25 de diciembre de 2011

DIFERENTES VULNERABILIDADES EN PRODUCTOS “ Websense “

Anunciadas  diversas vulnerabilidades en productos Websense, que podrían permitir a un atacante construir ataques de cross-site scripting, evitar restricciones de seguridad e incluso ejecutar código arbitrario en los sistemas afectados.
Detalles de vulnerabilidades
Tres de los problemas están relacionados con la interfaz web de administración de informes:
  1. El primero de ellos reside en un error no detallado que podría permitir eludir el mecanismo de autenticación.
  2. Otros dos de los problemas residen en el tratamiento de las entradas, que no son debidamente limpiadas y pueden permitir realizar ataques de cross-site scripting, con la consiguiente ejecución de código script arbitrario. 
Por último, existe un error del que no se han facilitado detalles que podría dar lugar a la ejecución de código arbitrario.
Versiones afectadas
Los problemas afectan a los siguientes productos: Websense Web Security Gateway, versión 7.6, Websense Web Security versión 7.6 y Websense Web Filter versión 7.6.
Solución
Es recomendable aplicar el Hotfix 12 para la version 7.6.2 o el Hotfix 24 para la version 7.6.0, disponibles desde:
https://www.websense.com/content/mywebsense-hotfixes.aspx
Fuente: websense

CRÍTICAS AL NUEVO MÉTODO DE AUTENTICACIÓN DE “Windows 8”

Kenneth Weiss, pionero en la industria de seguridad infórmatica por crear la herramienta RSA SecureID, ha criticado que Windows 8 presente un método de autenticación táctil basado en imágenes.
Básicamente, el sistema de autentificación que aplicará Microsoft es un método que permite el registro de los usuarios en un equipo cuando estos presionan sobre determinados puntos de una imagen en un orden determinado.
Kenneth Weiss, que dirige la empresa Universal Secure Registry actualmente, considera que no se puede tomar en serio el método, ya que es como un “juguete de Fisher-Price” y además no ofrece garantías de seguridad.
  • En cualquier caso, críticas al margen, conviene recordar que su adopción será optativa y los usuarios que lo deseen podrán seguir con la clásica contraseña de toda la vida.
  • Aunque el nuevo método de autentificación puede resultar útil para los usuarios de dispositivos como tabletas, ya que sería una fórmula que les permitirá ahorrar tiempo en el inicio de sus dispositivos móviles.
Fuente : ITProPortal

'Anonymous' SUSTRAE LA LISTA DE CLIENTES SECRETA DE UN INSTITUTO PRIVADO DE SEGURIDAD DE EEUU

'Anonymous', afirmó haber robado la lista "secreta" de clientes del instituto privado de seguridad estadounidense Stratfor y otra información confidencial como correos electrónicos y datos de tarjetas de crédito.
  • 'Anonymous' anunció en una cuenta de Twitter: “La base de datos de Stratfor nos pertenece", y  que agregó que la lista de clientes del instituto "no será privada ni secreta nunca más".
  • También colocó  en Twitter un enlace a lo que, según ellos, es la lista secreta de clientes de Stratfor, que incluye a organismos de las Fuerzas Armadas de EEUU y a compañías como American Express, Goldman Sachs y Morgan Stanley, entre otras muchas.
El presidente de la entidad, George Friedman confirmó que el sitio web de Stratfor fue asaltado y, que en consecuencia, "la operación de los servidores y del correo electrónico ha sido suspendida". 
  •  Y añadió:  "Tenemos razones para creer que los nombres de nuestros abonados corporativos se han colocado en otros sitios web".
  • Además, resaltó que la "confidencialidad" de la información de sus clientes "es muy importante" para Stratfor, por lo que se está trabajando con la policía en la investigación para ayudar a identificar a los responsables del ataque cibernético.
Fuente: www.elmundo.es