12 de octubre de 2010

HOY MARTES “MICROSOFT” LANZARÁ 6 BOLETINES DE SEGURIDAD.

Microsoft solucionará un total de 49 vulnerabilidades el próximo martes a través de seis boletines de seguridad que afectan a Windows, Internet Explorer, Office y el marco de trabajo .Net.

  • Cuatro de los boletines se han calificado de “críticos”, diez son “importantes” y dos tienen la etiqueta de “moderados”.
  • Las actualizaciones de seguridad afectan de manera específica a Windows XP, Vista, Windows 7, Windows Server 2003 y 2008, Microsoft Office XP Service Pack 3, Office 2003 Service Pack 3, Office 2007 Service Pack 2, Office 2010, Office 2004 para Mac y 2008 para Mac, Windows SharePoint Services 3.0, SharePoint Server 2007, Groove Server 2010 y Office Web Apps.
  • Por el momento Microsoft no ha notificado si las dos vulnerabilidaes aún no parcheadas en Windows y que están siendo explotadas por el gusano Stuxnet se solucionaran la próxima semana.
  • Este es el mayor número de vulnerabilidades solucionadas en una actualización. El récord anterior lo tiene la actualización de agosto, donde se solucionaron un total de 34 fallos de seguridad.
Fuente: Microsoft

ACTUALIZACIÓN DE “ISC BIND 9.7”

Internet System Consortium (ISC), ha lanzado una actualización para BIND que soluciona dos vulnerabilidades de la versión 9.7, que permitían denegaciones de servicio o acceder a información de la caché.

  • BIND 9 es el servidor DNS más extendido en Internet. Creado originalmente por cuatro estudiantes de la universidad de Berkeley (California), en los años 80, actualmente es mantenido por el consorcio ISC.

Detalles técnicos

  1. Un primer problema se presenta en los servidores configurados para validación DNSSEC al procesar peticiones que contengan una firma errónea. Un atacante podría emplear este fallo para causar una denegación de servicio a través de peticiones especialmente manipuladas.
  2. Otro problema reside en la forma en que se aplican las ACL (Listas de Control de Acceso). Esto podría permitir a un atacante remoto acceder a información sensible de la caché a través de peticiones especialmente manipuladas (incluso aunque las ACL lo impidan).
  3. Además se han corregido otra serie de problemas y añadido nuevas funcionalidades.

Recomendaciones

Fuente: Hispasec