13 de abril de 2011

ADOBE INFORMA DE FALLO DE SEGURIDAD CRÍTICO EN FLASH

Adobe, ha emitido una alerta sobre un nuevo fallo de seguridad en Flash Player que podría permitir a los atacantes tomar el control de los equipos.

Versiones afectadas:

  • Esta nueva vulnerabilidad ha sido calificada por la propia compañía como crítica y afecta a Flash Player 10.2.153.1 y versiones anteriores para Windows, Mac, Linux y Solaris, y Flash Player 10.2.156.12 y versiones anteriores para Android.
  • También afectaría a Reader y Acrobat X (10.0.2) y versiones anteriores 10.x y 9.x para Windows y Mac, ya que incluye el componente Authplay.dll, aunque por el momento no han detectado ataques contra estas plataformas y han señalado que el modo protegido de Reader X impediría la ejecución del exploit.

Detalle de la vulnerabilidad:

  • La nueva vulnerabilidad estaría siendo explotada a través de un archivo malicioso de Flash (.swf) embebido en en un documento de Microsoft Office, que en esta ocasión se trata de Word (.doc) .
  • El archivo malicioso se distribuye a través de un documento adjunto enviado por correo electrónico y al parecer, podría permitir a los ciberdelincuentes tomar el control remoto del equipo de sus víctimas o hacer caer el sistema.

Recomendaciones:

La compañía ha asegurado que están ultimando los detalles para la liberación de actualizaciones de seguridad que solventen este nuevo fallo. Hasta entonces cuidado con abrir archivos ".DOC"

Más información en el sitio web:

http://www.adobe.com/support/security/advisories/apsa11-02.html

Fuente: The Inquirer

FALLOS IMPORTANTES EN EL SOFTWARE DE PAGOS DE “Amazon”

Los expertos encontraron fallos en el kit de desarrollo de la aplicación Amazon Payments, una herramienta que permite realizar pagos en la tienda virtual y otros sites asociados.

Investigadores de la Universidad de Indiana y Microsoft logran engañar a los sistemas de pagos online de Amazon y adquieren artículos de manera gratuita o con descuentos.

Fallos detectados:

  1. Los fallos del software de pagos de Amazon Payments, podrían permitir a un comprador cambiar productos comprados después de realizar el pago sustituyendoles por otros de mayor valor, e incluso añadir productos a la cesta de la compra se procesa el pago.
  2. Otras posibles incidencias serían reutilizar la prueba de una compra para adquirir un nuevo producto, o hacer el pago a la cuenta de uno mismo, para de esa forma obtener una prueba de compra que engañara al vendedor.
  3. Los investigadores alertan que en ese último caso el vendedor se piensa que ha recibido el pago cuando en realidad se ha transferido a la cuenta del comprador.
Recomendaciones :
Como Amazon ya solucionó los fallos, que afectaban a la implementación e integración de la herramienta en los sites de algunos vendedores, con el lanzamiento de una nueva versión del SDK de la aplicación, se supone que el problema ya está corregido.

Mas información el sitio web:

http://news.cnet.com/8301-27080_3-20049044-245.html

Fuente: The Inquirer

VULNERABILIDAD EN KERBEROS

Se ha publicado un fallo en Kerberos a través de las listas de Debian Bugs que permite provocar una denegación de servicio en Kerberos y, potencialmente, ejecutar código arbitrario.

Detalles de vulnerabilidad:

  • El fallo, descubierto por Felipe Ortega el investigador, podría ser utilizado por ciberdelincuentes para causar una denegación de servicio.
  • Se debe a un error en la interpretación de las peticiones recibidas.
  • Este fallo provoca el procesado de un valor incorrecto de versión y hace que el servicio kadmind se detenga, ocasionando por tanto una denegación de servicio.
  • Es posible que el fallo permita la ejecución de código, aunque no se ha demostrado aún.

Versiones afectadas:

El fallo que ha sido confirmado para la versión krb5-1.9 y está pendiente de solución. No se descarta que afecte a otras versiones.

Mas información en la siguiente dirección web :

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=621726

Fuente: Hispasec