13 de febrero de 2009

Vulnerabilidades en la librería XML en Solaris

En el sitio de Sun se publicaron dos nuevas vulnerabilidades que afectan a la librería XML en Solaris 9, 10 y OpenSolaris.

  • Estas fallas de seguridad presentes en libxml2, permitirían a terceros ejecutar código arbitrario u ocacionar denegación de servicio (DoS).
  • La funciones afectadas tienen el nombre de xmlBufferResize() y xmlSAX2Characters(), ambas de libxml2.

Fuente: Hispaset

IBM y Hp patrocinan KMIP, el nuevo estándar de codificación de claves

Un grupo de compañías, lideradas por IBM, HP y EMC están proponiendo un nuevo estándar para hacer que sus programas de administración de claves de codificación funcionen juntos.

  • Key Management Interoperability Protocol (KMIP) se ve como un sustituto para reemplazar la mezcolanza de diferentes productos de administración de claves y se ha propuesto a través de OASIS (Organization for the Advancement of Structured Information Standards), el consorcio mejor conocido por el desarrollo de los estándares de los servicios web.
  • Se espera que en breve OASIS anuncie la creación de un comité, el KMIP Technology Committee, encargado de producir la especificación final del estándar. El comité se reunirá por primera vez el 21 de abril aunque KMIP lleva en desarrollo desde hace más de un año y también está soportado por Brocade, SI, Seagate y Thales.
  • Los defensores de KMIP han dicho que el estándar será complementario a los actuales estándares de administración de claves como el IEEE1619.3, centrado en almacenamiento, o el estándar OASIS EKMI HTML.

Fuente: KMIP

Parche de seguridad para los teléfonos basados en Android

La vulnerabilidad permitiría a un atacante tomar el control del terminal si el usuario visita una página web maliciosa.

  • Un investigador que encontró un agujero de seguridad en la plataforma Android en octubre ha encontrado otro sobre el que afirma que es lo suficientemente serio como para recomendar a la gente que no utilice el navegador de Android hasta que se haya instalado el parche.
  • Charlie Miller, analista de la consultora Security Evaluators, ha anunciado que el parche para la vulnerabilidad está disponible en el repositorio del código fuente de Google, pero que por el momento no se ha puesto a disposición de los usuarios mediante una descarga.
  • Como la anterior, la nueva vulnerabilidad permitiría a un atacante obtener, remotamente, el control del navegador, acceder a las credenciales, e instalar un ‘keyloger’ si los usuarios de un teléfono con Android visitan una página web maliciosa.

    Fuente: Security Evaluators