Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social digg  Bookmarking social delicious  Bookmarking social reddit  Bookmarking social stumbleupon  Bookmarking social slashdot  Bookmarking social yahoo  Bookmarking social google  Bookmarking social blogmarks  Bookmarking social live      

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


Apple publica Safari 3.1.2 que soluciona vulnerabilidad

Ver el tema anterior Ver el tema siguiente Ir abajo

Apple publica Safari 3.1.2 que soluciona vulnerabilidad

Mensaje por Gaillimh el Lun Mar 24, 2008 5:24 am


Instalación obligatoria de Safari. ¡Mala idea!

_____________________________________________________________

http://www.vsantivirus.com/24-03-08.htm

Instalación obligatoria de Safari. ¡Mala idea!

Por Angela Ruiz
angela@videosoft.net.uy

Los usuarios de QuickTime o iTunes, tal vez comiencen a ver
una ventana donde se les informa de un nuevo software
disponible (New software is available from Apple). La ventana
ofrece la instalación de Safari, el navegador de Apple.

Esta opción está disponible para todos los que utilizan algún
programa de Apple en Windows.

Existen muchos comentarios adversos al respecto. Por ejemplo,
algunos se quejan de que Apple está utilizando su "monopolio"
de facto en reproductores de archivos MP3 para entrar en el
mercado de los navegadores.

Pero el mayor problema, es que este tipo de actitud puede
afectar la seguridad de los sistemas, desde el punto de vista
de los usuarios. Es muy común hoy día, que quienes instalan
QuickTime, se encuentren en sus equipos con iTunes, sin
siquiera saber para que sirve. Ahora, puede pasar lo mismo
con Safari.

No estamos hablando de la decisión del usuario en instalar un
nuevo navegador, que es algo totalmente lícito. Pero es muy
diferente instalar casi obligatoriamente, algo que muchos
ignoran siquiera para que sirve.

Por ejemplo, usuarios que solo pretenden instalar QuickTime,
e instalan sin darse cuenta iTunes, pueden ser vulnerables
sin saberlo a cualquier agujero de seguridad que aparezca en
estos productos.

Lo mismo podría suceder ahora. Si usted acepta la
instalación, aún cuando no lo utilice, su computadora podría
ser vulnerable si se detecta algún problema de seguridad en
Safari.

Es muy importante entender la diferencia entre instalar una
actualización para un producto que ya tenemos, a que nos
"obliguen" a instalar un nuevo programa que tal vez no nos
interesa, o aún peor, ni siquiera sabemos para que sirve...
"pero apareció en mi PC".

Lo peor es que la casilla para instalar el nuevo software
(Safari en este caso), aparece marcada por defecto. Solo
basta hacer clic en "Install 1 item" para que la instalación
se produzca. Lo mínimo que podríamos esperar en estos casos,
es que la casilla mencionada estuviera desmarcada por
defecto. Si el usuario realmente quiere instalarlo, lo
debería elegir.

Además, el aviso no desaparece. Si lo desactiva y no lo
acepta (Quit), la próxima vez que se ejecute la actualización
de software de Apple, nuevamente se ofrecerá la instalación
de Safari, y la casilla estará marcada por defecto.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com


Última edición por Gaillimh el Lun Jun 23, 2008 9:43 am, editado 1 vez
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Vulnerabilidades resueltas y no resueltas en Apple Safari

Mensaje por Gaillimh el Dom Abr 27, 2008 8:30 pm

25/04/2008 Vulnerabilidades resueltas y no resueltas en Apple Safari



Apple publicó la pasada semana una nueva actualización para el
navegador web Safari (versión 3.1.1), en la que se corrigen varias
vulnerabilidades que podrían ser aprovechadas por atacantes remotos
para saltarse restricciones de seguridad, perpetrar ataques de
cross-site scripting, causar una denegación de servicio o ejecutar
código arbitrario en un sistema vulnerable. A pesar de que la última
actualización solventa cuatro vulnerabilidades, recientemente se han
encontrado otros tres problemas de seguridad no parcheados en Safari
3.1.1, y que podrían ser aprovechados para causar una denegación de
servicio o para falsificar el contenido de la barra de direcciones,
pudiendo mostrar una URL que no se correspondería con el sitio web que
se está visitando.Safari
es un popular navegador web desarrollado por Apple, incluido en las
sucesivas versiones de Mac OS X y del que también existen versiones
oficiales para Windows XP y Vista.* Uno de los últimos problemas
de seguridad detectados, confirmados para la versión más reciente del
navegador (v.3.1.1 para Mac OS X y Windows), hace posible la
falsificación de la URL en la barra de direcciones del navegador. Esto
podría ser aprovechado, por ejemplo, para favorecer ataques de
phishing. Si pinchamos en un enlace malicioso podríamos ser dirigidos a
una página web falsificada aunque la barra de direcciones podría
mostrar la dirección legítima de la web a la que creemos estar
accediendo.La vulnerabilidad está provocada por un error de
validación de entrada, y podría ser aprovechada por medio de una URL
especialmente modificada que contenga cierto número de caracteres
especiales en el campo "usuario" antes del carácter @.Las otras
dos vulnerabilidades publicadas de forma reciente, y que aún no están
parcheadas, podrían ser aprovechadas por un atacante remoto para causar
que el navegador dejara de responder (denegación de servicio):* La primera estaría provocada por un error al manejar URIs mal formadas que contengan "file:".*
La segunda por un error al manejar un gran número de llamadas a la
función document.write() con argumentos demasiado largos, que podrían
causar el uso exhaustivo de la memoria disponible si se visita una
página web especialmente modificada.A continuación se describen
brevemente las vulnerabilidades corregidas por Apple en la versión
3.1.1 de Safari, disponible para su descarga desde el miércoles de la
semana pasada.* Un error al descargar archivos con un nombre
demasiado largo podría causar una corrupción de memoria provocando una
denegación de servicio, e incluso, permitiendo la ejecución remota de
código arbitrario.(Sólo afecta a la versión de Safari para Windows).*
Otra problema corregido podría ser aprovechado para falsificar un sitio
web, mostrando un contenido que no correspondería a la dirección que se
muestra en la barra de direcciones. (Sólo afecta a la versión bajo
Windows).* Un error en el manejo de URLs que contienen �:� en el
nombre del host que podría ser aprovechado para conducir ataques de
cross-site scripting por medio de una URL especialmente manipulada.*
Un desbordamiento de enteros en el compilador de expresiones regulares
JavaScript en WebKit (JavaScriptCore/pcre/pcre_compile.cpp) que podría
ser aprovechado por medio de una página web maliciosa para causar una
denegación de servicio o ejecutar código arbitrario.A modo de
curiosidad, se especula con que esta última vulnerabilidad fue la
aprovechada por los ganadores del concurso de hacking PWN to OWN en el
que se competía contrarreloj por lograr la ejecución remota de código
arbitrario en alguno de los tres PCs suministrados, cada uno equipado
con un sistema operativo distinto: Mac OS X 10.5.2, Windows Vista SP1 y
Ubuntu 7.10.Se recomienda actualizar a la versión 3.1.1 de
Safari, que puede ser instalada a través de la funcionalidad de
actualización (Software Update) de Mac OS X o, según versión y
plataforma, descargándola directamente desde:
http://www.apple.com/support/downloads/
http://www.apple.com/safari


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3471/comentar

Más Información:

Multiple vulnerabilities in Safari 3.1.1 (525.17)
http://es.geocities.com/jplopezy/pruebasafari3.html

About the security content of Safari 3.1.1:
http://support.apple.com/kb/HT1467

Apple Safari WebKit PCRE Handling Integer Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-08-022/


avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Revelan detalles de una vulnerabilidad no solucionada

Mensaje por Gaillimh el Miér Jun 18, 2008 3:29 pm

VSantivirus No 2742 Año 11, miércoles 18 de junio de 2008
_____________________________________________________________

Revelan detalles de una vulnerabilidad no solucionada
_____________________________________________________________

http://www.vsantivirus.com/18-06-08.htm


Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

La vulnerabilidad de Safari conocida como "Carpet Bombing"
(muchas bombas en un pequeño espacio), aún no ha sido
solucionada, a pesar de que Microsoft liberó el pasado martes
una actualización de seguridad para Internet Explorer. La
mayoría coincide en que el navegador de Microsoft es la
principal causa del problema, y que puede crear un agujero de
seguridad cuando se combina con Safari, el navegador de
Apple.

Cuando Internet Explorer se inicia, busca sus DLLs, no solo
en la carpeta del sistema donde se espera que se almacenen,
sino también en el escritorio de Windows (que también es una
carpeta). Y además, es allí donde primero busca cuando se
lanza el navegador desde su acceso directo, sin tomar en
cuenta que la función llamada SafeDllSearchMode esté activada
(lo está por defecto).

SafeDllSearchMode, está creada para asegurar que el orden de
la ruta de acceso de búsquedas de DLLs se dirija al
directorio del sistema antes que al directorio de trabajo
actual o al directorio de perfil de usuario.

Esto, en combinación con el muy criticado comportamiento de
Safari de descargar archivos directamente en el escritorio
sin preguntar antes de hacerlo, es lo que crea el problema de
seguridad.

De este modo, si al navegar con Safari se llena el escritorio
con un montón de DLLs de Internet Explorer modificados
maliciosamente, podría provocarse fácilmente una infección de
todo el sistema cuando Internet Explorer sea abierto por el
usuario.

Según los informes, este inusual proceso de cargas de DLLs se
produce en Internet Explorer 6 y 7, y también en las
versiones beta de la próxima versión 8, tanto en Windows XP
como Vista.

El especialista en seguridad Liu Die Yu, ha liberado el
código de un exploit que causa que el bloc de notas sea
abierto cuando se inicia Internet Explorer (hasta ahora solo
se conocía un video demostrativo).

Liu también proporciona una página conteniendo una prueba de
concepto, la que graba un archivo llamado "schannel.dll" en
el escritorio cuando es visitada usando Safari. Normalmente,
esta biblioteca contiene las funciones para una comunicación
segura vía SSL/TLS. Si la misma estuviera infectada, o
directamente fuera un malware, todo el sistema se vería
comprometido cuando Internet Explorer fuera abierto por el
usuario.

Puesto que actualmente no son muchos los que navegan con
Safari en Windows, el problema es relativamente limitado en
cuanto a su escala. Los usuarios afectados deberían seguir el
consejo de Microsoft, y definir una carpeta de descargas de
Safari diferente a la predeterminada (menú "Edit",
"Preferences", y en "Save Downloaded Files to:", seleccionar
una carpeta diferente al escritorio para la descarga).

Firefox también guarda los archivos descargados en el
escritorio por defecto, pero se le pregunta al usuario antes
de hacerlo.


* Referencias:

Design Flaw in Windows Internet Explorer Allows Remote Code
Execution From Safari for Windows
http://liudieyu0.blog124.fc2.com/blog-entry-1.html

Ataque combinado, no solo Safari es culpable
http://www.vsantivirus.com/03-06-08.htm

Microsoft advierte sobre amenaza provocada por Safari
http://www.vsantivirus.com/02-06-08.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Apple publica Safari 3.1.2 que soluciona vulnerabilidad

Mensaje por Gaillimh el Lun Jun 23, 2008 9:43 am

VSantivirus No 2744 Año 11, lunes 23 de junio de 2008
_____________________________________________________________

Apple publica Safari 3.1.2 que soluciona vulnerabilidad
_____________________________________________________________

http://www.vsantivirus.com/vul-apple-safari-200608.htm

Apple publica Safari 3.1.2 que soluciona vulnerabilidad

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Apple publicó Safari 3.1.2, el cuál soluciona el problema de
seguridad que permite la ejecución sin ninguna advertencia al
usuario de archivos descargados de Internet, basado en la
configuración de zonas de IE. Esto puede permitir a un
atacante remoto ejecutar código de forma arbitraria en un
sistema vulnerable.

Safari es un navegador web disponible para plataformas OS X y
Microsoft Windows. La versión para Windows modifica su
comportamiento basado en la seguridad de las zonas de
Internet Explorer.

Safari consulta uno de los registros de las zonas de
seguridad de Internet Explorer, y de acuerdo a su estado,
puede ejecutar o no los archivos descargados de Internet.

Para los sitios de confianza y la zona Intranet local en los
sistemas 6 de IE, el valor de este registro está a cero, lo
que indica que la acción está permitida. Un valor diferente a
cero en la zona de Internet, indica al programa que no deben
ejecutarse al ser descargados, sin embargo Safari ignora ese
valor y permite su ejecución.

En los sistemas 7.x de IE, el valor es uno para la zona de
sitios de confianza, y cero para la zona Intranet local, lo
que indica en el primer caso, que debe mostrarse la
advertencia que se van a iniciar aplicaciones y archivos
inseguros.

De todos modos Safari ejecuta automáticamente los archivos
descargados en otras zonas, si la configuración "Iniciación
de aplicaciones y archivos inseguros" está ajustada para
"permitir".

Un atacante podría aprovecharse de este problema para la
ejecución de malware, mediante la visita a un sitio web
modificado maliciosamente. Para que el ataque tenga éxito, la
víctima debería estar utilizando Safari para navegar.

A los usuarios de Safari se recomienda actualizarse a la
versión 3.1.2 para Windows.


* Referencias:

About the security content of Safari 3.1.2 for Windows
http://support.apple.com/kb/HT2092

Vulnerability Note VU#127185
Apple Safari automatically executes downloaded files based on
Internet Explorer zone settings
http://www.kb.cert.org/CERT_WEB/services/vul-notes.nsf/id/127185


* Relacionados:

Sobre las zonas de seguridad en Windows
http://www.vsantivirus.com/zonas-ie.htm

Revelan detalles de una vulnerabilidad no solucionada
http://www.vsantivirus.com/18-06-08.htm

Ataque combinado, no solo Safari es culpable
http://www.vsantivirus.com/03-06-08.htm

Microsoft advierte sobre amenaza provocada por Safari
http://www.vsantivirus.com/02-06-08.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Se actualiza por fin la vulnerabilidad “compartida” entre Safari y Windows

Mensaje por Gaillimh el Miér Jun 25, 2008 12:04 pm

Hispasec - una-al-día 24/06/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Se actualiza por fin la vulnerabilidad “compartida” entre Safari y Windows
--------------------------------------------------------------------------

Apple ha publicado recientemente una nueva actualización del navegador
web Safari para Windows (versión 3.1.2), en la que se corrigen cuatro
vulnerabilidades que podrían ser aprovechadas por atacantes remotos para
acceder a información sensible, causar una denegación de servicio o
ejecutar código arbitrario en un sistema vulnerable. Una de ellas,
resulta un problema compartido entre el sistema operativo de Microsoft
y el navegador de Apple.

A continuación se explican con más detalle las vulnerabilidades y cómo
se han solventado:

* El primer problema se trata de una vulnerabilidad en el tratamiento
de imágenes BMP y GIF descubierta por Gynvael Coldwind de Hispasec
Sistemas, y que podría permitir la revelación de información sensible
del usuario por parte de un atacante que crease una página web
especialmente manipulada. El fallo también ha sido corregido
recientemente en otros navegadores como Firefox y Opera. Se puede
consultar más información acerca del mismo en la sección de enlaces.

* El segundo fallo está causado por la forma defectuosa en la que WebKit
maneja los arrays JavaScript, lo que podría provocar una corrupción de
la memoria. Un atacante remoto podría causar una denegación de servicio
y conseguir la ejecución de código arbitrario si un usuario visita con
Safari una página web especialmente modificada.

* El tercer problema de seguridad podría permitir que un atacante remoto
ejecutase código arbitrario si se visita una página web maliciosa que
estuviera incluida en alguna de las zonas de confianza de Internet
Explorer. Cierto comportamiento de Safari podría depender de la
configuración de seguridad del navegador de Microsoft. Así si un sitio
web pertenece a alguna zona de IE 7 con la característica "Ejecutar
aplicaciones y archivos no seguros" habilitada o si está incluido en las
zonas "Intranet Local" o "Sitios de Confianza" en IE 6, entonces Safari
podría ejecutar de forma automática los archivos descargados desde este
sitio.

* El cuarto fallo corregido es el denominado como "Carpet Bomb", que
permitiría la descarga de archivos en el escritorio de forma automática
(sin preguntar al usuario) si se visita con Safari una web maliciosa.
Un atacante podría descargar numerosos archivos automáticamente en el
escritorio hasta "bombardearlo". Con respecto a esta vulnerabilidad, ha
surgido cierta controversia. Para Safari, la descarga automática suponía
una funcionalidad. Pero ha resultado que un ataque combinado ("blended
attack") que se aprovechase de esta vulnerabilidad junto con otra
"funcionalidad" de Internet Explorer, podría causar la ejecución de
código arbitrario en un sistema no parcheado. Ninguno de los dos
navegadores es responsable en solitario, pero juntos, conforman una
vulnerabilidad con cierto peligro.

La "funcionalidad" de IE es una vieja conocida. Cuando se ejecuta
Internet Explorer, éste carga una serie de DLLs fundamentales para su
funcionamiento en un orden "extraño". El problema está en que a las
funciones que realizan dicha carga en memoria no se les especifica la
ruta completa donde buscar estas librerías. Bajo ciertas circunstancias,
las DLLs podrían ser cargadas desde la carpeta SYSTEM32 o desde el
directorio actual de trabajo (que podría ser el escritorio de Windows
si el icono de IE está emplazado allí y se ejecuta desde ahí).

La secuencia del ataque combinado constaría de estos dos pasos:
1: Si se visita con Safari una página web maliciosa se podrían descargar
sin aviso cualquier archivo en el escritorio.
2: Si el nombre de uno de estos archivos coincidiera con el de alguna de
las DLLs que necesita IE, entonces se cargaría de forma automática la
próxima vez que se iniciase el navegador Internet Explorer. Safari
proporciona la "descarga" y IE la "ejecución" en esta vulnerabilidad
compartida.

Según Aviv Raff, el investigador que descubrió esta vulnerabilidad en
Internet Explorer en 2006, las DLLs sqmapi.dll, imageres.dll o
schannel.dll podrían ser aprovechadas para disparar el ataque. A pesar
de que no hay constancia de que el problema esté siendo aprovechado en
la actualidad, si existen pruebas de concepto disponibles.

Apple no consideró en un principio que el fallo denominado como "Carpet
Bomb" fuera una vulnerabilidad. Es una funcionalidad que arrastra desde
hace años. Ahora ha rectificado y la nueva versión de Safari para
Windows (v.3.2.1) contiene una serie de modificaciones que ayudarían a
solventar el problema. El navegador ha incluido un cuadro de diálogo
antes de iniciar cualquier descarga, ya no se bajaría nada de forma
automática si se activa la opción de "preguntar siempre" (always
prompt). Además, el escritorio dejaría de ser el sitio de descarga por
defecto. Ahora sería la carpeta "Descargas" en Windows Vista y "Mis
Documentos" en Windows XP. Por último, en el nuevo Safari ya no se
ejecutará de forma automática ninguno de los archivos descargados, ni
siquiera los que vengan de sitios incluidos en las zonas de confianza de
Internet Explorer.

Por otra parte, el investigador Billy Rios ha dado a conocer la
existencia de otro tipo de ataque, combinando el "Carpet Bomb" de Safari
junto con una posible vulnerabilidad de Mozilla Firefox, y que podría
servir para robar archivos del sistema de archivos local de un usuario.
Rios afirma que el equipo de Mozilla ya trabaja para corregir el fallo y
se niega a aportar más detalles acerca del mismo, aunque apunta que
algunas de las nuevas características de seguridad de Firefox 3 hacen
que sea menos vulnerable que su predecesor.

Se recomienda actualizar a la versión 3.1.2 de Safari para Windows
disponible a través de las actualizaciones automáticas de Apple, o para
su descarga manual desde:
http://www.apple.com/support/downloads/safari312forwindows.html

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3531/comentar

Más información:

About the security content of Safari 3.1.2 for Windows
http://support.apple.com/kb/HT2092

Vulnerability Note VU#127185: Apple Safari automatically executes downloaded files based on Internet Explorer zone settings
http://www.kb.cert.org/vuls/id/127185

Microsoft Security Advisory (953818): Blended Threat from Combined Attack Using Apple’s Safari on the Windows Platform
http://www.microsoft.com/technet/security/advisory/953818.mspx

Billy (BK) Rios on Safari, hunting Firefox…
http://xs-sniper.com/blog/2008/06/20/bk-on-safari-hunting-firefox/

Internet Explorer 7 - Still Spyware Writers Heaven
http://aviv.raffon.net/2006/11/01/InternetExplorer7StillSpywareWritersHeaven.aspx

Safari for Windows Proof of Concept (Incident in June 2008)
http://liudieyu.com/iesafari200806.2885391780966027/

04/06/2008 Ejecución remota de código por medio de Safari en Windows Vista y XP
http://www.hispasec.com/unaaldia/3511

11/05/2008 Análisis de la vulnerabilidad en el tratamiento de imágenes en múltiples navegadores
http://www.hispasec.com/unaaldia/3487


Pablo Molina
pmolina@hispasec.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Actualización de seguridad de Apple Safari para Mac OS X

Mensaje por Gaillimh el Jue Jul 03, 2008 8:46 pm

Hispasec - una-al-día 02/07/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Actualización de seguridad de Apple Safari para Mac OS X
--------------------------------------------------------

Apple ha aprovechado el último día del mes de Junio para lanzar una
actualización de seguridad para su navegador Safari (versión 3.1.2 para
Mac OS X) que solventa una vulnerabilidad que podría ser aprovechada por
un atacante remoto para causar una denegación de servicio o ejecutar
código arbitrario.

Safari es un popular navegador web desarrollado por Apple, incluido en
las sucesivas versiones de Mac OS X y del que también existen versiones
oficiales para Windows XP y Vista. Durante los últimos meses se ha
ofrecido la descarga de Safari junto con las actualizaciones periódicas
de iTunes, el gestor de archivos multimedia de Apple.

Recordamos que la versión 3.1.2 para Windows lleva disponible desde el
pasado 19 de Junio. A pesar de que normalmente ambas versiones salen a
la vez, en este caso Apple decidió lanzar antes la revisión de su
navegador para los sistemas operativos de Microsoft; posiblemente
atendiendo a la necesidad de solventar el problema denominado como
"Carpet Bomb", en parte debido a la presión ejercida desde la comunidad
internacional. Véase, entre otras, la alerta de seguridad publicada por
Microsoft en la que se recomendaba "restringir el uso de Safari como
navegador web hasta que estuviera disponible una actualización".

La única vulnerabilidad corregida está causada por la forma defectuosa
en la que WebKit maneja los arrays JavaScript, lo que podría provocar
una corrupción de la memoria. Un atacante remoto podría causar una
denegación de servicio y conseguir la ejecución de código arbitrario si
un usuario visita con Safari una página web especialmente modificada.
Ésta vulnerabilidad es una de las cuatro solventadas en la última
actualización de Safari para Windows.

Se recomienda actualizar a la versión 3.1.2 de Safari para Mac OS X
disponible a través de las actualizaciones automáticas de Apple, o para
su descarga manual desde:
http://www.apple.com/support/downloads/safari312fortiger.html

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3539/comentar

Más información

About the security content of Safari 3.1.2 for Mac OS X 10.4.11
http://support.apple.com/kb/HT2165

Microsoft Security Advisory (953818): Blended Threat from Combined
Attack Using Apple's Safari on the Windows Platform
http://www.microsoft.com/technet/security/advisory/953818.mspx

24/06/2008 Se actualiza por fin la vulnerabilidad "compartida" entre
Safari y Windows
http://www.hispasec.com/unaaldia/3531


Pablo Molina
pmolina@hispasec.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Re: Apple publica Safari 3.1.2 que soluciona vulnerabilidad

Mensaje por Contenido patrocinado


Contenido patrocinado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.