 |
|
 |
 |
|
| Viernes, 22 enero | | · | Microsoft cede y lanza un parche de seguridad hoy |
| Jueves, 21 enero | | · | Grave vulnerabilidad en Windows permite elevar privilegios |
| Jueves, 07 enero | | · | El “otro” efecto 2000 |
| Martes, 29 diciembre | | · | El largo camino de MySQL |
| Lunes, 28 diciembre | | · | Ejecución remota de código ASP en IIS 6.x |
| Domingo, 27 diciembre | | · | La seguridad en Windows 7 |
| Jueves, 24 diciembre | | · | Firefox 4 unificará varios procesos en un solo botón |
| · | Actualización del kernel para diversos productos SuSE Linux |
| Miércoles, 23 diciembre | | · | Nuevo PHP 5.2.12 soluciona varios fallos de seguridad |
| Sábado, 19 diciembre | | · | eBooks y eReaders, el regalo estrella para estas Navidades |
Artículos Viejos
|
|
| |
|
|
|
|
| ¿Todavía no tienes una cuenta? Puedes crearte una. Como usuario registrado tendrás ventajas como seleccionar la apariencia de la página, configurar los comentarios y enviar los comentarios con tu nombre. |
|
| |
|
|
|
|
| Noticias: Microsoft conocía el fallo de Internet Explorer ... |
|
 Microsoft, que conocía el fallo de Internet Explorer desde hace cinco meses, publica hoy la actualización con carácter de urgencia.
Tras la grave vulnerabilidad detectada en Internet Explorer, y que tanto ha dado que hablar en los últimos días, Microsoft ha publicado una actualización para su navegador fuera de ciclo destinada a corregir este problema. Para añadir más polémica a todo lo tratado, Microsoft ha reconocido que conocía la existencia de este fallo desde hace cinco meses.
Sin ser el segundo martes de mes, Microsoft acaba de publicar un boletín de seguridad (con identificador MS10-002). Debido a su gravedad, los fallos podrían ser aprovechados por un atacante remoto para ejecutar código arbitrario y comprometer por completo un sistema vulnerable.
La actualización para Internet Explorer, acumulativa como suele ser habitual en las actualizaciones del navegador, está destinada a cubrir un total de ocho vulnerabilidades, si bien no todas son de carácter crítico ni afectan a todas las versiones del navegador. La gravedad de las vulnerabilidades varía en función de la versión del navegador y plataforma Windows sobre la que corre.
La razón de la publicación del boletín fuera de ciclo es debido a la vulnerabilidad del navegador, de la que ya hablamos en un boletín anterior y que estaba siendo explotada de forma activa. Este fallo ya conocido como "Aurora" (asignado al CVE-2010-0249), junto con otras cinco vulnerabilidades, son de naturaleza similar y en muchos casos pueden permitir la ejecución remota de código.
Pero lo más polémico puede surgir tras el reconocimiento por la propia firma de Redmond de que conocía de la existencia del fallo empleado en los ataques contra Google y Adobe (entre otras) desde el pasado mes de agosto. Meron Sellen, un investigador de la firma israelí BugSec, había reportado el fallo el pasado mes de agosto y la propia Microsoft confirmó su gravedad en septiembre. Otros fallos similares corregidos en esta actualización también habían sido reportados a Microsoft hace seis meses por Zero Day Initiative. Microsoft tenía planeada la distribución de este boletín para su ciclo habitual de actualizaciones de febrero, sin embargo los ataques han obligado a adelantar su publicación.
Las otras dos vulnerabilidades corregidas son un cross-site scripting y una vulnerabilidad de validación de URLs que también podría dar lugar a la ejecución remota de código a través de una URL maliciosamente construida.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4107/comentar
Más información:
Microsoft Security Bulletin MS10-002 - Critical
Cumulative Security Update for Internet Explorer (978207)
http://www.microsoft.com/technet/security/Bulletin/ms10-002.mspx
Microsoft knew of IE zero-day flaw since last September
http://blogs.zdnet.com/security/?p=5324
una-al-dia (15/01/2010) 0-day en Internet Explorer: Detrás de los ataques a grandes compañías
http://www.hispasec.com/unaaldia/4101
Microsoft Internet Explorer item Object Memory Corruption Remote Code Execution Vulnerabilityf
http://www.zerodayinitiative.com/advisories/ZDI-10-014/
Microsoft Internet Explorer Table Layout Reuse Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-013/
Microsoft Internet Explorer Baseline Tag Rendering Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-012/
Microsoft Internet Explorer Table Layout Col Tag Cache Update Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-011/
Antonio Ropero
antonior@hispasec.com
|
|
Enviado el Viernes, 22 enero a las 19:10:56 por joserey |
|
|
|
|
| |
|
Puntuación Promedio: 0
votos: 0
|
|
| |
|
|
|
|
Tópicos Asociados
 |
|
|
|
|
| Disculpa, los comentarios no están activados para esta noticia. |
|
|
|
|
|
:: subSystemGreen phpbb2 style by azure :: PHP-Nuke theme by www.nukemods.com ::
|
