19 de agosto de 2010

WIDGET HACKEADO COMPROMETE A MILLONES DE DOMINIOS

El widget modificado lanzaba un ataque contra los usuarios de Internet Explorer, Google Chrome, Firefox y Opera que se aprovechaba de la instalación de ese componente que hacían los usuarios.

  • Los investigadores de Armorize, descubridores del fallo de seguridad, han dado el aviso a Network Solutions, que indicaron que estaban investigando el problema y que afirmaban que no podían confirmar a cuántos dominios había afectado el problema.
  • Según Armorize, no obstante, el widget ahora desactivado había sido instalado en al menos 500.000 dominios en su modalidad de parking, aunque algunos hablan de 5 millones de dominios afectados.
  • Los dominios en parking son dominios que han sido registrados pero que no tienen contenido proporcionado por el propietario del dominio.

Fuente: Eweek Europe


SOLUCIONAN VULNERABILIDAD DE “ IPHONE, IPAD E IPOD TOUCH ”

Los iPhone e iPod Touch deben instalar iOS 4.0.2 y el iPad el iOS 3.2.2 para evitar infeccciones en sus dispositivos y se espiados en sus comunicaciones.

  • Apple ha lanzado una actualización del sistema operativo de estos dispositivos que soluciona dos vulnerabilidades que permiten, por un lado, liberar sus dispositivos, y por otro, abrir la puerta para que los creadores de malware puedan ejecutar código de forma remota en sus dispositivos.
  • Los usuarios de iPhone, iPad e iPod Touch pueden descargarla a través de iTunes, que ya ha empezado a informar de la disponibilidad de la misma.
  • No obstante, para poder aplicar este parche, es necesario actualizar a la última versión del iOS, siendo esta la 4.0.2 en iPhone e iPod Touch y 3.2.2 en el iPad.

Fuente: ESET.

CORREGIDO GRAVE FALLO EN EL “KERNEL LINUX 2.6”

Ha sido corregida una peligrosa vulnerabilidad en el kernel Linux, rama 2.6, que podría permitir a un atacante elevar privilegios y ejecutar código arbitrario con permisos de root.

  • La explotación de la vulnerabilidad permitiría a cualquier proceso no privilegiado con acceso al servidor X escalar a root.
  • De facto los procesos de usuario que posean GUI corren con acceso al servidor X y de ahí que, teoricamente , la explotación de una vulnerabilidad no relacionada en una aplicación de usuario podría ser encadenada y aprovechar ésta para elevar privilegios con lo cual la puerta a una ejecución remota de código queda abierta.
  • El fallo ha sido corregido en el repositorio de código del kernel y su CVE asignado es CVE-2010-2240.

Fuente: Hispasec