12 de abril de 2010

Nuevo servicio de actualizaciones de Adobe la próxima semana

La compañía ha estado probando su tecnología de actualización con una muestra de clientes desde el pasado 13 de octubre.

  • Las actualizaciones de Adobe coinciden con las de Microsoft para el mes de abril y en las que se espera que la compañía solucione 25 vulnerabilidades.
  • Siguiendo con Adobe, la compañía activará su tecnología de actualizaciones para todos los usuarios de Adobe Reader y Acrobat y lo utilizará para actualizaciones y problemas de seguridad críticos.
  • Las actualizaciones afectan a Adobe Reader 9.3.1 para Windows, Mac y Unix, Acrobat 9.3.1 para Windows y Mac, y Reader 8.2.1 y Acrobat 8.2.1 para Windows y Mac.

Fuente: Adobe

0-day en Java Deployment Toolkit

Esta vulnerabilidad podría permitir a un atacante remoto ejecutar una aplicación java arbitraria, desde una ubicación controlada por el atacante y sin más restricciones que las aplicadas a una aplicación java lanzada por el propio usuario.

  • Tavis Ormandy, reputado investigador y empleado de Google, ha publicado un aviso de seguridad en la lista de Full Disclosure donde describe un método para inyectar parámetros arbitrarios a través de Java Deployment Toolkit.
  • El investigador español Ruben Santamarta tenía conocimiento del 0-day semanas antes de la publicación por parte de Ormandy.
  • Santamarta incluso llegó más lejos descubriendo adicionalmente dos parámetros de línea de comandos no documentados que soportan los ejecutables "java.exe" y "javaws.exe", máquina virtual y Java Web Start respectivamente, y que permiten la inyección de una dll remota.
  • Oracle, la actual propietaria de Sun, no se ha pronunciado de manera oficial y no existen recomendaciones del fabricante.
  • Ambos investigadores ofrecen indicaciones para mitigar las vulnerabilidades en sus respectivos avisos.

Fuente: Hispasec