ASI
Posteado en
Etiqueta: Vulnerabilidad
Martes de Parches Octubre 2015
Este martes de parches Microsoft ha publicado 6 actualizaciones de seguridad que corrigen 33 vulnerabilidades en Windows, Internet Explorer, Edge, Office, Office Services y Web Apps, y Server Software. Tres actualizaciones son de severidad Crítica debido a que las vulnerabilidades que corrigen podrían ser explotadas permitiendo la ejecución remota de código sin interacción con el usuario, típico al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se dé cuenta. El resto de las actualizaciones han sido catalogadas como de severidad Importante. Es recomendable aplicar todos los parches de seguridad, al menos de inmediato los catalogados como de severidad Crítica: Leer más…
winRAR desmiente ser vulnerable
win.rar GmbH ha rechazado las imputaciones de vulnerabilidades de seguridad en el programa winRAR. Recientemente winRAR ha sido destacado en los medios de información por alertas de seguridad por supuestas vulnerabilidades en el producto. “SFX archive vulnerability”, “WinRAR zero day exploit”, “Mohammad-Reza-Espargham Full Disclosure” o “WinRAR’s MS14-064 problem” son algunos de los títulos que han sido difundidos ampliamente suponiendo amenazas de seguridad para los usuarios del popular software de compresión de archivos. El fabricante de winRAR ha declarado que lo que se ha expuesto es falso y que se trata de reportes mediáticos exagerados y no calificados. La vulnerabilidad en el archivado Leer más…
Martes de Parches Septiembre 2015
Este martes de parches Microsoft ha publicado 12 actualizaciones de seguridad que corrigen 56 vulnerabilidades en Windows, Internet Explorer, Edge, Office, Lync, SharePoint Foundation, .NET Framework, Exchange Server, Skype for Business Server, y Lync Server. Cinco actualizaciones son de severidad Crítica debido a que las vulnerabilidades que corrigen podrían ser explotadas permitiendo la ejecución remota de código sin interacción con el usuario, típico al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se dé cuenta. El resto de las actualizaciones han sido catalogadas como de severidad Importante. Es recomendable aplicar todos los parches de seguridad, Leer más…
Microsoft publica actualización crítica de seguridad para Internet Explorer
Microsoft ha publicado una actualización crítica de seguridad para Internet Explorer. Es una actualización adicional a los parches publicados el martes de parches de este mes. La actualización publicada fuera del ciclo habitual de Microsoft resuelve una vulnerabilidad en Internet Explorer que podría permitir la ejecución remota de código si un usuario visualiza usando Internet Explorer una página web especialmente diseñada para explotar la vulnerabilidad. La vulnerabilidad día-cero es del tipo de corrupción de memoria (CVE-2015-2502) y está siendo explotada en ataques dirigidos para visitar una página maliciosa para ser infectados. Un atacante que explote exitosamente la vulnerabilidad podría obtener los mismos derechos de Leer más…
Martes de Parches Agosto 2015
Este martes de parches Microsoft ha publicado 14 actualizaciones de seguridad que corrigen 58 vulnerabilidades en Internet Explorer, Windows, .NET Framework, Office, Lync, Silverlight, System Center Operations Manager y Edge. Cuatro actualizaciones son de severidad Crítica debido a que la vulnerabilidad que corrige podría ser explotada permitiendo la ejecución remota de código sin interacción con el usuario, típico al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se dé cuenta. El resto de las actualizaciones han sido catalogadas como de severidad Importante. Es recomendable aplicar todos los parches de seguridad, al menos de inmediato los Leer más…
4 Fallos día-cero en Internet Explorer
El fallo día-cero podría permitir la ejecución remota de código. Zero Day Initiative (ZDI) ha publicado cuatro avisos sobre vulnerabilidades descubiertas en Internet Explorer, incluyendo Internet Explorer Mobile, que podrían permitir la ejecución de código en el sistema afectado. Sin embargo, se requiere la intervención del usuario para explotar la vulnerabilidad, típicamente que visite una página web maliciosa o abra un archivo especialmente diseñado para explotar la vulnerabilidad. No hay parche oficial de seguridad para las vulnerabilidades, cuya divulgación ahora las coloca como bajo la categoría de vulnerabilidades día-cero. Una vulnerabilidad se encuentra en el manejo de matrices que representan celdas en tablas HTML. Fue reportada Leer más…
Fallo en OpenSSH puede permitir ataques de fuerza bruta de autenticación
OpenSSH (Open Secure Shell) tiene un fallo de seguridad en el mecanismo de autenticación mediante dispositivos interactivos de teclado, ya que permite a un atacante evadir el número de intentos fallidos de autenticación de contraseña por conexión. El atacante puede intentar tantas veces como requiera, para lo cual sólo tiene que aprovechar la configuración de “tiempo de gracia para el inicio de sesión” (login graced time) que de forma predeterminada es puesta para dos minutos. Desarrollado por el Proyecto OpenBSD, OpenSSH es un conjunto de aplicaciones de código abierto basados en el protocolo SSH para el cifrado de las comunicaciones a través de Leer más…
Microsoft publica actualización crítica de seguridad para Windows
Microsoft ha publicado una actualización crítica de seguridad para Windows. Es una actualización adicional a los parches publicados el martes de parches de este mes. La actualización publicada fuera del ciclo habitual de Microsoft resuelve una vulnerabilidad en Windows que podría permitir la ejecución remota de código si un usuario abre un documento especialmente diseñado para explotar la vulnerabilidad o visualiza una página web no confiable que contenga fuentes OpenType incrustradas. La vulnerabilidad se relaciona con el manejo de fuentes OpenType en la biblioteca Windows Adobe Type Manager Library, lo cual ya ha sido corregido. Microsoft indica no tener indicios de que Leer más…