Se han reportado múltiples vulnerabilidades en VMware que permitirían realizar desde escalamiento de privilegios hasta denegación de servicio en un equipo afectado. Impacto El impacto de estas vulnerabilidades se ha clasificado como ALTAMENTE CRÍTICO Versiones Afectadas Se ven afectados por estas vulnerabilidades los siguientes productos y versiones: VMware ESX Server 3.x , 4.x y 5.x VMware ESXi 4.x Recomendaciones Se recomienda aplicar las soluciones brindadas por el proveedor. Mas información en este enlace. Fuente: ArCert
Joomla!: Divulgación de información
Se han reportado dos vulnerabilidades en Joomla! que permitirían realizar divulgación de información en un equipo afectado. Impacto El impacto de estas vulnerabilidades se ha clasificado como BAJO Versiones Afectadas Se ven afectados por estas vulnerabilidades los siguientes productos y versiones: Joomla! 1.5.x y 1.7.x Recomendaciones: Se recomienda actualizar, según corresponda a la versión 1.7.2 o 1.5.24 y realizar un mantenimiento continuo de todos los complementos utilizados. Asimismo se recuerda que la rama de Joomla! 1.6 llegó al fin de ciclo de vida fijado por el proveedor el pasado 19 de agosto de 2011. Mas información en estos enlaces: 1, 2…
Apple: Múltiples vulnerabilidades
La empresa Apple ha publicado 6 (seis) boletines de seguridad informando múltiples vulnerabilidades en diferentes productos y que permitirían desde la divulgación de información hasta la ejecución de código en un equipo afectado. Impacto El impacto de estas vulnerabilidades se ha clasificado como ALTAMENTE CRÍTICO Versiones Afectadas Se ven afectados por estas vulnerabilidades los siguientes productos y versiones: Apple iOS 4.x para iPhone 3GS y later Apple iOS para iPad 3.x Apple iOS para iPad 4.x Apple iOS para iPod touch 4.x Apple iPhone OS (iOS) 3.x Apple iPhone OS (iOS) para iPod touch 3.x Apple Safari 5.x Apple Macintosh OS…
Microsoft: Boletines de Seguridad (Octubre 2011)
Microsoft ha publicado ocho boletines de seguridad (del MS11-075 hasta el MS11-082) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad «importante» y los otros dos «críticos«. En total se han resuelto 23 vulnerabilidades.
Buenas prácticas de seguridad para publicación de proyectos
Les contábamos el caso del malware incrustado en el instalador de CamStudio, probablemente debido a una intrusión en el servidor de descargas y modificación del fichero de instalación. Éste no es un caso aislado, y es que a proyectos tan importantes como irssi, WordPress, UnrealIRCd, ProFTPd o recientemente vsftpd también les ha pasado algo parecido. Si bien no se puede decir que sea inevitable, se pueden tomar algunas medidas de seguridad para que las posibilidades de que ésto suceda se reduzcan al mínimo, o ayudar a detectar el problema lo antes posible para aplicar una solución.
Seguridad móvil: consejos y vulnerabilidades
En lo que respecta a la seguridad en los dispositivos móviles existe una serie de consejos y buenas prácticas que los usuarios suelen tener en cuenta, pero sin embargo no son aplicados en el día a día. Esta manera de actuar ante una posible eventualidad, deja a muchos de ellos sin una clara respuesta al momento de hablar de seguridad en los smartphones. Hoy vamos a repasar un poco qué es lo que suele suceder, y ver algunas buenas prácticas para evitarlo. Cuando desde ESET Latinoamérica, consultamos a los usuarios acerca de la necesidad de contar con una solución de seguridad en los smartphones, nueve de…
Por qué un cortafuegos personal ¿nunca? es efectivo contra el malware
El cortafuegos personal es una de las medidas «estrella» recomendada desde hace muchos años para luchar contra todo tipo de males. La inercia de la recomendación ha seguido hasta nuestros días, donde un cortafuegos entrante tradicional, poco o nada puede hacer contra muchos de los ataques más sofisticados que se sufren hoy en día. Veamos por qué. Instalar un cortafuegos personal era imprescindible hace diez años. Los sistemas operativos (por llamarlos de alguna forma) Windows 9X estaban conectados directamente a la red, con IP pública a través de módem. No contar con un firewall constituía un suicidio tecnológico. Después de…
Correos falsos sobre multas de tránsito
Alerta: Se han reportado correos electrónicos que se hacen pasar por una entidad de recaudación del gobierno y cuyo contenido presenta enlaces a códigos maliciosos. Se observaron dos tipos de correo, con orígenes («From:»): infracciones@multas.gov.ar y fotomultas@transito.gov.ar (ambos falsos); y con asuntos («Subject:»): «Usted posee multas pendientes» y «Infracciones de transito pendientes», aunque podrían existir otras variantes. Es importante que tenga presente que estos mensajes son variantes de SPAM que intentan engañar al destinatario, al utilizar un dominio que parezca conocido o de confianza (bancos, organismos gubernamentales, etc.) y un texto convincente para que abra un archivo o haga clic…
Securizando Android para un uso corporativo (Actualizado)
Como indiqué previamente, Pentester.es publicó una serie de post que abarca el tema de cómo securizar Android para un uso corporativo. La publicación, es el resultado de un trabajo hecho como parte del proyecto final del Máster en seguridad y análisis forense en la Universidad de Dublin City University. El trabajo original con título «Securely deploying Android devices¨ se puede encontrar en inglés aquí, así como la publicación del paper en la web del SANS Institute. – Securizando Android para un uso corporativo (parte 1) – Securizando Android para un uso corporativo (parte 2) – Securizando Android para un uso corporativo (parte…