Se ha encontrado una vulnerabilidad en Adobe Reader y Acrobat que podría permitir a un atacante ejecutar código arbitrario. El fallo se debe a un error de validación de entrada en el método JavaScript que… Ejecución de código a través de JavaScript en Adobe Reader
Via: Hispasec
ActiveX es una tecnología propia de Microsoft que con el tiempo ha sido clasificada prácticamente de maldita en cuestión de seguridad. Los numerosos problemas tanto en la tecnología en sí como en los programas que la han usado, han hecho que se gane esta fama a pulso. ¿Cuáles son los riesgos y problemas de seguridad que presenta ActiveX realmente? ¿En realidad es tan peligrosa? Como siempre, no hay respuestas absolutas y todas estas cuestiones son bastante discutibles.
¿Qué es?
De forma resumida, ActiveX es una tecnología de Microsoft. Es una librería (básicamente un ejecutable) con funciones, como otro cualquiera, con la peculiaridad de que implementa una interfaz llamada IDispatch que permite al «objeto» interactuar de una forma concreta (más
abstracta) con el programa que lo aloja (llamado contenedor). Por tanto no son programas «independientes» y suelen crearse con cualquier lenguaje que admita el modelo COM. «Físicamente» tienen forma de librería DLL o OCX. Internet Explorer o Office son programas contenedores que admiten esta tecnología. Un componente ActiveX es pues, código ejecutable (desarrollado por y para Microsoft) encapsulado en un objeto desarrollado mediante esos estándares. De esta forma al tener este código encapsulado, se facilita su portabilidad y reutilización.
Así, es posible usar un objeto ActiveX (llamar a sus funciones) insertándolo en cualquier aplicación que lo soporte, independientemente del lenguaje con el que haya sido creado el control ActiveX. Un ejemplo común es usarlos para interactuar con Internet Explorer y el sistema, llamándolos a través de JavaScript. Un típico ejemplo de llamada a un objeto ActiveX a través de una página es:
<HTML><object id=»nombrecualquiera»
classid=»CLSID:012345567-12345-1234-A1234-F1234567789A»></object>
<script language=»javascript»>
nombrecualquiera.FuncionCualquieraDentroDelActiveX(a, b); </script></HTML>
Poco a poco JavaScript va evolucionando como un lenguaje completo y no solo un complemento en la creación web, una de las caracteristicas mas flojas era el tema grafico, pero esto esta cambiando y puede que dentro de poco vayamos diciendo adios a la tecnologia propietaria de Adobe Flash.
Todo ello gracias al excelente trabajo realizado por John Resig y su libreria Procesin.js ,
rue Combat Elite: TrueCombat:Elite (TCE) una moderna conversion del Wolfenstein: Enemy Territory. Es enteramente gratuito creado por jugones para jugones Gunz: GunZ es un juego online que te permite convertirte en un guerrero , hechicero,… Juegos Gratuitos: 5 Joyas que debes probar
Se ha encontrado una vulnerabilidad en IBM Lotus Notes que podría ser explotada por un atacante para saltarse restricciones de seguridad o ejecutar código arbitrario. La vulnerabilidad está causada por un error en el plugin… Ejecución remota de código en IBM Lotus Notes 6.x y 7.x
Aqui teneis unas fotos mas serias de su carrera como Modelo (Profesional)Christina Lucci
Sun han publicado actualizaciones para JDK, JRE y SDK debido a que se han encontrado numerosos problemas de seguridad no especificados que afectan a diferentes versiones. Estas herramientas también se engloban dentro del producto Java 2 Platform, Standard Edition
JDK (Java Development Kit) y SDK (Software Development Kit) son productos destinados a los desarrolladores de programas Java. JRE (Java Runtime Environment) es un entorno que permite a las aplicaciones Java ejecutarse en el sistema e interpretar gran cantidad de contenido web.
JRE es además un producto presente en la mayoría de clientes, que lo usan como plugin del navegador, de ahí la importancia de mantener actualizado el sistema. Se han dado bastantes casos de malware que ha intentado aprovechar vulnerabilidades en JRE para ejecutar código arbitrario en el sistema. Sin embargo, el hecho de que existan varias ramas en desarrollo (1.4.x, 5.x, 6.x…) con saltos de versiones y cambios en la nomenclatura, unido al hecho de que pueden convivir varias ramas en un mismo sistema de forma que necesiten actualización por separado, hacen que el mantenimiento de esta máquina virtual resulte confuso para muchos usuarios.
Las vulnerabilidades, de los que no se han dado detalles técnicos, son:
* Cuando los applets o aplicaciones no confiables muestran una ventana, Java Runtime Environment muestra además un mensaje de advertencia. Un defecto en JRE permitiría que un applet o aplicación especialmente manipulada mostrara una ventana con un tamaño mayor que ocultaría la advertencia al usuario.
Múltiples vulnerabilidades en JRE (Java Runtime Environment) de Sun
Se ha encontrado una vulnerabilidad en QuickTime Player que puede permitir a un atacante ejecutar código arbitrario en el sistema víctima si abre un fichero multimedia especialmente manipulado. El fallo se agrava cuando Firefox se convierte en el vector de ataque.
QuickTime player es un popular reproductor multimedia de Apple que forma parte de la arquitectura multimedia estándar del mismo nombre. Puede encontrarse como reproductor individual o como "plugin" para navegadores como Firefox, Internet Explorer y Opera.
El fallo se debe a un error de diseño a la hora de procesar el parámetro qtnext dentro de ficheros QuickTime link (.qtl). Esto podría permitir a un atacante ejecutar código si la víctima abre con un reproductor vulnerable un fichero especialmente manipulado o visita una web también especialmente manipulada para aprovechar la vulnerabilidad. En concreto, un fallo a la hora de depurar contenido XML permite a un atacante ejecutar JavaScript incrustado, comprometiendo el navegador y probablemente el sistema operativo.
Se ha descubierto una vulnerabilidad en Cisco CallManager y Unified Communications Manager que podría ser aprovechada por un atacante para realizar ataques por cross site scripting e inyectar código SQL. Esta vulnerabilidad se debe… Vulnerabilidades en Cisco CallManager y Cisco Unified Communications Manager
Telefónica lanzará a partir del próximo mes de octubre los 50 megas y es que dará por finalizadas las primeras pruebas precomerciales que está realizando en Madrid.
El equipo de ADSLzone.net ha estado probando durante toda la semana una de las conexiones en “pruebas” y los resultados han sido bastante satisfactorios, ya que la distancia a la central deja de ser un problema por el despliegue que está realizando la operadora instalando varios repartidores de VDSL2 en cada central. A continuación os facilitaremos precios, detalles, fotografías de los equipos y además centrales que están ya preparadas para recibir la «super velocidad».
Unas 72 asociaciones se unieron y proponen apagar la luz hoy por cinco minutos en toda la Tierra. Qué los llevó a tomar esta decisión para concientizar sobre la importancia de cuidar… – Llega el apagón mundial
Alojado y accesible en la web de la compañía, el foro ha sido creado como vía de comunicación interactiva sobre temas de seguridad. BitDefender anuncia la inauguración de su nuevo foro en español, el que… – BitDefender inaugura nuevo foro de seguridad
