Se ha publicado una nueva versión de Google Chrome que contiene una actualización de Adobe Flash Player. Impacto El impacto de esta Alerta se ha clasificado como ALTAMENTE CRÍTICO Versiones Afectadas Se ven afectados por esta alerta: Google Chrome 12.0.742.112 y versiones anteriores. Recomendaciones Se recomienda actualizar a Google Chrome 12.0.742.122 para sistemas Windows, Mac y 12.0.742.124 para sistemas Linux. Mas información en este enlace. Fuente: ArCert
VLC Media Player: Ejecución de código arbitrario
Se han reportado dos vulnerabilidades en VLC Media Player que pueden ser aprovechadas para comprometer un equipo afectado. Impacto El impacto de esta Alerta se ha clasificado como ALTAMENTE CRÍTICO. Versiones Afectadas Se ven afectados por estas vulnerabilidades los siguientes productos y versiones: VLC Media Player 1.1.10 y versiones anteriores Recomendaciones Se recomienda aplicar el parche que brinda el proveedor o actualizar a la versión 1.1.11 de VLC Media Player, que estará disponible proximamente. Mas información en este enlace y en este enlace. Fuente: ArCert
Microsoft: Boletines de Seguridad (Julio 2011)
Este martes Microsoft, según su ciclo habitual de actualizaciones, ha publicado cuatro boletines de seguridad (del MS11-053 al MS11-056) que corrigen un total de 22 vulnerabilidades (cinco de ellas reportadas por Matthew Jurczyk (j00ru) de Hispasec Sistemas y VirusTotal) que afectan a sus sistemas operativos y a Office, en particular a Microsoft Visio. Microsoft ha calificado al boletín MS11-053 con un nivel de gravedad “crítico“, y con un nivel de gravedad “importante” a los tres boletines restantes. Los boletines son los siguientes:
SquirrelMail: Múltiples vulnerabilidades
Se han reportado múltiples vulnerabilidades que pueden ser aprovechadas para insertar código script, realizar ataques de cross-site scripting (XSS) o saltear restricciones de seguridad. Impacto El impacto de esta Alerta se ha clasificado como CRÍTICO. Versiones Afectadas Se ven afectados por estas vulnerabilidades los siguientes productos y versiones: SquirrelMail 1.4.21 y versiones anteriores Recomendaciones Se recomienda aplicar los parches indicados por el proveedor. Mas información en estos enlaces: 1, 2 y 3 Fuente: ArCert
VTExplorer – Analizar enlaces en Internet Explorer
Después de presentar los plugins VTzilla (Firefox) y VTChromizer (Chrome), presentamos VTExplorer. Es una extensión para el navegador Internet Explorer (versión 6 en adelante) que permite analizar enlaces con tan sólo un click derecho de ratón y escanear ficheros si ya han sido previamente analizados. VTExplorer tiene tres funcionalidades muy sencillas.
Grave fallo de seguridad en OpenSSH de FreeBSD
Kingcope ha vuelto a hacer públicos todos los detalles de un grave fallo de seguridad en OpenSSH de FreeBSD 4, que permite ejecución remota de código. Ha creado un exploit capaz de aprovechar el fallo, y que devuelve una shell al equipo remoto sin necesidad de autenticación. El fallo se encuentra en auth2-pam-freebsd.c, un archivo de hace siete años. El problema es grave, puesto que permite a un atacante que pueda acceder al SSH de una máquina FreeBSD, ejecutar código como root sin necesidad de autenticarse. El fallo se da en, al menos en FreeBSD 4.9 y 4.11, puesto que…
phpMyAdmin: Múltiples vulnerabilidades
Se han reportado múltiples vulnerabilidades en phpMyAdmin que permitirían divulgar información no autorizada o comprometer un equipo afectado. Impacto El impacto de estas vulnerabilidades se ha clasificado como ALTAMENTE CRÍTICO Versiones Afectadas Se ven afectados por estas vulnerabilidades los siguientes productos y versiones: phpMyAdmin 3.3.10.2 y 3.4.3.1 Recomendaciones Se recomienda actualizar, según corresponda a: phpMyAdmin 3.3.10.2 o 3.4.3.1. Asimismo, se recuerda restringir el acceso a las herramientas de administración a los usuarios y ubicaciones autorizadas. Mas información en estos enlaces: 1, 2, 3 y 4 Fuente: ArCert
vsftpd: Puerta trasera en el código fuente
Se ha reportado que el código fuente de vsftpd ha sido comprometido con código malicioso. Impacto El impacto de esta vulnerabilidad se ha clasificado como ALTAMENTE CRÍTICO Versiones Afectadas Se ve afectado por esta vulnerabilidad el siguiente producto y versión: vsftpd 2.3.4 Recomendaciones Se recomienda validar la copia del producto utilizado o descargar nuevamente la última versión del código y verifique la firma PGP correspondiente. Mas información en este enlace. Fuente: ArCert
ISC BIND: Denegación de servicio
Se han reportado múltiples vulnerabilidades en ISC BIND que permitirían realizar un ataque de denegación de servicio en un equipo afectado. Impacto El impacto de esta vulnerabilidad se ha clasificado como ALTAMENTE CRÍTICO Versiones Afectadas Se ven afectados por estas vulnerabilidades los siguientes productos y versiones: ISC BIND 9.6.x, 9.7.x y 9.8.x Recomendaciones Se recomienda actualizar a la mayor brevedad posible y según corresponda, a BIND 9.6-ESV-R4-P3, 9.7.3-P3 o 9.8.0-P4. Nota: Distribuciones de sistemas operativos como: Debian, Ubuntu, RedHat, CentOS, Fedora entre otras, han publicado o publicarían a la brevedad actualizaciones de sus paquetes para atender este problema. Se recuerda…
Controla los permisos en Android con Android WhisperCore
La empresa Whisper Systems, que ofrece software para gestionar la seguridad de Android, ha anunciado la salida de una nueva herramienta que permite a los usuarios ser más selectivos con los permisos que otorgan a una aplicación. Hasta la fecha, al instalar una aplicación en Android el cliente tenía que aceptar las condiciones especificas que esta determinaba sobre el acceso a los datos de su teléfono, o en caso de que no estuviera de acuerdo con ello cancelar la instalación. Para terminar con esto, desde Whisper Systems han lanzado la aplicación WhisperCore 0.5, que permite a los usuarios controlar exactamente que autorizaciones se…