ASI
Posteado en
Etiqueta: Seguridad
Microsoft publica actualización crítica de seguridad para Windows
Microsoft ha publicado una actualización crítica de seguridad para Windows. Es una actualización adicional a los parches publicados el martes de parches de este mes. La actualización publicada fuera del ciclo habitual de Microsoft resuelve una vulnerabilidad en Windows que podría permitir la ejecución remota de código si un usuario abre un documento especialmente diseñado para explotar la vulnerabilidad o visualiza una página web no confiable que contenga fuentes OpenType incrustradas. La vulnerabilidad se relaciona con el manejo de fuentes OpenType en la biblioteca Windows Adobe Type Manager Library, lo cual ya ha sido corregido. Microsoft indica no tener indicios de que Leer más…
Parches Java Julio 2015
Oracle ha publicado las actualizaciones críticas de seguridad (CPU) de julio de 2015 con las cuales corrige 193 fallos de seguridad en productos Oracle. En el caso de Java corrige 25 vulnerabilidades, una de ellas que ya ha sido utilizada para ataques dirigidos en Internet explotando la vulnerabilidad CVE-2015-2590. De las vulnerabilidades corregidas 23 tienen el riesgo de que pueden ser explotables de forma remota sin autenticación. Es decir, la vulnerabilidad puede ser explotada sobre una red sin la necesidad de utilizar una cuenta de usuario y contraseña. La nueva versión del popular software para el navegador es Java 8 Update 51. Es recomendable actualizar Java tan Leer más…
Martes de Parches Julio 2015
Este martes de parches Microsoft ha publicado 14 actualizaciones de seguridad que corrigen 59 vulnerabilidades en Windows, Office, SQL Server e Internet Explorer. Cuatro actualizaciones son de severidad Crítica debido a que la vulnerabilidad que corrige podría ser explotada permitiendo la ejecución remota de código sin interacción con el usuario, típico al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se dé cuenta. El resto de las actualizaciones han sido catalogadas como de severidad Importante. Es recomendable aplicar todos los parches de seguridad, al menos de inmediato los catalogados como de severidad Crítica: MS15-065, la actualización acumulativa Leer más…
Fallo día-cero en Java bajo ataque
El fin de semana los expertos de seguridad de Trendmicro identificaron un nuevo ataque que intenta explotar una vulnerabilidad en Java, de Oracle. Para el ataque los cibercriminales usan la campaña denominada Pawn Storm orientada a usuarios de alto perfil. Se han identificado hasta el momento ataques a personas pertenecientes a organizaciones de gobierno, como la OTAN y de los Estados Unidos. El ataque descubierto bajo Pawn Storm es el primer ataque día-cero conocido contra Java desde 2013. El ataque utiliza el envío de mensajes de correo electrónico que intentan explotar la vulnerabilidad en Java y se apoya además en la vulnerabilidad CVE-2012-015 Leer más…
Nueva campaña del ransomware TorrentLocker
Una nueva campaña del ransomware TorrentLocker se está difundiendo mediante mensajes spam para atraer a los usuarios e infectar sus equipos con el fin de exigir el pago de dinero para el desbloqueo de los archivos cifrados por el ransomware. Aunque mundial, la campaña se ha dirigido principalmente a usuarios de los EE.UU. y del Reino Unido pero va en aumento. El mensaje de correo electrónico falso simula provenir de agencias de gobierno británico o de la empresa British Gas. En otros países el email simula provenir de empresas de mensajería o de comunicaciones. Sin archivo adjunto con el propósito Leer más…
Otro fallo día-cero en Adobe Flash Player en ataque de explotación
Adobe ha comunicado una alerta de seguridad con relación a una vulnerabilidad crítica (CVE-2015-5122) en Adobe Flash Player 18.0.0.204 y versiones anteriores para Windows, Macintosh y Linux. La vulnerabilidad puede hacer que Adobe Flash Player deje de funcionar y permitir que un atacante tome el control del sistema. Adobe advierte sobre la existencia de código de explotación que está siendo utilizado en ataques que intentan aprovechar la vulnerabilidad para tomar el control del sistema afectado. Apenas el martes Adobe corrigió otra fallo día-cero en Flash Player y que también era objeto de ataques dirigidos en Internet. Al parecer el exploit se encontraba en la información Leer más…
Actualización de OpenSSL corrige fallo en verificación de certificado
El proyecto OpenSSL ha publicado un Aviso de Seguridad alertando sobre una vulnerabilidad crítica en OpenSSL que permite la falsificación de cadenas alternativas de certificados (CVE-2015-1793). El problema afectará a cualquier aplicación que verifica certificados incluidos sistemas cliente SSL/TLS/DTLS y sistemas servidor SSL/TLS/DTLS que usan autenticación en el sistema cliente. La vulnerabilidad afecta a las versiones de OpenSSL 1.0.2c, 1.0.2b, 1.0.1n y 1.0.1o. Durante la verificación de certificados, OpenSSL (a partir de la versión 1.0.1n y 1.0.2b) intentará encontrar una cadena de certificados alternativa si falla el primer intento de construir la cadena de certificados. Un atacante podría evitar la anulación de ciertas verificaciones de certificados no Leer más…
Fallo día-cero en Adobe Flash Player en ataque de explotación
Adobe ha comunicado una alerta de seguridad con relación a una vulnerabilidad crítica (CVE-2015-5119) en Adobe Flash Player 18.0.0.194 y versiones anteriores para Windows, Macintosh y Linux. La vulnerabilidad puede hacer que Adobe Flash Player deje de funcionar y permitir que un atacante tome el control del sistema. Adobe advierte sobre la existencia de código de explotación que está siendo utilizado en ataques que intentan aprovechar la vulnerabilidad para tomar el control del sistema afectado. Al parecer el exploit pudo haber sido obtenido de la información filtrada del ataque a la empresa Hacking Team divulgado en esta semana, de acuerdo con un reporte de Trendmicro. Además de Leer más…