Inicio

Gestión Infosec

Entrevista

Las leyes

Palabras de ciso

Tips para un ciso

Puntos de vista

Actualización Técnica

Hacking bajo la lupa

Estadísticas

Productos

Toolbox

Capacitaciones

Links de interés

¿lo sabias?

Hot vulnerabilities

Comunidad Infosec

Efraude

Noticias

Bolsa de trabajo

Agenda y eventos

Lectores

Libro de pases

El chiste del mes

> Ver Anteriores <

>Envíenos su  Comentario<

>Conferencias 2013, 2012, 2011 aquí<

Conferencias Infosecurity Tour 2013

 

AÑO 9 - Nº 06 - JUN 13

HOT VULNERABILITIES

Vulnerabilidades en Internet Explorer y Android


CVE-2013-1347: Microsoft ha confirmado la existencia de una nueva vulnerabilidad de Internet Explorer 8. El fallo CVE-2013-1347 expone los ordenadores de los usuarios para la ejecución remota de código y todavía no se ha encontrado solución.

Se trata de un problema bastante grave que afecta al funcionamiento de Internet Explorer 8 en todas las versiones de Windows XP, Vista, 7 y 8. Es un falla 0-Day y ya se trabaja en su resolución.

De acuerdo con múltiples empresas de seguridad, esta vulnerabilidad se está utilizando en explotaciones activas contra el Departamento de Trabajo y Departamento de Energía de EE.UU, incluyendo a los empleados de este último organismo involucrado en la investigación de armas nucleares.

La vulnerabilidad estaría siendo explotada por la herramienta de administración remota Poison Ivy, conocida por contribuir activamente en los ataques de malware y que se usa a menudo por ciberdelincuentes para robar información de las empresas, extraer documentos confidenciales, así como otros archivos de redes corporativas y gubernamentales

Microsoft por su parte ha prometido sacar una actualización con un parche que resuelva el problema. Ante la gravedad del fallo es posible que lo haga fuera de su calendario habitual de parches, aunque no ha confirmado nada. La compañía ha asegurado que las versiones IE9 e IE10 no están afectados por este fallo 0-day.

Fuente: PortalTIC


CVE-2013-0134: Una vulnerabilidad de Cross Site Scripting (XSS) en la versión navegador de AirDroid permite a un atacante enviar un mensaje de texto malicioso en el navegador asociado con la cuenta obteniendo acceso al teléfono.

Según el aviso publicado por el US-CERT, cuando este mensaje se visualiza en la interfaz web de AirDroid, un atacante puede realizar un ataque de cross-site scripting para robar información, escalar privilegios, y/o causar una denegación de servicio en la computadora.

La vulnerabilidad aún no ha sido corregida y el equipo de AirDroid aún no anuncia alguna actualización para corregir el problema. Como una buena práctica de seguridad, se recomienda sólo permitir las conexiones desde equipos y redes de confianza.

La vulnerabilidad ha sido registrada como CVE-2013-0134. Restringir el acceso impediría a un atacante acceder a la interfaz web de AirDroid usando credenciales robadas desde la ubicación de una red bloqueada.

Fuente: www.seguridad.unam.mx

Descubierto grave problema de seguridad en ciertos dispositivos HTC, expone agenda, SMS, emails y más

Un investigador español detecta una seria vulnerabilidad en Facebook

Cisco Firewall Services Module DoS (FWSM)

Boletín de Seguridad de Microsoft, Junio 2011

Microsoft prepara un parche para la vulnerabilidad de día cero cookiejacking de Internet Explorer

Resumen del boletín de seguridad de Microsoft de abril de 2011

 

 

 

 

Copyright © 2013 ISEC. Todos los derechos reservados
Política de privacidad