Daboweb | Seguridad y ayuda informática |

Detectada una vulnerabilidad XSS que afecta a Safari y Konqueror visitando websites alojados en «Blogger» de Google. La posibilidad de ejecución de código javascript en el navegador del usuario (insertado entre comentarios ya que varias etiquetas por cuestiones lógicas de seguridad están censuradas) puede llevar al secuestro de sesiones, passwords etc. No afecta a Firefox, Opera, Explorer o K-Meleon. Más en Kriptópolis.

Se ha identificado una vulnerabilidad catalogada como «crítica» explotamente remotamente en Mac OS X 10.4.8 y anteriores,  puede llevar a la ejecución arbitraria de comandos en el sistema afectado. Es causado por un «integer overflow error» en la función «ffs_mountfs()» en combinación con el montaje de imágenes manipuladas para tal fin o mediante el uso de Safari con la opción  activada de «Abrir archivos seguros al descargarlos». (Se recomienda desactivar dicha preferencia y extremar las precauciones con imágenes de disco no fiables). Fuente.

Ha sido reportada por Piotr Bania una vulnerabilidad catalogada como «crítica» en Adobe Reader y Acrobat. Este bug puede ser explotado por atacantes para hacerse con un control total del sistema afectado. El fallo se da por un error de corrupción de memoria cuando se procesan datos malformados lo que lleva bajo determinadas circunstancias a la ejecución arbitraria de comandos por ejemplo abriendo un documento especialmente manipulado. Afecta Adobe Reader 7.0.8 y anteriores, Acrobat Standard, Profesional, Elements y 3D versiones 7.0.8 y anteriores. La solución pasa por actualizar a las versiones 7.0.9 – 8.0.0. Fuente.

Reseñamos en esta ocasión un interesante artículo de seguridad.internautas sobre el crecimiento del Scam (captación de personas por medio de correos electrónicos, chats, irc, etc… donde empresas ficticias le ofrecen trabajar cómodamente desde casa y cobrando unos beneficios muy altos. Sin saberlo, la víctima está blanqueando dinero obtenido por medio del phishing procedente de estafas bancarias).

Han sido notificadas desde la web oficial del navegador web Opera, dos vulnerabilidades (createSVGTransformFromMatrix y en imagenes JPG)   que afectarían a las versiones anteriores a Opera 9.10. La solución pasaría por actualizar a la versión 9.10 que aqui anunciamos semanas atrás.

Desde Kriptópolis nos informan de una grave vulnerabilidad que afecta a los archivos con extensión PDF y servidores que los tengan almacenados. «Debido a múltiples vulnerabilidades descubiertas en el plugin de Adobe Acrobat versiones 6.x y 7.x, los ficheros PDF (cualquier fichero pdf) se han revelado como el mejor vector de ataque que pudiera imaginarse.» Toda la información.  y parece que el ataque tambien es funcional en modo local, más información aqui.

Se han identificado múltiples vulnerabilidades en este popular reproductor multimedia, explotables remotamente pueden derivar en un control del sistema vulnerable por atacantes remotos. Desde Videolan han preparado un parche para este bug vía SVN. Fuente.

Ha sido identificada una vulnerabilidad en Apple Quicktime que puede ser explotada remotamente y llevar al atacante a hacerse con el control total del sistema afectado. Este fallo se da por un «stack overflow error» cuando se visita una web manipulada especialmente para tal fin en combinación con ficheros QTL-«rtsp» maliciosos. Versiones afectadas, 7.1.3 y anteriores, la solución hasta que se actualice el software pasa por desactivar el soporte para «Real Time Streaming Protocol (RTSP)«. Fuente.

Estamos volviendo de vacaciones de Navidad o lo haremos en breve y tenemos que ponernos al día, informáticamente hablando. En este artículo incidimos una vez más, en una serie de recomendaciones a tener en cuenta al poner en marcha nuevamente nuestro equipo.

Según leemos en internautas.org, durante 2006 en España se han detectado 1184 ataques de Phishing frente a los 293 detectados en 2005, lo que ha supuesto un crecimiento del 290%. De este total, 705 suplantaban a entidades financieras. Los fraudes de SCAM -ofertas falsas de trabajo- han alcanzado 344 y por último, 135 han sido sitios web trampa o sitios para descargas online de móviles. Toda la información.   Informe desde internautas.tv.

Empezamos el año con esta noticia relacionada con el robo de la libreta de direcciónes de Gmail mediante la visita a una página web modificada para tal fin, este tipo de técnicas son habitualmente utilizadas por spammers entre otros para recopilar direcciones válidas de correo electrónico. Fuente y más info.

Desde Hispasec nos llega un más que interesante resumen sobre noticias de Seguridad Informática acaecidas en el año 2006,  de gran interés para cualquier usuario interesado en este campo, nos lo ofrecen en 3 entregas, por cuatrimestres. | Primera parte | Segunda parte | Tercera parte.

Nos hacemos eco de esta información en la que el alto cargo de Google dice;"Yo soy muy cuidadoso con mi intimidad personal, y animo al resto de la gente a que lo sea también". Esta es la respuesta del Director General de Google, Eric Schmidt, a la pregunta de qué sabe su compañía sobre nosotros. Más en Google Dirson.

Publicada en vsantivirus.com una nueva actualización del listado de programas antiespía, que agregan elementos espía o detectan dudoso malware, asi como sitios web de antispyware dudosos o desconfiables. Mucho ojo antes de instalar programas de este tipo.
Toda la información.