Fallo de seguridad en Skype podría permitir la ejecución de código malicioso

Se ha descubierto una vulnerabilidad de seguridad en Skype 7.2, 7.35 y 7.36 para Windows. Skype es una aplicación de mensajería instantánea desarrollada por Microsoft. Descubierta por el investigador de seguridad Benjamin Kunz Mejri, de Security Lab, el fallo de seguridad se encuentra en la función ‘formato del portapapeles’ de Skype. Específicamente en la biblioteca MSFTEDIT.DLL ocasionando un desbordamiento de búfer de pila que podría permitir a un atacante bloquear la aplicación o ejecutar código malicioso en el sistema vulnerable. No se requiere interacción con el usuario para explotar la vulnerabilidad. El atacante sólo tendría que copiar en el portapapeles, Leer más…

Martes de Parches Junio 2017

Microsoft corrige 17 vulnerabilidades críticas de seguridad. Microsoft ha publicado actualizaciones de seguridad para 94 vulnerabilidades en: Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office y Microsoft Office Services and Web Apps Silverlight Skype for Business and Lync Adobe Flash Player De las actualizaciones publicadas, 17 son de severidad Crítica y se encuentran en todos los productos de software mencionados. En esta ocasión Microsoft ha publicado actualizaciones de seguridad aplicables para Windows XP, un sistema que Microsoft ha dejado de soportar. Es recomendable verificar que las actualizaciones sean aplicadas, en particular las catalogadas como críticas ya que alguna de las vulnerabilidades Leer más…

Martes de Parches Mayo 2017

Microsoft corrige 15 vulnerabilidades críticas de seguridad. Microsoft ha publicado actualizaciones de seguridad para 56 vulnerabilidades en: Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office y Microsoft Office Services and Web Apps Visual Studio for Mac NET Framework Adobe Flash Player De las actualizaciones publicadas, 15 son de severidad Crítica y se encuentran en: Microsoft Internet Explorer Microsoft Edge Microsoft Office Microsoft Windows SMB Microsoft Windows Es recomendable verificar que las actualizaciones sean aplicadas, en particular las catalogadas como críticas ya que alguna de las vulnerabilidades corregidas podría ser explotada permitiendo la ejecución remota de código sin interacción con el usuario. Por Leer más…

Martes de Parches Abril 2017

Microsoft corrige 13 vulnerabilidades críticas de seguridad. Microsoft ha publicado actualizaciones de seguridad para 44 vulnerabilidades en: Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office y Microsoft Office Services and Web Apps Visual Studio for Mac .NET Framework Silverlight Adobe Flash Player De las actualizaciones publicadas, 13 son de severidad Crítica y se encuentran en: Microsoft Internet Explorer Microsoft Edge Microsoft Office Microsoft .NET Framework Microsoft ha retirado el modelo de documentación de las actualizaciones de seguridad. En lugar de usar la página web con el ID del boletín de seguridad (p. ej. MS17-XXX), ahora utiliza la Guía de Actualización de Seguridad con Leer más…

Martes de Parches Marzo 2017

Microsoft publica 18 actualizaciones de seguridad. Microsoft ha publicado en este martes de parches 18 actualizaciones de seguridad. El número es alto porque incluye las actualizaciones que Microsoft pospuso en febrero por un problema no resuelto a tiempo. Las actualizaciones de seguridad corrigen 139 vulnerabilidades en Microsoft Windows, Microsoft Internet Explorer, Microsoft Edge, Microsoft Office, Skype for Business, Microsoft Lync, Microsoft Silverlight, Microsoft Office Services and Web Apps, Microsoft Server Software, Microsoft Communications Platforms and Software, y Microsoft Exchange. Al mismo tiempo ha dado a conocer una actualización de seguridad para Adobe Flash Player. Ocho actualizaciones son de severidad Crítica debido a que alguna de las vulnerabilidades que corrigen Leer más…

Fallo crítico de seguridad en Apache Structs 2 es objeto de ataques de explotación

Apache Struts 2 tiene una vulnerabilidad crítica de seguridad que está siendo objeto de ataques en Internet. Struts 2 es un marco de referencia de código abierto de aplicaciones web, típicamente utilizado para desarrollar aplicaciones web basadas en Java. Es utilizado por gran parte de organizaciones públicas y privadas en todo el mundo. El fallo de seguridad fue corregido por Apache el pasado lunes. Se recomienda a los administradores de sistemas para que lo apliquen de inmediato. No hacerlo deja al equipo en riesgo de objetivo de ataque y ser comprometido. La vulnerabilidad se encuentra en el analizador de partes para cargas de archivo y Leer más…

Fallo día-cero de seguridad en Internet Explorer y Edge

Los investigadores de seguridad de Project Zero, de Google, han confirmado la existencia de una vulnerabilidad día-cero de seguridad en los navegadores Microsoft Internet Explorer y Microsoft Edge, incluyendo la prueba de concepto del fallo de seguridad. La revelación del fallo fue hecha debido a que Microsoft no la ha corregido, pasados los 90 días de que fuera notificado de la vulnerabilidad ahora convertida de día-cero por no haber parche oficial. La vulnerabilidad fue reportada el 25-Nov-2016. Se encuentra en el manejo de tipos (type) y de ser aprovechada mediante código HTML especialmente diseñado para explotar la vulnerabilidad podría permitir a Leer más…

Otro fallo día-cero de seguridad en Windows, ahora en GDI

Ya van dos fallos día-cero de seguridad que se conocen en el popular sistema operativo. Los investigadores de seguridad de Project Zero, de Google, han confirmado la existencia de una vulnerabilidad día-cero de seguridad en los sistemas Windows, incluyendo la prueba de concepto del fallo de seguridad. La revelación del fallo fue hecha debido a que Microsoft no la ha corregido, pasados los 90 días de que fuera notificado de la vulnerabilidad ahora convertida de día-cero por no haber parche oficial. Apenas empezando febrero un investigador divulgó una vulnerabilidad día-cero en Windows 10, Windows 8.1, Windows Server 2016, y Windows Server 2012 R2. La Leer más…