicado en la actualización 2.0.0.6 de Firefox no es del todo efectivo, y que no han filtrado todos los caracteres que permitirían explotar el fallo.

La semana pasada se alertó de una vulnerabilidad en principio “compartida” entre Microsoft Windows (en concreto Internet Explorer 7) y Firefox que podía ser aprovechada por atacantes para ejecutar código arbitrario en el sistema. El problema se creía compartido entre Microsoft Windows y la interacción con otros navegadores (Netscape entre ellos), con lo que resultaba complicado exigir “responsabilidades” y se dio cierta confusión.

Continuar leyendo »

Adobe ha lanzado un parche que corrige serias vulnerabilidades y recomiendan instalarlo lo antes posible.

Como crítica ha sido identificada una vulnerabilidad que afecta a las versiones CS2 y CS3 de Photoshop, y los fallos han sido encontrados en las ediciones para las dos plataformas en la que está disponible el programa, Mac OS X y Windows.

Y éstos afectan a los usuarios cuando abren archivos del tipo BMP, DIB, RLE o PNG con código malicioso que permitiría al atacante tomar control del equipo, por lo que se recomienda que actualicen el software de inmediato, y mientras tanto, tener cuidado con no abrir éste tipo de archivos si fueron enviados por personas desconocidas vía el correo electrónico u otros medios.

A continuacion os dejamos el enlace para descargar e instalar los parches de seguridad y corregir el problema.

Enlace: Adobe parches seguridad

Han sido reportadas varias vulnerabilidades encontradas en Adobe Flash Player que dan la posibilidad de ejecutar código malicioso y hacerse el control de la máquina, conseguir información y comprometer al usuario.

Primera vulnerabilidad : Un error de la validación de la entrada puede ser explotado para ejecutar código arbitrario cuando el usuario por ejemplo visita un sitio web con contenido malicioso, esta vulnerabilidad afecta a la versión 9.0.45.0 .

Segunda vulnerabilidad : Un error entre Adobe Flash Player y de ciertos navegadores se puede explotar para sacar las teclas pulsadas mediante un applet de Adobe Flash Player. La vulnerabilidad afecta las versiones 7.0.69.0 y anteriores en Linux y Solaris. No afecta a Adobe Flash Player 9.

Gracias a Secunia puedes ver si tu sistema es vulnerable mediante su Software Inspector , en caso de ser vulnerable, puedes solucionarlo con estas actualizaciones:

Continuar leyendo »