Terminando con una de las anécdotas más antiguas en la historia de Microsoft, en las ultimas horas fue anunciado que un bug de 17 años encontrado en Windows será arreglado en la próxima actualización de seguridad de la compañía. 

La actualización de febrero para Windows permitirá cerrar un loop relacionado con el sistema operativo DOS. Encontrado por primera vez en el Windows NT 3.1, este bug ha sido integrado en casi todas las versiones de Windows que han sido lanzadas desde ese momento.

La actualización mensual de seguridad también servirá para solucionar otros 25 errores en Windows, incluyendo cinco catalogados como críticos.

Haciendo un poco de historia, fue revelado que este bug fue descubierto por Tavis Ormandy en enero de este año e implica una utilidad que permite a las nuevas versiones de Windows correr programas de la época del DOS.

Continuar leyendo »

Apenas algunas semanas desde la última vez que Microsoft corrió detrás de su Internet Explorer con una caja de banditas, el Gigante de Redmond está de regreso con otro Security Advisory (#980088), advirtiendo a los usuarios en esta oportunidad que Internet Explorer podría ser utilizado para compartir los contenidos de todo nuestro disco duro con el Internet.

Presentada y tratada mediante una muestra de código como una mera “prueba conceptual” durante la conferencia Black Hat DC por Jorge Luis Alvarez Medina de Core Security Technologies, la vulnerabilidad requiere que el atacante cuente con apenas de un nombre de usuario y ubicación (dominio) válidos para acceder mediante IE a los archivos locales dentro del sistema de archivos.

Continuar leyendo »

Después de acabar el año 2009 de manera bastante desastrosa en relación a la seguridad de sus productos, en Adobe le han vuelto a ver las orejas al lobo. Se ha detectado que parte de los últimos ataques perpetrados contra algunas organizaciones y empresas podrían tener su origen en un archivo PDF adjunto que ha viajado vía correo electrónico.

Desgraciadamente todo parece indicar que las vulnerabilidades detectadas a finales de año son el origen de los ataques. A pesar de las actualizaciones, el sistema implementado por Adobe para llevarlas a cabo no parece triunfar entre los usuarios y muchos de los sistemas no están a la última, con lo cual es más fácil explotar estos errores.

Continuar leyendo »

Y ya son varias veces en este año que ocurre un problema de este tipo con Acrobat. Se ha detectado un nuevo problema crítico en Adobe Reader y Acrobat, del cual hay constancia que está siendo aprovechado para ejecutar código arbitrario y que Adobe no resolverá hasta la actualización de seguridad que tiene programada para el 12 de enero de 2010.

El problema afecta Adobe Reader y Acrobat en sus versiones 9.2 o 8.1.7. Los usuarios de Windows Vista, Windows 7 y Windows XP SP3 con la opción de DEP (Data Execution Prevention) activado son menos vulnerables y se verían afectados sólo por una denegación de servicio. Se recomienda desactivar JavaScript para todas las versiones de Acrobat y evitar que nuestro navegador abra automáticamente archivos PDF.

La otra opción que tenemos es activar una lista negra de JavaScript en Adobe que es la solución facilitada por la compañía, pero tampoco tenemos garantías, puesto que una lista negra sólo eliminará los sitios que estén incluidos en la misma, como es lógico. Si queréis tener mayor seguridad siempre podemos optar por gestionar los archivos PDF con otros programas, que no será por variedad en este campo.

Continuar leyendo »

Cuando hace un par de días se demostró la posibilidad de atacar un iPhone a través de SMS el temor invadió a sus usuarios. No era para menos, pero por suerte Apple ha lanzado una actualización de seguridad que corrige ese fallo.

Charlie Miller, la persona que ha descubierto la vulnerabilidad de SMS, ha colaborado con Apple para solucionar el problema, y -tal cual había prometido- ahora que el parche para el mismo ha sido lanzado lo explicará y demostrará.

Continuar leyendo »