Microsoft confirma la existencia de una vulnerabilidad crítica, sin parchear, en todas las versiones de su navegador de Internet, incluída la beta 2 de Internet Explorer 8.

Una seria vulnerabilidad, aun sin parchear, y que puede ser aprovechada por usuarios maliciosos, que pueden acceder al equipo con los mismos permisos del usuario local que está actualmente logueado en el sistema.

Es por ello que hasta la liberación de un parche adecuado que solvente el problema se recomienda encarecidamente seguir los consejos de Microsoft y el deshabilitar el archivo Oledb32.dll.

Fuente: The Inquirer

Enlace: Consejos de seguridad de Microsoft

Un serio problema que afecta tanto a los usuarios de Internet Explorer 6 como a los del 7.

Un problema que afecta sobre todo a los usuarios que disponen de sitios web y acceden a ellos para modificar algún documento utilizando Explorer como cliente de FTP.

Tras editar un archivo HTML y guardarlo de nuevo, Internet Explorer incluye un comentario en el código fuente de la página con el nombre de usuario y contraseña de acceso al servidor FTP.

Según desvela Kriptópolis Microsoft conoce la existencia del problema desde el año 2004, aunque se justifica alegando que la capacidad de cliente ftp se incluye en Explorer sólo “por comodidad”, pero no se trata de un auténtico cliente de ftp.

Fuente: Kriptópolis

Hace unos días se celebró la convención Black Hat , un gran evento sobre seguridad informática y en el, Robert Graham (CEO de Errata Security ) asombró a todos demostrando lo fácil que era hackear cuentas de correo electrónico de Gmail mediante cookies, pese a que los proveedores como Yahoo!, Hotmail o Gmail mantengan la negativa de que se pueda hacer.La acción se realizó en vivo para más entretenimiento de los asistentes al evento, mediante una aplicación desarrollada por el llamada Hamster y transmitido por una pantalla gigante, mientras accedía de forma ilícita a una cuenta especialmente creada para ello “ getmehacked@gmail.com” .

El procedimiento empezó cuando George Ou, un especialista de ZDNet , envió varios correos electrónicos a algunos asistentes del evento. Momento en el que Graham se hizo con las cookies mediante su aplicación y el wireless del evento.

Recolectadas las cookies, Graham accedió a la cuenta mostrando el correo electrónico enviado por George Ou y posteriormente envió un correo con el mensaje “ I like sheeps ” a los anteriores receptores con el posterior asombro de estos.

Continuar leyendo »

El responsable de Firefox, Thunderbird y SeaMonkey ha publicado una actualización para estas herramientas que soluciona un problema de seguridad que podría permitir la ejecución remota de código.

El primer fallo se debe al manejo de páginas “about:blank” que se crean en el contexto de “chrome” en un addon. Un atacante podría ejecutar código script arbitrario si se pulsa sobre un enlace abierto en una ventana “about:blank” creada por uno de estos addons, que deben estar instalados en el sistema.

Aparte de esta vulnerabilidad, la versión 2.0.0.6 parece solventar el problema de manejo de URIs que permitía la ejecución de código en Windows a través de Firefox. Posteriormente se ha demostrado que Firefox no es la única vía por la que se puede llegar a aprovechar la vulnerabilidad. También han reconocido los propios desarrolladores que el parche aplicado en la actualización 2.0.0.6 de Firefox no es del todo efectivo, y que no han filtrado todos los caracteres que permitirían explotar el fallo.

La semana pasada se alertó de una vulnerabilidad en principio “compartida” entre Microsoft Windows (en concreto Internet Explorer 7) y Firefox que podía ser aprovechada por atacantes para ejecutar código arbitrario en el sistema. El problema se creía compartido entre Microsoft Windows y la interacción con otros navegadores (Netscape entre ellos), con lo que resultaba complicado exigir “responsabilidades” y se dio cierta confusión.

Continuar leyendo »

Adobe ha lanzado un parche que corrige serias vulnerabilidades y recomiendan instalarlo lo antes posible.

Como crítica ha sido identificada una vulnerabilidad que afecta a las versiones CS2 y CS3 de Photoshop, y los fallos han sido encontrados en las ediciones para las dos plataformas en la que está disponible el programa, Mac OS X y Windows.

Y éstos afectan a los usuarios cuando abren archivos del tipo BMP, DIB, RLE o PNG con código malicioso que permitiría al atacante tomar control del equipo, por lo que se recomienda que actualicen el software de inmediato, y mientras tanto, tener cuidado con no abrir éste tipo de archivos si fueron enviados por personas desconocidas vía el correo electrónico u otros medios.

A continuacion os dejamos el enlace para descargar e instalar los parches de seguridad y corregir el problema.

Enlace: Adobe parches seguridad