4 de febrero de 2011

“Mozilla” DESARROLLA LA SEGURIDAD PROACTIVA DE SUS PRODUCTOS

‘Attack-Aware’ es la denominación que la Fundación Mozilla está empleando para mejorar la seguridad de sus aplicaciones a la hora de detectar comportamientos fraudulentos.

  • La Fundación Mozilla quiere conseguir una actividad más proactiva a nivel de seguridad dentro de sus aplicaciones para mejorar su defensa frente a posibles ataques.
  • El objetivo final es el de poder distinguir ataques reales de los errores de los usuarios, como puedan ser los errores tipográficos.

Detalles técnicos:

“Una aplicación ‘Attack-Aware’ utiliza una especie de lista negra para detectar potenciales ataques” ha indicado Michael Coates, especialista en seguridad Web de Mozilla.


Fuente: Eweek Europe

“Microsoft” REPARARÁ 22 VULNERABILIDADES CON UNA NUEVA ACTUALIZACIÓN

En esta ocasión se trata de 12 boletines que solucionan 22 vulnerabilidades encontradas en Microsoft Windows, Internet Explorer, Office y Visual Studio.

  • Microsoft anunció que la próxima semana lanzará 12 boletines que repararán los fallos de seguridad detectados, tres de ellos están calificados como "críticos" y relacionados con el navegador Internet Explorer y con Windows.
  • El resto de los boletines tienen una calificación de “importantes”.
Vulnerabilidades corregidas:
  • Vulnerabilidad que afecta a Windows Graphics Rendering Engine y otro agujero de seguridad encontrado en las versiones 6,7 y 8 de Internet Explorer que podría permitir la ejecución remota de código.
  • También parchearán un problema que afecta el servicio FTP en Internet Information Services (ISS) 7.0 y 7.5.
La actualización no solucionará, la vulnerabilidad recientemente descubierta por el equipo de seguridad de Microsoft, que podría permitir a un atacante acceder a información privada del usuario mediante la ejecución de un código remoto.

Fuente: The Inquirer

VULNERABILIDAD EN “ PostgreSQL “

PostgreSQL soluciona el fallo con su nueva versión, que afecta a las versiones 9.0.x y 8.x.La vulnerabilidad permite a un atacante remoto no autenticado, ejecutar código a rbitrario con los permisos que esté corriendo la base de datos.

PostgreSQL es una base de datos relacional "Open Source", multiplataforma, publicada bajo licencia BSD y bastante popular en el mundo UNIX.

Detalles técnicos :

  • El fallo se encuentra localizado en el fichero 'contrib/intarray/_int_bool.c', en concreto en la función 'gettoken'.
  • La implementación de esta función no controlaba correctamente el tamaño de los datos recibidos a través del parámetro 'state'.
  • Cuando se copiaban los datos de 'state' sobre una variable local, se provocaba un desbordamiento de memoria intermedia basado en pila.

Recomendaciones:

Se recomienda actualizar a PostgreSQL versión 9.0.3, 8.4.7, 8.3.14 o 8.2.20, disponibles desde: http://www.postgresql.org/download

Fuente: Hispasec