ASI
Posteado en
Etiqueta: Vulnerabilidad
Vulnerabilidad de Firefox explotada en ataques a Tor Browser Bundle
Una vulnerabilidad en JavaScript dentro del navegador Firefox de Tor está siendo explotada en ataques dirigidos principalmente a usuarios Windows de la popular herramienta que privilegia la navegación anónima en la web. Los usuarios objeto del ataque son aquellos que están utilizando las versiones de Tor Browser Bundle anteriores a 2.3.25-10, 2.4.15-alpha-1, 2.4.15-beta-1 y 3.0alpha2 para Windows. El ataque ocurre en los servicios ocultos de Tor resultando en el envío de la dirección MAC y nombre del sistema atacado a un servidor remoto. Se trata de una vulnerabilidad en Firefox que permite la ejecución arbitraria de código y el atacante Leer más…
Sitio web de desarrolladores de Apple no funciona por hackeo
Hackeada, la web de los desarrolladores de Apple no funciona desde el jueves pasado. La web muestra un mensaje en el que se indica que la información sensible personal de los desarrolladores registrados en el sitio está cifrada y no puede ser accesada, aunque no descarta la posibilidad de que el intruso haya tenido acceso a los nombres, direcciones postales y/o de correo electrónico de los desarrolladores. El investigador de seguridad Ibrahin Balic se ha adjudicado la responsabilidad del hackeo y publicó un video para demostrar las vulnerabilidades que encontró en el sitio web de los desarrolladores de Apple. En el video Leer más…
Java SE 7 es vulnerable a ataque clásico de hace más de 10 años
Para Adam Gowdiak, CEO de Security Explorations, parece ser que la nueva API Reflexión en Java SE 7 no tuvo una revisión a fondo de seguridad por parte de Oracle. Es la conclusión del experto en seguridad al dar a conocer que han entregado a Oracle una nueva vulnerabilidad (número 69) de seguridad encontrada en el popular complemento para el navegador y que puede hacer posible que sea aplicada en un ataque muy clásico contra Java VM. Se trata de un tipo de ataque en el manejo de colores por parte de Java. La prueba realizada por Security Explorations pudo Leer más…
Parcheo de vulnerabilidades a sitios web
StopTheHacker, proveedor de seguridad de sitios web, ha agregado el servicio de parcheo de vulnerabilidades a su portafolios de servicios de seguridad para sitios web. De acuerdo con el reporte White Hat Security Statistics Reports, que mide las vulnerabilidades de seguridad del sitio web, el 86% de los sitios web evaluados tuvieron al menos una vulnerabilidad importante mientras que el promedio de vulnerabilidades por página fue de 56. De hecho, menos del 5% de todos los sitios web están protegidos, mientras que la cantidad de sitios web infectados se ha incrementado en un 70% desde el año pasado. A diario, Google Leer más…
Disponible EMET 4.0
Microsoft ha publicado la versión 4.0 de EMET (Enhanced Mitigation Experience Toolkit), una solución sin costo para prevenir la explotación exitosa de vulnerabilidades de corrupción de memoria. La herramienta ha sido mejorada, incluyendo nuevas funcionalidades y resolviendo algunos problemas de compatibilidad de aplicaciones. EMET 4.0 incluye un Asistente que facilita su configuración automática con reglas fijas de certificados SSL y de aplicaciones para proteger de ataques que aprovechan certificados SSL/TLS sospechosos. Además de reforzar las medidas de mitigación y bloquear las elusiones conocidas, la nueva versión de EMET activa un Programa de Alerta Temprana para los clientes empresariales y de Microsoft, Leer más…
Divulgar o no divulgar vulnerabilidades
Tras la discusión la semana pasada entre Microsoft y Google por la divulgación de una vulnerabilidad “día-cero” en Windows, el popular buscador ha dicho ayer que 7 días son suficientes para reportar las vulnerabilidades críticas que están bajo ataques de explotación. Esta posición de Google vuelve a poner en la mesa el tema de la divulgación de vulnerabilidades, polémico entre los fabricantes y los investigadores de seguridad. ¿Es conveniente poner plazos para divulgar vulnerabilidades? ¿Para quién? Se pone de nuevo el dedo en la llaga: Divulgar o no divulgar. Hay quienes opinan que debe divulgarse inmediatamente, otros piensan que el hallazgo Leer más…
Resumen del Boletín de Seguridad de Microsoft Mayo 2013
Microsoft ha publicado 10 actualizaciones de seguridad para corregir 33 vulnerabilidades en sistemas Microsoft Windows, Internet Explorer, Microsoft .NET Framework, Microsoft Lync, Microsoft Office, y Microsoft Windows Essentials. De las actualizaciones publicadas, dos son consideradas como de severidad crítica y se requiere su aplicación inmediata. Las siguientes son las actualizaciones publicadas por Microsoft. Severidad Crítica: MS13-037 – Actualización crítica de seguridad para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, e Internet Explorer 10 en sistemas cliente Windows. Se considera de severidad Moderada para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, e Leer más…
Fallo en Internet Explorer 8 se explota activamente en Internet (actualizado)
Un fallo en Internet Explorer 8 está siendo explotado en Internet. Los ataques están explotando una vulnerabilidad en IE que puede permitir la ejecución remota de código si el usuario navega a un sitio malicioso usando IE8. El usuario víctima puede ser persuadido a hacer click en enlaces incrustrados en mensajes de correo electrónico o chat que lo lleven al sitio web malicioso que está explotando la vulnerabilidad en IE8, y para la cual no hay parche oficial de seguridad. Según Microsoft, Internet Explorer 6, 7, 9 y 10 no son afectados por la vulnerabilidad encontrada en IE8. Subir a IE 9 Leer más…