Inicio
Vulnerabilidades en Mozilla Firefox y Thunderbird
Se han descubierto varias vulnerabilidades que pueden permitir la revelación de información sensible, saltar restricciones de seguridad, realizar ataques Cross-Site Scripting (XSS), inyectar código para su ejecución, elevar privilegios y causar denegación de servicios (DDoS).
Metasploit Mozilla Browser Exploit
* CVE-2011-3647: Un fallo en ‘JSSubScriptLoader’ al manejar ‘XPCNativeWrappers’ durante la llamada al método ‘loadSubScript’ en un complemento puede permitir a un atacante remoto elevar privilegios a través de un sitio web especialmente manipulado. Afecta únicamente a las ramas 3.x de ambos productos.
* CVE-2011-3648: Un error al analizar secuencias inválidas en el codificador ‘Shift-JIS’ puede permitir a un atacante remoto llevar a cabo ataques Cross-Site Scripting (XSS) a través de un texto codificado especialmente manipulado.
* CVE-2011-3649: Un error al utilizar la aceleración por hardware D2D (Direct2D) en Windows puede ser aprovechado por un atacante remoto para evadir la política ‘same-origin’ y leer datos de un dominio diferente. Afecta únicamente a las versiones 7.x de ambos productos.
Vulnerabilidad SMS en Windows Phone 7.5
Un SMS malicioso enviado a un Windows Phone 7.5 forzará a reiniciar el terminal y bloqueará el centro de mensajería. Así lo afirma WinRumors.com, que asegura también, después de realizar diferentes pruebas, que el fallo afecta a varios dispositivos con diferentes adaptaciones del sistema operativo. Parece ser, además, que la única solución conocida para el fallo es un borrado del dispositivo.
Los smartphones con Android e iOS ya han sufrido vulnerabilidades SMS. Durante la conferencia de seguridad Black Hat de 2009, los investigadores de seguridad demostraron cómo un fallo de seguridad relacionado con los SMS en iPhone podía permitir a un hacker tomar el control del terminal, permitiéndoles hacer llamadas, enviar mensajes de texto, etc.
Video tutorial ataque por Inyeccion SQL
Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.
El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.
Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado.
A continuación el vídeo:
Vulnerabilidad "0-day" en Adobe Reader y Acrobat
"A critical vulnerability has been identified in Adobe Reader X (10.1.1) and earlier versions for Windows and Macintosh, Adobe Reader 9.4.6 and earlier 9.x versions for UNIX, and Adobe Acrobat X (10.1.1) and earlier versions for Windows and Macintosh. This vulnerability (CVE-2011-2462) could cause a crash and potentially allow an attacker to take control of the affected system. There are reports that the vulnerability is being actively exploited in limited, targeted attacks in the wild against Adobe Reader 9.x on Windows." El día 21 se publicó en el blog del PSIRT de Adobe una breve nota en la cual se informaba que estaban investigando una vulnerabilidad en Reader, Acrobat y Flash Player. Symantec habría publicado un breve análisis sobre la explotación de esta vulnerabilidad y un día después Adobe confirma la vulnerabilidad como crítica para las versiones de sus productos afectados en sistemas Windows, Unix y Mac.
Los TiemposGoogle aprende a hablar con sus usuariosGente10.infoGoogle ya puede dialogar con los usuarios que le pueden preguntas con el mismo vocabulario que se emplearía al conversar con otra persona.La aplicación, denominada Knowledge Graph. La nueva función de Google se[…]
20minutos.esTwitter, mayoritariamente móvil y para uso profesional20minutos.esEl uso de Twitter en los 'smartphones' se ha incrementado en un 32% en el último año en España. Por otro lado, el acceso a través de tabletas ha pasado de un 4,46 %[…]
En el servidor Web de intypedia se encuentra disponible la Lección 14 de la Enciclopedia de la Seguridad de la Información con el título Funciones unidireccionales y hash, cuyo autor es el Dr. Hugo Krawczyk, investigador de IBM Estados Unidos,[…]
Se ha descubierto una vulnerabilidad en sudo que podría permitir a un atacante local eludir determinadas restricciones de seguridad. El fallo afecta a casi todas las distribuciones basadas en el kernel Linux.Sudo es una herramienta de administración utilizada en muchas[…]
