AÑO 7 - Nº 08 - AGO 11

Inicio

GESTIÓN INFOSEC

ENTREVISTA

LAS LEYES

PALABRAS DE CISO

TIPS PARA UN CISO

PUNTOS DE VISTA

ACTUALIZACIÓN TÉCNICA

HACKING BAJO LA LUPA

ESTADÍSTICAS

PRODUCTOS

TOOLBOX

CAPACITACIONES

LINKS DE INTERES

¿LO SABIAS?

HOT VULNERABILITIES

COMUNIDAD INFOSEC

EFRAUDE

NOTICIAS

BOLSA DE TRABAJO

AGENDA Y EVENTOS

CARTA DE LECTORES

LIBROS DE PASES

CHISTE

 

ediciones anteriores

Envíanos tu comentario

 

HOT VULNERABILITIES

Cuatro boletines de seguridad de Microsoft

La empresa publicó cuatro boletines de seguridad designados como MS11-053 a MS11-056 que corrigen un total de 22 vulnerabilidades que afectan a los sistemas operativos y a Office, en particular a Microsoft Visio. De acuerdo a la propia clasificación de Microsoft, el boletín MS11-053 tiene un nivel de gravedad "crítico" y los tres restantes son "importantes".

MS11-053: Soluciona una vulnerabilidad en la pila del bluetooth en la forma en la que los objetos acceden a memoria, cuando no han sido inicializados correctamente o han sido borrados. Su explotación podría ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de paquetes bluetooth especialmente manipulados.

MS11-054: Soluciona 15 vulnerabilidades en kernel que podrían permitir a un atacante elevar privilegios.

MS11-055: Soluciona una vulnerabilidad en Microsoft Visio al cargar librerías externas. Su explotación podría ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de una librería de enlace dinámico especialmente manipulado.

MS11-056: soluciona cinco vulnerabilidades en el subsistema Run-time Client/Server, causadas por errores desbordamiento de memoria intermedia, índice de array erróneo y desbordamiento de enteros. Su explotación podría ser aprovechada por un atacante para elevar privilegios.

(VER MAS)

Vulnerabilidad en Skype permitiría tomar el control de la computadora

Un experto en seguridad afirmó haber encontrado una vulnerabilidad en la popular aplicación de comunicaciones vía Internet, con la que un atacante podría cambiar la contraseña e incluso llegar a tomar el control de la sesión y de los equipos. No obstante existen algunos requisitos para que la vulnerabilidad sea explotable. Skype ya fue avisado del error.

El consultor alemán Levent Kayan publicó en su blog los detalles de una vulnerabilidad en Skype que permitiría cambiar la contraseña e incluso llegar a tomar el control de la computadora. La debilidad del sistema se manifiesta en un campo donde los usuarios de Skype pueden introducir su número de teléfono móvil. Según Kayan, los atacantes pueden insertar JavaScripts en el campo. Después, cuando uno de los contactos del usuario ingresa en línea, el perfil del usuario malicioso es actualizado, y el JavaScript se ejecuta.

Kayan explicó que la sesión de la otra persona podría ser secuestrada, y que puede ser posible para ganar el control de la computadora de esa persona. Un atacante también podría cambiar la contraseña de la cuenta de alguien. Kayan dijo que advirtió que el comportamiento ocurrió sólo después de que la víctima entra al sistema en varias ocasiones. Sin embargo, dijo en un e-mail que una vez que ocurre la primera vez “ocurre con cada nuevo inicio de sesión”.

Los ejecutivos de Skype estuvieron en desacuerdo con Kayan. “En esencia, [la vulnerabilidad] permite que uno de sus principales contactos en Windows le muestre mensajes o lo redirija a páginas web dentro de la página de Skype”, dijo Adrian Asher, Chief Information Security Officer de Skype, en un comunicado. “Para explotar [esta vulnerabilidad], esta persona tendría que ser un contacto validado y uno de los más frecuentes, y por lo tanto muy poco probable que cause problemas en el mundo real, sin embargo, no debería ser así y se arreglará”, agregó.

(VER MAS)


Envíanos tu comentario: contactos@infosecurityvip.com

 

Ediciones Anteriores

 

Copyright © 2011 I-SEC. Todos los derechos reservados
Política de privacidad