Symantec ha detectado vulnerabilidades en las versiones 6 y 7 de Internet Explorer, las cuales permiten a un hacker que instale código malicioso en tu computadora. ¿Cómo es eso? Pues que hasta abriendo un e-mail, se puede instalar un virus en tu Windows sin que tú te des cuenta.

¿Microsoft sabe eso? Ya debe haber sido informado pero todavía no han anunciado parches, lo más probable es que si van a dar parches, los den el martes. Mientras tanto, siempre es recomendable usar Firefox.

Fuente: NoticiasDot

Recientemente se conocieron los 4 ganadores del concurso sobre plugins para WordPress, organizado por el sitio Weblog Tools Collection.

Sin embargo, muy poco tiempo después del anuncio, ya han detectado vulnerabilidades en todos ellos. En palabras del analista, vemos las graves fallas que poseen:

• WordPress Automatic Upgrade: Permite a cualquier usuario no autenticado: Generar y descargar los archivos de WordPress (incluye wp-config.php). Generar y descargar una copia de seguridad de la base de datos donde está instalado el plugin. Activar/Desactivar todos los plugins. Actualizar la versión de WordPress.

• OneClick: Al ser vulnerable a CSRF, permite descargar plugins — o código malicioso — desde cualquier URL.

• Who Sees Ads: Es vulnerable a CSRF y XSS.

• MyDashboard: Es vulnerable a CSRF y XSS.

Lo peor del asunto no sólo es que dichos scripts hayan sido premiados sin chequear su nivel de seguridad, sino que hasta el propio creador de WordPress -Matt Mullenweg-, también lo haya pasado por alto.

Fuente: BuayaCorp

Informa McAfee Avert Labs que una nueva vulnerabilidad afecta al programa de mensajería instantánea de Yahoo!, y que esta es aprovechada con sólo aceptar una invitación por cámara web.

Al parecer, el exploit -de origen presuntamente chino- fue probado con éxito en la versión 8.1.0.413 del Yahoo! Messenger y todavía no hubo ninguna respuesta -ni parche- por parte de la empresa norteamericana.

Por lo tanto, recomendamos prestar atención antes de aceptar ver una cámara web desde dicha aplicación.

Fuente: Hispasec

No entiendo como todavía algunos se sienten seguros de usar Internet Explorer. Una nueva vulnerabilidad ha sido descubierta y es que cuando accedes via FTP usando Internet Explorer como cliente FTP, tras editar un archivo HTML y salvarlo, aparte de salvar el archivo se está salvando en el código fuente de la página, el nombre de usuario y la contraseña de acceso al servidor FTP.

Al parecer Microsoft ya sabía eso desde hace unos cuantos años, pero no lo han arreglado debido a que eso ocasionaría que tuviesen que re-programar la característica ftp de Explorer.

¿Qué recomendamos aquí en BlogAntivirus? Dejar de utilizar a Internet Explorer como cliente ftp.

Fuente: Kriptopolis

Más info en: Secunia 

En 1 solo día, Benjamin Flesch ha descubierto siete vulnerabilidades en Wordpress, las cuales parece ser que ya han sido arregladas por el equipo de Wordpress, mas todavía no anuncian si van a poner a descarga una nueva versión de Wordpress.

Estas vulnerabilidades afectan a todas las versiones de Wordpress (2.0, 2.1, 2.2, 2.3), de tal forma que se recomienda a todos los usuarios de Wordpress, que actualicen cuando Automattic ponga las nuevas versiones de Wordpress a descarga.

Vía - AlexSEO

Se ha encontrado una vulnerabilidad en la versión 1.1 del servicio de estadísticas WordPress StatsPlugin. Mediante una inyección SQL el atacante podría obtener acceso como administrador.

Son afectados quienes tengan instalado WordPress y el plugin en su propio servidor (es decir, aquel que mantiene su blog en WordPress.com está a salvo).

Sin embargo, hay dos vías disponibles para solucionarlo: descargar la versión 1.1.1 o aplicar el parche manualmente.

Fuente: AndySkelton

LinkedIn es una red social para profesionales, que también dispone de una barra instalable en el navegador. Los usuarios que la utilizan en Internet Explorer están expuestos a infectar su ordenador con virus troyanos.

Al probarlo, el exploit ejecutó la calculadora de Windows y congeló al navegador. Esto demuestra el importante nivel de peligrosidad que implica dicho agujero, pues el ejemplo podría suplantarse por un virus troyano o cualquier tipo de ataque fácilmente.

El problema parte de una sobrecarga del buffer en la función de búsqueda del control ActiveX (LinkedInIEToolbar.dll).

La versión afectada es la actual, 3.0.2.1098, aunque es esperable que también afecte a las previas. Por lo tanto, recomendamos desinstalar la barra LinkedIn hasta tanto se lance algún parche.

Fuente: Heise Security

La gente de Independent Security Evaluators (ISE) ha descubierto una vulnerabilidad en el navegador Safari del iPhone. Esta vulnerabilidad podría permitirle a un usuario externo tomar el control del iPhone. Resulta ser, que a través de un código en una página web, esta vulnerabilidad es explotada.

Para todos los usuarios del iPhone, no entren en ninguna web desconocida, Apple ya se encuentra trabajando en un parche para este error.

Fuente: Xataka 

Recientemente se ha dado a conocer una serie de vulnerabilidades en el reproductor Flash de Adobe. Las versiones afectadas son la 9.0.45.0, 8.0.34.0 y 7.0.69.0; al igual que las previas.

Los usuarios que visualicen un archivo .swf malicioso pueden darle acceso remoto a atacantes sobre su PC, pues estos aprovechan un error de validación en la versión 9.0.45.0.

En la versión 7.0.69.0 y previas, corriendo sobre Linux y Solaris, los atacantes pueden aprovechar errores en la interacción entre el reproductor y ciertos navegadores para robar lo ingresado por el usuario allí. La versión 9 no está afectada en este caso.

En cuanto a la versión 8.0.34.0 y previas, contienen un bug que permite al atacante executar un ataque conocido como cross-site forgery. La versión 9 tampoco resulta afectada aquí.

Desde la compañía recomiendan a los usuarios de la versión 9.0.45.0, sin importar el sistema oporativo usado, actualicen a la 9.0.47.0. Pueden hacerlo en este vínculo.

Fuente: ZDNet Asia

Adobe lanzó un parche de seguridad para sus aplicaciones de diseño gráfico Photoshop CS2 y CS3.

La vulnerabilidad se considera de nivel crítico, y afecta tanto a usuarios de Windows como de MAC OS X.

El acceso al sistema se produce al abrir una imagen de extensión BMP, DIB, RLE o PNG, la cual luego ejecuta código malicioso y puede provocar la perdida de control sobre el ordenador. Dada la clase “poco sospechosa” de archivos que afecta, su grado de peligrosidad aumenta considerablemente.

Por lo tanto, recomendamos descargar el parche de seguridad lo antes posible.

Fuente: MaestrosDelWeb