17 de diciembre de 2009

PostgreSQL soluciona vulnerabilidades a pares

Se han solucionado dos vulnerabilidades en PostgreSQL (versiones 8.x y 7.4) que podría utilizar un atacante para saltarse la seguridad o elevar sus privilegios.
  • PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL.
  • Se recomienda actualizar a PostgreSQL versión 8.4.2, 8.3.9, 8.2.15, 8.1.19, 8.0.23 o 7.4.27 disponibles desde: http://www.postgresql.org/download
Fuente: hispasec

Grave vulnerabilidad en Adobe Acrobat y Reader

Adobe confirmó una grave vulnerabilidad en Adobe Acrobat y Reader de tipo "0-day" que se está explotando en estos momentos de forma activa para conseguir la ejecución remota de código arbitrario.

  • Cuando una vulnerabilidad se anuncia en forma de "día cero" (0-day) quiere decir que se divulga o onoce cuando ya se están efectuando ataques y se aprovecha de forma activa.
  • En general, todos los ataques a través de archivos pdf detectados en la actualidad basados en la instalación de un troyano se conocen como Trojan.Pidief.X (donde X especifica la versión de turno), por lo que la mayoría de los antivirus que lo detecten lo clasificarán bajo este nombre.
  • Adobe ha publicado un aviso de seguridad en el que confirma el problema (calificándolo de crítico) en Adobe Reader y Acrobat 9.2 (y versiones anteriores). Adobe recomienda emplear "JavaScript Blacklist Framework" o desactivar JavaScript en los documentos PDF para mitigar en la medida de lo posible los ataques. Otra contramedida disponible pasa por activar el sistema DEP (Prevención de Ejecución de Datos) disponible en algunas versiones de Windows lo que podrá mitigar el ataque a una denegación de servicio.
  • Se recomienda usar otro lector de archivos PDF hasta que se solucione el fallo.
  • Existen múltiples opciones para elegir para todas las plataformas en: http://pdfreaders.org/

Fuente: Hispasec