Inicio

GESTIÓN INFOSEC

ENTREVISTA

LAS LEYES

PALABRAS DE CISO

TIPS PARA UN CISO

PUNTOS DE VISTA

ACTUALIZACIÓN TÉCNICA

HACKING BAJO LA LUPA

ESTADÍSTICAS

PRODUCTOS

TOOLBOX

CAPACITACIONES

LINKS DE INTERES

¿LO SABIAS?

HOT VULNERABILITIES

COMUNIDAD INFOSEC

EFRAUDE

NOTICIAS

BOLSA DE TRABAJO

AGENDA Y EVENTOS

CARTA DE LECTORES

LIBROS DE PASES

CHISTE

 

ediciones anteriores

Envíanos tu comentario

 

AÑO 9 - Nº 03 - MAR 13

HOT VULNERABILITIES

Identificaron otro fallo de día cero que afecta a Java 7 Actualización 15 y versiones anteriores

Adam Gowdiak, el director ejecutivo de Security Explorations, ha dicho a Softpedia que han descubierto dos problemas de seguridad, a las que han denominado "Issue 54" e "Issue 55".

Cuando se combinan, los fallos pueden ser aprovechados para eludir completamente el entorno de seguridad de Java.

Los detalles de los errores recién descubiertos han sido entregados a Oracle, pero hasta el momento, sólo ha confirmado que ha recibido la información. Probablemente, la compañía confirmará la existencia de los fallos en los próximos días.

Los expertos han probado sus resultados en la versión inicial de Java SE 7, Java SE 7 Actualización 11 y Java SE 7 Actualización 15.

Oracle ofreció su Critical Patch Update (CPU) para febrero antes de lo previsto. La CPU lanzada el 1 de febrero corrigió un total de 50 vulnerabilidades de Java. Sin embargo, la empresa lanzó una CPU actualizada el 19 de febrero para solucionar otros 5 problemas de seguridad.

La próxima CPU está programada para el 16 de abril, pero si los expertos descubren que issue 54 e issue 55 son explotados en la web, Oracle podría lanzar otro parche fuera de banda.

Mientras tanto, los expertos siguen asesorando a los usuarios a desactivar Java si no lo necesitan para sus tareas cotidianas. Los nuevos avisos vienen a la luz de los recientes hackeos reportados por Facebook, Apple y Microsoft. En todos estos incidentes, se cree que los ciberdelincuentes han aprovechado una vulnerabilidad de Java para distribuir malware en las organizaciones.


22 agujeros de seguridad han sido corregidos con el lanzamiento de Chrome 25

Un total de 22 vulnerabilidades, dos de las cuales sólo afectaban a las versiones de Mac o Linux, han sido corregidas por Google con el lanzamiento de Chrome 25.

Los agujeros de seguridad de alta gravedad incluyen una corrupción de memoria con nota de audio web identificada por Atte Kettunen de OUSPG, un error de use-after-free en el manejo de bases de datos descubierto por Chamal de Silva y un mal acceso a la memoria con parámetros SVG excesivos descubierto por Renata Hodovan.

Otros fallos de alta gravedad denunciados por los miembros del Equipo de Seguridad de Google Chrome y la comunidad de desarrollo de Chromium incluyen un desbordamiento de enteros en el manejo de blob, un desbordamiento de búfer en la descodificación de vorbis, un problema de gestión de memoria en el manejo de mensajes de plug-in y un fallo use-after-free en la dirección URL.

Además de los errores de alta gravedad, Google también ha corregido 7 errores de seguridad de gravedad media y 5 problemas de baja gravedad.

Los investigadores independientes acreditados por encontrar vulnerabilidades han sido recompensados con una suma total de 3.500$ (2.600€).


Adobe actualiza Reader X, XI y 9.5.3 para corregir unas vulnerabilidades de día cero

Adobe ha lanzado un parche de emergencia para corregir las vulnerabilidades críticas de Reader y Acrobat explotadas actualmente en la web. Teniendo en cuenta la gravedad del problema, se recomienda que los usuarios actualicen sus productos lo antes posible.

Las vulnerabilidades, una corrupción de memoria y un desbordamiento de búfer, afectan a Reader y Acrobat 11.0.01 y versiones anteriores, y 10.1.5 y anteriores para Windows y Macintosh. También se ven afectadas las iteraciones Adobe Reader 9.5.3 y versiones 9.x anteriores para Windows, Linux y Macintosh.

La empresa de seguridad McAfee ha publicado un informe para detallar la técnica sandbox-escape utilizada para el exploit de PDF.

"El sandbox-escape en este ataque de día cero se debe a una vulnerabilidad de desbordamiento basada en heap que ocurre cuando el proceso de broker maneja la solicitud de llamada de la API GetClipboardFormatNameW nativa", explicaron los expertos de McAfee.


Fuente: Softpedia.com

Descubierto grave problema de seguridad en ciertos dispositivos HTC, expone agenda, SMS, emails y más

Un investigador español detecta una seria vulnerabilidad en Facebook

Cisco Firewall Services Module DoS (FWSM)

Boletín de Seguridad de Microsoft, Junio 2011

Microsoft prepara un parche para la vulnerabilidad de día cero cookiejacking de Internet Explorer

Resumen del boletín de seguridad de Microsoft de abril de 2011

Software más vulnerable 2010


Copyright © 2013 ISEC. Todos los derechos reservados
Política de privacidad