Vulnerabilidad en Firefox 3.5

Firefox 3.5 tiene una vulnerabilidad muy crítica, según ha informado Secunia que ya ha sido parcheada en la versión de desarrollo. El fallo, que puede afectar a otras versiones del navegador, permite a los atacantes la ejecución de código arbitrario en la máquina afectada.

La vulnerabilidad se debe a un error en la gestión al procesar código JavaScript. Para explotarlo, tan sólo hay que utilizar etiquetas HTML para causar una corrupción en la memoria, abriendo la puerta a la ejecución de código arbitrario.

La solución provisional es sencilla, afortunadamente, en tanto en cuanto Mozilla no libere el parche Firefox 3.6. En la sección de configuración de Firefox (a la que se accede en about:config), cambiar el valor de la entrada javascript.options.jit.content a “false”.

Continuar leyendo »

Vulnerabilidad crítica en ActiveX de Internet Explorer 8La última vulnerabilidad crítica detectada en Internet Explorer 8 es tan grave que Microsoft ha emitido un aviso y una solución provisional, hasta que ofrezcan un parche que corrija definitivamente el fallo, posiblemente dentro de una semana.

La vulnerabilidad detectada, otra a apuntar en la larga lista del Control ActiveX, permite a un atacante infectar un PC bajo Windows XP o Windows Server 2003 tras pulsar en un enlace de vídeo en Internet Explorer. Lo peor, es que permite la ejecución de código arbitrario bajo los mismos permisos que tenga el usuario en el PC (que por lo general, y por más que recomendemos lo contrario, son los de administrador).

Y no se trata de un caso hipotético, ya que en la nota de Microsoft queda claro que son conscientes de que ya se ha explotado esta vulnerablidad. En el enlace que os dejo podéis realizar la desactivación del control afectado de forma automática o manual.

Continuar leyendo »

Vulnerabilidad crítica en todas las versiones de Internet ExplorerMicrosoft confirma la existencia de una vulnerabilidad crítica, sin parchear, en todas las versiones de su navegador de Internet, incluída la beta 2 de Internet Explorer 8.

Una seria vulnerabilidad, aun sin parchear, y que puede ser aprovechada por usuarios maliciosos, que pueden acceder al equipo con los mismos permisos del usuario local que está actualmente logueado en el sistema.

Es por ello que hasta la liberación de un parche adecuado que solvente el problema se recomienda encarecidamente seguir los consejos de Microsoft y el deshabilitar el archivo Oledb32.dll.

Fuente: The Inquirer

Enlace: Consejos de seguridad de Microsoft

Internet Explorer desvela datos de acceso a servidores FTPUn serio problema que afecta tanto a los usuarios de Internet Explorer 6 como a los del 7.

Un problema que afecta sobre todo a los usuarios que disponen de sitios web y acceden a ellos para modificar algún documento utilizando Explorer como cliente de FTP.

Tras editar un archivo HTML y guardarlo de nuevo, Internet Explorer incluye un comentario en el código fuente de la página con el nombre de usuario y contraseña de acceso al servidor FTP.

Según desvela Kriptópolis Microsoft conoce la existencia del problema desde el año 2004, aunque se justifica alegando que la capacidad de cliente ftp se incluye en Explorer sólo “por comodidad”, pero no se trata de un auténtico cliente de ftp.

Fuente: Kriptópolis

Hackear GmailHace unos días se celebró la convención Black Hat , un gran evento sobre seguridad informática y en el, Robert Graham (CEO de Errata Security ) asombró a todos demostrando lo fácil que era hackear cuentas de correo electrónico de Gmail mediante cookies, pese a que los proveedores como Yahoo!, Hotmail o Gmail mantengan la negativa de que se pueda hacer.La acción se realizó en vivo para más entretenimiento de los asistentes al evento, mediante una aplicación desarrollada por el llamada Hamster y transmitido por una pantalla gigante, mientras accedía de forma ilícita a una cuenta especialmente creada para ello “ getmehacked@gmail.com” .

El procedimiento empezó cuando George Ou, un especialista de ZDNet , envió varios correos electrónicos a algunos asistentes del evento. Momento en el que Graham se hizo con las cookies mediante su aplicación y el wireless del evento.

Recolectadas las cookies, Graham accedió a la cuenta mostrando el correo electrónico enviado por George Ou y posteriormente envió un correo con el mensaje “ I like sheeps ” a los anteriores receptores con el posterior asombro de estos.

Continuar leyendo »