Inicio

Gestión Infosec

Entrevista

Las leyes

Palabras de ciso

Tips para un ciso

Puntos de vista

Actualización Técnica

Hacking bajo la lupa

Estadísticas

Productos

Toolbox

Capacitaciones

Links de interés

¿lo sabias?

Hot vulnerabilities

Comunidad Infosec

Efraude

Noticias

Bolsa de trabajo

Agenda y eventos

Lectores

Libro de pases

El chiste del mes

Ver Anteriores

Envíenos su Comentario

Conferencias 2013, 2012, 2011 aquí

 

ULTIMAS CONFERENCIAS:

 

AÑO 9 - Nº 11 - NOV 13

HOT VULNERABILITIES

Alerta Microsoft sobre ataque que provocaría un "0-day" en Office

Microsoft lanzó una alerta sobre una vulnerabilidad "0-day" que infecta a través de documentos Word enviados por e-mail.
También ha publicado un parche en forma de "Fix it" para bloquear el ataque mientras terminan la actualización definitiva.

Microsoft ha informado que los ataques se han observado de manera muy limitada y de forma cuidadosamente realizada contra sistemas elegidos, principalmente en Oriente Medio y Asia del Sur.

En su reporte, Microsoft señala que el exploit que se está empleado necesita la interacción del usuario para que este abra un documento Word adjunto específicamente manipulado.

El ataque detectado trata de explotar la vulnerabilidad mediante una imagen (en formato TIFF) diseñada para ello e incrustada en el propio documento. El exploit ataca un fallo de seguridad sin corregir en versiones antiguas de Office (con CVE-2013-3906) y el procesamiento gráfico de imágenes en Windows.

Según la información facilitada por Microsoft el ataque combina múltiples técnicas para evitar las protecciones DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization).

Básicamente, la tecnología DEP (Data Execution Prevention), permite marcar zonas de memoria no ejecutables, ya presente en Windows XP SP2 se apoya en una característica en las CPU conocida como bit NX; incluso en aquellas CPU que no implementen el bit NX, DEP es capaz de ofrecer protección con funcionalidad reducida.

Fuente: http://www.xeu.com.mx/


Otra vulnerabilidad Master Key en Android 4.4

Investigadores de seguridad han descubierto una segunda vulnerabilidad Master Key en la nueva versión del sistema operativo de Google, la Android 4.4 KitKat presentado este fin de semana junto al terminal Nexus 5.

La vulnerabilidad Master Key en Android 4.4 es similar a la original que afectaba potencialmente a 900 millones de terminales inteligentes con el sistema de Google, desde la versión 1.6 del sistema.

La vulnerabilidad permite -en teoría- convertir cualquier aplicación instalada de forma legítima en un smartphone Android en un troyano, al permitir modificar el código del APK sin romper la firma criptográfica.

Ello implica que esta vulnerabilidad podría ser explotada por un pirata informático, cambiando el código de la misma sin que el sistema o usuario descubriera la modificación y a partir de ahí controlar el terminal para robar sus datos, incluirlo en una red de bots o usar tarificaciones especiales.

Google entregó a sus socios OEM un parche para solucionar la vulnerabilidad original aunque pasará un tiempo hasta que los fabricantes lo apliquen. Firmas de seguridad como G Data también solventan esta vulnerabilidad en sus soluciones y se espera que Google, también parchee la encontrada en Android 4.4.

Fuente: http://muyseguridad.net

 


ANTERIORES:

LAS VULNERABILIDADES DE LOS EXPLORADORES

Identificaron otro fallo de día cero que afecta a Java 7 Actualización 15 y versiones anteriores

22 agujeros de seguridad han sido corregidos con el lanzamiento de Chrome 25

Adobe actualiza Reader X, XI y 9.5.3 para corregir unas vulnerabilidades de día cero

TOP 10 DE VULNERABILIDADES WINDOWS Y LINUX SEGÚN EL SANS

Primera vulnerabilidad 0-day en Windows 8 con Internet Explorer 10

Resumen del boletín de seguridad de Microsoft de octubre 2012

“Tecnología y Ciber-Seguridad en el dominio .CO”

Java, el más vulnerable durante agosto

Microsoft: Boletines de seguridad de Microsoft de Julio 2012

Actualización de seguridad de Oracle

Microsoft: Resumen de Boletines de Seguridad para el mes de Junio

Google Chrome: Múltiples vulnerabilidades

Java: Múltiples vulnerabilidades

Resumen del boletín de seguridad de Microsoft de abril 2012

Detectan grave falla de seguridad en Hotmail

La Fundación Mozilla publica 14 boletines de seguridad

Resumen del boletín de seguridad de Microsoft de abril 2012

Resumen del boletín de seguridad de Microsoft de enero 2012

Resumen del boletín de seguridad de Microsoft de noviembre 2011

Resumen del Boletín de Seguridad de Microsoft de Octubre 2011

Descubierto grave problema de seguridad en ciertos dispositivos HTC, expone agenda, SMS, emails y más

Un investigador español detecta una seria vulnerabilidad en Facebook

Cisco Firewall Services Module DoS (FWSM)

Boletín de Seguridad de Microsoft, Junio 2011

Microsoft prepara un parche para la vulnerabilidad de día cero cookiejacking de Internet Explorer

Resumen del boletín de seguridad de Microsoft de abril de 2011

 

 

 

 

Copyright © 2013 ISEC. Todos los derechos reservados
Política de privacidad