La Fundación Mozilla, que controla el desarrollo del navegador Firefox, ha decidido incrementar la cantidad de dinero que paga a los desarrolladores por información sobre bugs de seguridad en sus productos, pasando de 500 a 3.000 dólares.

Según lo informado, este incremento es parte de lo que Mozilla considera una mejora en su Programa Security Bug Bounty, que fue lanzado hace seis años.

Al anunciar esta decisión, el director de seguridad, Lucas Adamski, dijo que mucho ha cambiado en los últimos seis años, por lo que una de las mejores formas de mantener a los usuarios seguros es hacer que sea económicamente interesante para los investigadores.

Continuar leyendo »

Adobe ha sacado un parche para una vulnerabilidad crítica de Photoshop CS4 11.0.1 y anteriores. Esta vulnerabilidad permite que un atacante tome control del sistema por medio de archivos .ASL, .ABR o GDR maliciosos que el usuario haya instalado, es decir, los archivos de estilos, pinceles y degradados. Afecta tanto a versiones de Mac OS como de Windows.

Estos tipos de archivo nos permiten ampliar las posibilidades del programa y muchos usuarios tienden a probarlos indiscriminadamente. Si lo has hecho y usas CS4 o cualquier versión anterior, más razón para descárgarte el parche. Recuerda siempre bajar este tipo de complementos únicamente de sitios fiables.

Continuar leyendo »

Mozilla ha lanzado Firefox 3.6.3, una actualización de seguridad que tiene como principal objetivo corregir una grave vulnerabilidad relacionada con un problema de corrupción de acceso a memoria que llegó en la versión 3.6.2 lanzada hace apenas unos días, y que podría permitir acceso y ejecución de código arbitrario en un ordenador.

Así, Firefox se convierte en el primer navegador en solucionar la vulnerabilidad expuesta en el PWN2OWN 2010 que tuvo lugar la semana pasada, y que ha logrado ser arreglado luego de dos parches, algo que ni Internet Explorer ni Safari (otros dos navegadores que también mostraron problemas) han hecho.

Continuar leyendo »

Terminando con una de las anécdotas más antiguas en la historia de Microsoft, en las ultimas horas fue anunciado que un bug de 17 años encontrado en Windows será arreglado en la próxima actualización de seguridad de la compañía. 

La actualización de febrero para Windows permitirá cerrar un loop relacionado con el sistema operativo DOS. Encontrado por primera vez en el Windows NT 3.1, este bug ha sido integrado en casi todas las versiones de Windows que han sido lanzadas desde ese momento.

La actualización mensual de seguridad también servirá para solucionar otros 25 errores en Windows, incluyendo cinco catalogados como críticos.

Haciendo un poco de historia, fue revelado que este bug fue descubierto por Tavis Ormandy en enero de este año e implica una utilidad que permite a las nuevas versiones de Windows correr programas de la época del DOS.

Continuar leyendo »

Apenas algunas semanas desde la última vez que Microsoft corrió detrás de su Internet Explorer con una caja de banditas, el Gigante de Redmond está de regreso con otro Security Advisory (#980088), advirtiendo a los usuarios en esta oportunidad que Internet Explorer podría ser utilizado para compartir los contenidos de todo nuestro disco duro con el Internet.

Presentada y tratada mediante una muestra de código como una mera “prueba conceptual” durante la conferencia Black Hat DC por Jorge Luis Alvarez Medina de Core Security Technologies, la vulnerabilidad requiere que el atacante cuente con apenas de un nombre de usuario y ubicación (dominio) válidos para acceder mediante IE a los archivos locales dentro del sistema de archivos.

Continuar leyendo »