ASI
Posted on
Etiqueta: Internet Explorer
Martes de Parches Septiembre 2015
Este martes de parches Microsoft ha publicado 12 actualizaciones de seguridad que corrigen 56 vulnerabilidades en Windows, Internet Explorer, Edge, Office, Lync, SharePoint Foundation, .NET Framework, Exchange Server, Skype for Business Server, y Lync Server. Cinco actualizaciones son de severidad Crítica debido a que las vulnerabilidades que corrigen podrían ser explotadas permitiendo la ejecución remota de código sin interacción con el usuario, típico al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se dé cuenta. El resto de las actualizaciones han sido catalogadas como de severidad Importante. Es recomendable aplicar todos los parches de seguridad, Leer más…
Microsoft publica actualización crítica de seguridad para Internet Explorer
Microsoft ha publicado una actualización crítica de seguridad para Internet Explorer. Es una actualización adicional a los parches publicados el martes de parches de este mes. La actualización publicada fuera del ciclo habitual de Microsoft resuelve una vulnerabilidad en Internet Explorer que podría permitir la ejecución remota de código si un usuario visualiza usando Internet Explorer una página web especialmente diseñada para explotar la vulnerabilidad. La vulnerabilidad día-cero es del tipo de corrupción de memoria (CVE-2015-2502) y está siendo explotada en ataques dirigidos para visitar una página maliciosa para ser infectados. Un atacante que explote exitosamente la vulnerabilidad podría obtener los mismos derechos de Leer más…
Martes de Parches Agosto 2015
Este martes de parches Microsoft ha publicado 14 actualizaciones de seguridad que corrigen 58 vulnerabilidades en Internet Explorer, Windows, .NET Framework, Office, Lync, Silverlight, System Center Operations Manager y Edge. Cuatro actualizaciones son de severidad Crítica debido a que la vulnerabilidad que corrige podría ser explotada permitiendo la ejecución remota de código sin interacción con el usuario, típico al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se dé cuenta. El resto de las actualizaciones han sido catalogadas como de severidad Importante. Es recomendable aplicar todos los parches de seguridad, al menos de inmediato los Leer más…
4 Fallos día-cero en Internet Explorer
El fallo día-cero podría permitir la ejecución remota de código. Zero Day Initiative (ZDI) ha publicado cuatro avisos sobre vulnerabilidades descubiertas en Internet Explorer, incluyendo Internet Explorer Mobile, que podrían permitir la ejecución de código en el sistema afectado. Sin embargo, se requiere la intervención del usuario para explotar la vulnerabilidad, típicamente que visite una página web maliciosa o abra un archivo especialmente diseñado para explotar la vulnerabilidad. No hay parche oficial de seguridad para las vulnerabilidades, cuya divulgación ahora las coloca como bajo la categoría de vulnerabilidades día-cero. Una vulnerabilidad se encuentra en el manejo de matrices que representan celdas en tablas HTML. Fue reportada Leer más…
Martes de Parches Julio 2015
Este martes de parches Microsoft ha publicado 14 actualizaciones de seguridad que corrigen 59 vulnerabilidades en Windows, Office, SQL Server e Internet Explorer. Cuatro actualizaciones son de severidad Crítica debido a que la vulnerabilidad que corrige podría ser explotada permitiendo la ejecución remota de código sin interacción con el usuario, típico al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se dé cuenta. El resto de las actualizaciones han sido catalogadas como de severidad Importante. Es recomendable aplicar todos los parches de seguridad, al menos de inmediato los catalogados como de severidad Crítica: MS15-065, la actualización acumulativa Leer más…
Pwn2Own 2015: Prueba de seguridad del navegador
En Pwn2Own 2015 cayeron los 4 navegadores web más populares. En Pwn2Own 2015 los cuatro navegadores web más populares Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, y Apple Safari no se salvaron de ser vulnerados por los expertos en seguridad. Tampoco Microsoft Windows ni Adobe Flash y Reader. Pwn2Own es el concurso del CanSecWest, patrocinado por Zero Day Initiative de HP y Project Zero de Google. En el concurso de hackeo participan investigadores de seguridad de todo el mundo. El propósito es romper la seguridad de las aplicaciones y sistemas explotando con éxito vulnerabilidades no publicadas. Este año es el octavo del Pwn2Own. Nicolas Leer más…
Disponible EMET 5.2
EMET 5.2 incluye mejoras de seguridad. EMET (Enhanced Mitigation Experience Toolkit) es una serie de herramientas gratuitas de Microsoft que ayudan a detectar y bloquear la explotación de vulnerabilidades de corrupción de memoria. La herramienta es muy útil para prevenir ataques día-cero de estas vulnerabilidades. EMET incluye 14 tecnologías de mitigación de seguridad, como DEP (Data Execution Prevention), ASLR (Mandatory Address Space Layout Randomization), SEHOP (Structured Exception Handler Overwrite Protection), EAF (Export Address Table Access Filtering), Anti-ROP, y SSL/TLS Certificate Trust Pinning. Se ha publicado la versión 5.2 de la herramienta, que incluye más protecciones de seguridad para mejorar el nivel de seguridad: Leer más…
Vulnerabilidad XSS en Internet Explorer
La vulnerabilidad XSS elude políticas de seguridad de contenido. El hacker David Leo ha reportado la existencia de una vulnerabilidad XSS (Cross Site Scripting) en el navegador Internet Explorer que elude políticas de seguridad de contenido. Un atacante podria robar cualquier información de otro dominio, e inyectar cualquier información en otro dominio. El fallo existe en Internet Explorer 11 para Windows 7. Leo también ha divulgado el código funcional de una prueba de concepto sobre la vulnerabilidad en http://www.deusen.co.uk/items/insider3show.3362009741042107, en donde Leo explica el código de explotación de la vulnerabilidad. Al visitar la URL varios scripts son ejecutados. Para demostrar el ataque Leo Leer más…