Via: DiarioTi Vulnerabilidad en Linux implica que, en la práctica, las conexiones seguras hacia servidores basados en Debian, no están cifradas. Open SSL es una implantación de código abierto de los protocolos Secure Sockets Layer… Vulnerabilidad crítica Linux Debian – Ubuntu
La scene de Wii sigue ardiendo ya tenemos disponibles el Canal HomeBrew (Programas Caseros) y el canal con el emulador de Super Nintendo, cito el Post que hay en El Otro Lado » Bueno pues… Wii: Canal Hombrew y Snes sin limitación de tiempo.
Una vulnerabilidad en Adobe Reader (compartida en realidad con Microsoft Windows) está siendo aprovechada para ejecutar código con sólo abrir un archivo en PDF. Si bien se conoce esta vulnerabilidad desde hace algunas semanas, no ha sido hasta el día 22 de octubre que se han observado correos intentando explotar el fallo descargando e instalando malware alojado en (sorpresa, sorpresa) la Russian Bussines Network.
En junio se popularizó el spam a través de archivos PDF. Incrustaban una imagen apenas legible en archivos en este formato (en el que confían los
usuarios) y los spammers se saltaron así todos los filtros hasta que éstos consiguieron adaptarse y contener la avalancha. Entonces avisábamos de que, al menos, este spam no intentaba aprovechar ninguna vulnerabilidad en el lector más popular Adobe Reader y que si el correo era abierto sólo se perdería el tiempo. Hasta ahora… pues se ha descubierto que se están enviando archivos PDF que si son abiertos en un Windows, aprovechan una vulnerabilidad en Adobe Reader y son capaces de descargar y ejecutar código.
Archivos PDF aprovechan un fallo en Adobe Reader para infectar sistemas
Sun han publicado actualizaciones para JDK, JRE y SDK debido a que se han encontrado numerosos problemas de seguridad no especificados que afectan a diferentes versiones. Estas herramientas también se engloban dentro del producto Java 2 Platform, Standard Edition
JDK (Java Development Kit) y SDK (Software Development Kit) son productos destinados a los desarrolladores de programas Java. JRE (Java Runtime Environment) es un entorno que permite a las aplicaciones Java ejecutarse en el sistema e interpretar gran cantidad de contenido web.
JRE es además un producto presente en la mayoría de clientes, que lo usan como plugin del navegador, de ahí la importancia de mantener actualizado el sistema. Se han dado bastantes casos de malware que ha intentado aprovechar vulnerabilidades en JRE para ejecutar código arbitrario en el sistema. Sin embargo, el hecho de que existan varias ramas en desarrollo (1.4.x, 5.x, 6.x…) con saltos de versiones y cambios en la nomenclatura, unido al hecho de que pueden convivir varias ramas en un mismo sistema de forma que necesiten actualización por separado, hacen que el mantenimiento de esta máquina virtual resulte confuso para muchos usuarios.
Las vulnerabilidades, de los que no se han dado detalles técnicos, son:
* Cuando los applets o aplicaciones no confiables muestran una ventana, Java Runtime Environment muestra además un mensaje de advertencia. Un defecto en JRE permitiría que un applet o aplicación especialmente manipulada mostrara una ventana con un tamaño mayor que ocultaría la advertencia al usuario.
Múltiples vulnerabilidades en JRE (Java Runtime Environment) de Sun
OpenOffice.org ha publicado la versión 2.3 de su suite ofimática que soluciona varios fallos de estabilidad y uno importante de seguridad que podría ser aprovechado por atacantes para ejecutar código arbitrario en el sistema víctima.… Ejecución de código a través de archivos TIFF en OpenOffice.org
Se ha encontrado una vulnerabilidad en QuickTime Player que puede permitir a un atacante ejecutar código arbitrario en el sistema víctima si abre un fichero multimedia especialmente manipulado. El fallo se agrava cuando Firefox se convierte en el vector de ataque.
QuickTime player es un popular reproductor multimedia de Apple que forma parte de la arquitectura multimedia estándar del mismo nombre. Puede encontrarse como reproductor individual o como "plugin" para navegadores como Firefox, Internet Explorer y Opera.
El fallo se debe a un error de diseño a la hora de procesar el parámetro qtnext dentro de ficheros QuickTime link (.qtl). Esto podría permitir a un atacante ejecutar código si la víctima abre con un reproductor vulnerable un fichero especialmente manipulado o visita una web también especialmente manipulada para aprovechar la vulnerabilidad. En concreto, un fallo a la hora de depurar contenido XML permite a un atacante ejecutar JavaScript incrustado, comprometiendo el navegador y probablemente el sistema operativo.
Sun ha publicado una actualización para SPECFS que solventa un fallo que podría permitir a un atacante local provocar una denegación de servicio.
El fallo se debe a un problema en la función strfreectty de Special File System (SPECFS) que podría permitir a un atacante provocar una denegación de servicio a través de un system panic.
Se ha encontrado otra vulnerabilidad en Yahoo! Messenger que puede ser aprovechada por atacantes para ejecutar código en el sistema víctima.
Esta es la tercera vulnerabilidad grave que afecta a este programa de mensajería en solo dos meses. Microsoft Messenger, por su parte, también es vulnerable a un grave problema.
iDefense alertaba de nuevo de un fallo en el programa de mensajería instantánea de Yahoo!. El problema se debe a un error de límites en dos funciones del control ActiveX YverInfo.dll y puede ser aprovechado para provocar un desbordamiento de memoria intermedia si un usuario visita una página web especialmente manipulada. La vulnerabilidad permite la ejecución de código arbitrario, pero para que tenga éxito, la página que aproveche el error debe encontrarse bajo el dominio yahoo.com (o hacer creer a la víctima que se encuentra en él…).
SEATTLE (EEUU).- Microsoft ha confirmado sus planes para lanzar la primera gran actualización de su renovado sistema operativo Windows Vista a comienzos del próximo año. De hecho, muchas de las grandes empresas clientes de… Windows Vista tendrá su primera gran actualización a principios de 2008
Descubiertas vulnerabilidades en X-Diesel Unreal Commander v.092 (build 574) que podrían ser aprovechadas por un atacante para comprometer un sistema vulnerable sobreescribiendo archivos. Unreal Commander es una premiada utilidad freeware para sistemas Windows 98/ME/2000/XP/2003/Vista.… Escritura de ficheros arbitrarios en X-Diesel Unreal Commander
Se ha descubierto una vulnerabilidad en IBM AIX que podría ser aprovechada por un atacante local para causar una denegación de servicio. Esta vulnerabilidad se debe a un error de límite en… – Desbordamiento de buffer a través de rmpvc en IBM AIX 4.x