15 de enero de 2010

Un 0-day desconocido en Internet Explorer detrás de los ataques a grandes compañías

Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras.

  • En la investigación abierta descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar, además de docenas de cuentas de GMail
  • Finalmente, se tiene noticia de que al menos 34 grandes firmas han sido objeto de estos ataques, entre las que se cuentan, además de la misma Google: Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemical entre otras.
  • Los laboratorios de McAffe descubrieron una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario.
  • Microsoft ha publicado un aviso de seguridad en el que confirma la existencia de un error en Internet Explorer que permite, bajo ciertas circunstancias, el control de un puntero tras la liberación de un objeto.
  • Las versiones afectadas son la 6, 7 y 8 en los sistemas operativos Windows 2000, XP, Vista, 7, Server 2003 y Server 2008.

Fuente: Hispasec

Vulnerabilidad en diversas versiones de Zope

Anunciadas diversas vulnerabilidades Cross Site Scripting en una plantilla de error de Zope en varias versiones de Zope que podría ser explotada por un atacante remoto para construir ataques de cross site scripting.

  • Zope es un servidor de aplicaciones, escrito en lenguaje Python que posee una gran flexibilidad
  • Este servidor posee unas características novedosas (base de datos de "objetos", fácil extensibilidad, componentes) que unidas a su bajo precio (se trata de una solución "open source") lo convierten en objeto de deseo para desarrollos web.
  • Se ven afectadas las versiones de Zope anteriores a la 2.8.12, 2.9.12, 2.10.11, 2.11.6 o 2.12.3.
  • Se recomienda actualizar a cualquiera de estas versiones: http://www.zope.org/Products/Zope/

Fuente: Hispasec