Vulnerabilidad crítica de Opera corregida con una actualización

26 05 2011

Opera Software liberó hace unos días una importante actualización de su navegador, en la que se incluye la corrección de una vulnerabilidad calificada como crítica y que afecta a todas las versiones anteriores de Opera. Según lo que informa la compañía, la vulnerabilidad permitiría a un atacante la ejecución remota de código malicioso en el equipo afectado.

La brecha de seguridad se produce debido a que algunas construcciones de marcos no son manejadas correctamente cuando se descarga la página, lo que provoca una corrupción de memoria. Junto con publicar la actualización de Opera la compañía agradeció públicamente al investigador anónimo que trabaja en el programa SecuriTeam Secure Disclosure, quien se preocupó de alertar a la compañía sobre la vulnerabilidad que había encontrado dándole el tiempo suficiente para corregirla.

Si eres un usuario de Opera, te recomiendo actualizar lo más pronto posible a la versión 11.11 de Opera, ya sea utilizando la opción de actualización integrada en el navegador o desde el sitio de la compañía.

Fuente de Información: Opera Software





Pwn2Own 2011: ¡Google Chrome intocable!

14 03 2011

Otro año más que se lleva a cabo el Pwn2Own, un evento que pone a prueba a la seguridad de los principales sistemas operativos y navegadores. En esta edición hubo algunos cambios en la organización: la versión que se puso a prueba no es la más nueva, sino la que estaba disponible una semana antes del evento. Así, los fallos encontrados se llevaban un premio, pero el dinero sólo lo ganaban si el fallo permanecía en la última versión.

Al igual que el año pasado, y el anterior, y el anteriorApple no ha salido muy bien parada: tanto Safari como iOS cayeron rápidamente a través de una página web específicamente preparada. Por suerte, el fallo de iOS (concretamente, en Safari Mobile) no se puede explotar en iOS 4.3 por la inclusión de ASLR, aunque sigue existiendo.

Leer el resto de esta entrada »





Premio de 20.000 dólares a quien pueda hackear Google Chrome

17 02 2011

Estamos a menos de un mes de uno de los eventos hacker que suscitan más la atención en lo que refiere a materia tecnológica y de software, me refiero al archiconocido Pwn2Own. Ya he hablado de él en sus ediciones anteriores pero este año Google pone más interesante la competencia al ofrecer la nada despreciable suma de 20 mil dólares a quien logre hackear su navegador: Google Chrome.

Cabe recordar, como punto curioso, que en las dos ediciones anteriores, Chrome ha sido el único navegador, de los 4 grandes, que ha resultado invicto en la competencia y no ha sido vulnerado. Igual suerte no han corrido Internet Explorer, Safari y ni siquiera Mozilla Firefox se ha salvado (Opera aún no es tomado en cuenta en la competencia).

Leer el resto de esta entrada »





Ya se puede descargar Microsoft Security Essentials 2.0

17 12 2010

Ayer, 16 de diciembre, fue lanzada la versión definitiva de Microsoft Security Essentials 2.0, la nueva versión del popular y premiado antivirus gratuito de Microsoft. Fueron 5 meses los que ésta nueva versión pasó en estado beta y ya se podía descargar desde entonces.

Las novedades que incluye MSE 2.0 son las mismas que se comentaron cuando salió la beta: mayor integración con el Firewall de Windows, y con Internet Explorer. Nuevo motor anti-malware, con mejor rendimiento y con una heurística más efectiva que le permite depender menos de la base de datos de definiciones. Gracias a esto, estaremos más protegidos frente a las vulnerabilidades “zero day”, y al malware que todavía no ha sido catalogado.

Leer el resto de esta entrada »





Alertan sobre un nuevo tipo de ataque informático calificado como “invisible”

25 10 2010

Una nueva clase de amenaza calificada como “invisible” estaría siendo utilizada por atacantes informáticos, con la finalidad de burlar los sistemas informáticos de seguridad y prevención utilizados por las compañías. Fue la compañía finlandesa Stonesoft la que encendió las alarmas, luego de realizar un estudio en donde fueron analizados los últimos ataques informáticos realizados en distintas compañías.

En concreto se habla del uso de las llamadas Técnicas Avanzadas de Evasión (AET por sus siglas en inglés) para infectar equipos con códigos maliciosos, sin que los sistemas de seguridad implementados en las compañías hayan sido capaces de detectarlos. Las AET combinan diferentes sistemas de evasión en varias capas de la red, lo que las hace ser invisibles a los actuales sistemas de seguridad.

Leer el resto de esta entrada »





Nuevo virus circula por la red de Twitter

22 10 2010

Twitter se ha convertido en un jugoso punto de ataque para filtrar virus, ahora está circulando en ella un nuevo virus que puede afectar directamente tu computadora. La empresa de seguridad Sunbelt Software, es quien ha informado de esta nueva amenaza, que consiste en la utilización de sitios web falsos donde te piden instalar falsas actualizaciones de Java o Flash con la finalidad de que pongas en ejecución el virus.

Según la fuente, el mecanismo de engaño utilizado es que has sido seleccionado para probar una nueva interface de Twitter utilizando en hashtag ‘#NuevoTwitter‘, con la interesante diferencia que en lugar del logo de Twitter aparece una chica desnuda.

Leer el resto de esta entrada »





Twitter fue víctima de un ‘exploit’

21 09 2010

Una ola de desagrados se llevaron millones de usuarios de Twitter, víctimas de un problema de seguridad de la página de la red social, el cual “obligaba” a ‘retwittear’ cosas que no querías y enviaba a los curiosos a otras páginas menos educativas y sin siquiera tener la amabilidad de consultarles.

El error se activaba mediante una función JavaScript llamada “onMouseOver”, que genera un evento simplemente cuando el puntero del mouse pasa por sobre un link de algún tweet y provoca la aparición de pop-ups o el redireccionamiento hacia otros sitios (incluidos algunos porno). Su presentación es sencillamente un link supuestamente twitteado de manera voluntaria por algún contacto o en bloques de color que impiden leer el texto, invitando al curioso a pasar el mouse encima para averiguar qué quería decir su contacto.

El problema no afectó a usuarios de dispositivos móviles ni a quienes se conectan a través de programas alternativos. Según Twitter el problema ya fue resuelto y se debió a una vulnerabilidad XSS, por lo que los usuarios ya pueden retomar sus actividades con plena normalidad y la confianza de que la página no te obligará a decir nada que no quieras.

Vía: Twitter Status