Blogantivirus

En la conferencia CanSecWest de este a�o que tendr� lugar del 16 al 22 de Marzo en Vancouver se llevar� a cabo el concurso Pwn2Own. El objetivo para los hackers en esta ocasi�n ser� encontrar vulnerabilidades en los navegadores Internet Explorer 8, Firefox y Safari, y tambi�n en las plataformas de telefon�a m�vil Google Android, iPhone, Nokia Symbian y Windows Mobile.

El concurso se divide precisamente en estos dos ramos, navegadores y plataformas de telefon�a m�vil. Con respecto a los navegadores, lo m�s seguro es que los participantes tendr�n que usar un ataque d�a cero para hacerse con el control del computador. Los organizadores del concurso planean utilizar un Sony VAIO P corriendo Windows 7. Como es com�n en este concurso el hacker vencedor se quedar� con el equipo.

En el lado de las plataformas de telefon�a m�vil se espera una mayor atenci�n ya que tanto el iPhone como Android han sido vulnerados con �xito y hay problemas de seguridad conocidos en Symbian y Windows Mobile.

Visto en Zero Day

Tags: hackers, Moviles, Navegadores, Pwn2Own, Vulnerabilidades

En el sitio de Sun se publicaron dos nuevas vulnerabilidades que afectan a la librer�a XML en Solaris 9, 10 y OpenSolaris.

Estas fallas de seguridad presentes en libxml2, permitir�an a terceros ejecutar c�digo arbitrario u ocacionar denegaci�n de servicio (DoS).

La funciones afectadas tienen el nombre de xmlBufferResize() y xmlSAX2Characters(), ambas de libxml2.

Para m�s informaci�n visitar Hispasec

Tags: libxml2, Solaris

Este fin de semana el sitio web usa.kaspersky.com sufri� un ataque de Inyecci�n SQL y las tablas de la base de datos obtenidas se publicaron a trav�s del blog hackersblog.org.

Seg�n parece una simple modificaci�n en la URL expuso la base de datos de todo el sitio. Seg�n las capturas de pantalla que proporciona el blog el ataque se centr� en el soporte t�cnico de Kaspersky en Estados Unidos. Se incluyeron los nombres de m�s de 150 tablas.

Seg�n Roel Schouwenberg, un alto analista de virus en Kasperky, el problema ocurri� en una pieza de c�digo escrito por un subcontratista para la oficina estadounidense que no pas� por el proceso de revisi�n de c�digo est�ndar. El c�digo estaba en ejecuci�n durante aproximadamente 10 d�as antes de que el atacante descubriera el problema, y se corrigi� de nuevo en aproximadamente 5 horas despu�s de la detecci�n del ataque.

Aunque tuvieron acceso a un buen n�mero de tablas de la base de datos la informaci�n contenida en ellas no son de gran valor, nada relacionado con informaci�n de tarjetas de cr�dito o cuenta financiera estaba disponible para la descarga.

Visto en Zero Day

Tags: ataque, Kaspersky, sql