25 de enero de 2011

NUEVA VULNERABILIDAD EN “ASTERISK”

Existe un error de desbordamiento de memoria intermedia basado en pila en la función 'ast_uri_encode' de Asterisk.

Detalle de la vulnerabilidad:

La citada función se encarga de filtrar los datos de un ID de llamada y debido a un error en la comprobación de la longitud de los datos, un atacante remoto autenticado podría ejecutar código arbitrario a través de un ID especialmente diseñado.

Detalles de la aplicación

  • Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP.
  • Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más.
  • Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.

Recomendaciones:

Se recomienda actualizar a versiones que se encuentra corregido el error que son:

  • Para versiones 'Open Source' 1.4.38.1, 1.4.39.1, 1.6.1.21, 1.6.2.15.1, 1.6.2.16.1, 1.8.1.2 y 1.8.2.2 .
  • Para la versión comercial 'Business Edition' C.3.6.2

Fuente: Hispasec

“FIREFOX” HA BLOQUEADO LA EXTENSIÓN DE “SKYPE”

Según el responsable de Firefox la versión actual de Skype Toolbar es una de las que ha generado más fallos en Firefox 3.6.13, involucrada en casi 40.000 la semana pasada.

Funcionamiento de la Extensión:

  • Dependiendo de la versión de Skype Toolbar que se esté usando, el método que utiliza para detectar y llamar a un número de teléfono puede “afectar drásticamente a la renderización de la página”, aseguran desde Mozilla.
  • Skype Toolbar detecta los números de teléfono de una página web y permite que se pueda marcar a esos números directamente con su programa Skype.
  • La extensión para Firefox se instala por defecto cuando se instala o actualiza la versión de escritorio del software.

Decisiones adoptadas:

  • Por el momento los usuarios de la Skype Toolbar pueden seguir utilizándola, ya que Mozilla sólo ha aplicado un bloqueo suave, lo que significa que aunque ha deshabilitado la extensión, los usuarios pueden reactivarla después de pinchar sobre un mensaje de advertencia.
  • No obstante, Mozilla está considerando aplicar un bloqueo más duro que podría eliminar la extensión completamente.

Fuente: www.itespresso.es

LOS NAVEGADORES “Firefox y Chrome” IMPLEMENTAN HERRAMIENTAS “ANTI-SEGUIMIENTO”

Mozilla informó que añadirá en Firefox una nueva opción “Do Not Track” para impedir que los anunciantes rastreen a los usuarios en la red y Google hará lo mismo en Chrome con “Keep My Opts-Out”.

  • Mozilla ha propuesto un sistema para evitar el seguimiento que se basa en que sean los usuarios quienes configuren su navegador para poder elegir si quieren recibir publicidad personalizada o no. Dicha elección será comunicada a los sitios web y a los anunciantes a través de una cabecera HTTP “Do Not Track”.
  • Google por su parte, ha presentado una nueva propuesta para evitar el rastreo de los usuarios de Chrome denominada esta extensión “Keep My Opts-Out” que permite al usuario dejar de recibir publicidad personalizada de forma permanente a través de las cookies.
  • Por otra parte, Microsoft también está trabajando para evitar el seguimiento en Internet Explorer para lo cual implementarán un sistema de “Tracking Protection List” en la próxima versión del navegador.

Fuente: Eweek Europe