Esteu aquí

El blog de la seguretat UOC - Avisos i notícies

Oracle corregeix la vulnerabilitat Zero-day de Java

Oracle s'ha donat pressa (el qual és d'agrair) en corregir la vulnerabilitat de Java que va ser descoberta el passat dia 11 de gener de 2012 i que li va ser adjudicat l'identificador CVE-2013-0422 de la NVD.

Nou zero-day de Java

Fa més o menys un mes i mig Brian Krebs escrivia en el seu blog, que corria per l'underground la notícia que s'estava posant a la venda un exploit de Java per un xifra de 5 dígits (més o menys 100.000$) i que segons el venedor afectava a la class "MidiDevice.Info" que controla la entrada/sortida d'audio.

Zero day a MS-Explorer 9.x i anteriors

No hi ha massa informació de moment però sembla ser que s'ha trobat una vulnerabilitat no detectada fins al moment i de la qual no hi ha fins ara cap forma de mitigar-la.

Dispositius de Samsung poden ser vulnerables a un exploit d'Android

Una suposat fallo (fins que Samsung no s'hagi pronunciat oficialment) en la forma en que Samsung Electronics, hauria implementat el kernel d'Android en alguns dels seus dispositius, podria permetre a una aplicació maliciosa obtenir el control total de l'aparell.

Microsoft corregeix 12 vulnerabilitats en l'actualització d'aquest dimarts

Aquest dimarts Microsoft ha publicat set butlletins de seguretat (del MS12-077 al MS12-083) corresponents al seu cicle habitual d'actualitzacions.

Segons la pròpia classificació de Microsoft cinc dels butlletins presenten un nivell de gravetat "crític" mentre que els dos restants són "importants". En total s'han resolt 12 vulnerabilitats (dues d'elles relacionades amb les llibreries "Oracle Outside In"). Deu d'aquestes vulnerabilitats permeten l'execució de codi arbitrari en el sistema.

Els butlletins publicats per Microsoft són els següents:

Nova variant de virus que es propaga pels dispositius USB

McAfee ha publicat una alerta on senyala la perillositat d'una novariant de virus.

Google Chrome corregeix set vulnerabilitats

Google ha actualitzat la nova branca 23 del seu navegador Chrome amb la versió 23.0.1271.91, per a totes les plataformes (Windows, Mac, Linux i Chrome Frame) que corregeix set noves vulnerabilitats amb un nivell de gravetat mig-alt. 

Les vulnerabilitats específiques de Chrome són les següents segons el nivell d'impacte: 

Vulnerabilitat en Opera 12 permet l'execució de codi arbitrari.

El fabricant del navegador Opera ha publicat dos butlletins de seguretat explicant unes vulnerabilitats que afecten al seu navegador Opera. Aquestes podrien ser explotades de forma remota per a obtenir informació sensible del Pc en el que estigui instal·lat i executar codi arbitrari.

Alguns models de router Belkin presenten una clau WPA-PSK feble

S'ha conegut o filtrat l'algorisme de xifrat feble de les contrasenyes WPA-PSK per defecte que implementen alguns models de routers de la marca Belkin. Un atacant podria conèixer la contrasenya WPA2-PSK si el propietari no ha modificat la què ve per defecte.

Molts models de routers Belkin incorporen una xarxa sense inalàmbrica configurada per defecte, el nom de la qual (ESSID) i la clau d'accés vénen impresos en una etiqueta en la part inferior del dispositiu com es pot observar en la imatge següent:

Avís de seguretat per a usuaris de QuickTime

Apple ha publicat una nova versió de QuickTime (la 7.7.3), que soluciona nou problemes de seguretat en la seva versió per Windows.

Les vulnerabilitats estan relacionades amb la reproducció de diferents tipus d'arxius en múltiples formats (algunes afecten en particular a fitxers Pict, MP4, QuickTime TeXML o Targa). També existeixen problemes amb el tractament de pàgines web específicament manipulades. Els problemes podrien permetre l'execució remota de codi arbitrari i el possible control de la màquina per part de l'atacant.

Pàgines