Archivos de la categoría ‘14.Updates/ Releases’

Ya nos puedes seguir TWITTER y asi podras mantenerte informado y actualizado sobre todo lo que a informatica y seguridad se refiere.

Adobe ha publicado una actualizacion para corregir multiples vulnerabilidades  en Adobe Shockwave Player 11.5.6.606 y versiones anteriores, tanto en sistemas operativos Windows como Macintosh. Explotar estas vulnerabilidades podria ocacionar la ejecucion de codigo arbitrario en los equipos afectados.

Original release date: May 12, 2010

vulnerabilidades relacionadas.

Security update available for Shockwave Player

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: us-cert.org

El US-CERT Cyber Security bulletin contiene un resumen de las nuevas vulnerabilidades que han sido registradas por el Instituto Nacional de Estándares y Tecnología (NIST) y por la Base de Datos Nacional de la vulnerabilidad (NVD) durante la semana pasada. El NVD está patrocinado por el Departamento Homeland Security (DHS) de la División Nacional de Seguridad Cibernética (NCSD) / y el Equipo de Preparación de Emergencia Informática de los Estados Unidos (US-CERT).

Las vulnerabilidades se basan en el estandar CVE y están organizadas de acuerdo a la gravedad, determinada por la puntuación de la vulnerabilidad del sistema común (CVSS) . La división de alta, media y baja gravedad se corresponden con los siguientes resultados:

  • HIGH (Alto) – Las vulnerabilidades serán etiquetados de alta gravedad si tienen un CVSS base de puntuación de 7,0 – 10,0
  • MEDIUM (Media) – Las vulnerabilidades serán etiquetados Medio gravedad si tienen un CVSS base de puntuación de 4,0 – 6,9
  • LOW (Mínima) – Las vulnerabilidades serán etiquetados de baja gravedad si tienen un CVSS base de puntuación de 0,0 – 3,9

Algunas de las vulnerabilidades que aparecen en el resumen ya las hemos informado con anterioridad en este blog.

VER Vulnerability Summary for the Week of April 19, 2010

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: us-cert.org



Adobe  libero, el 13 de abril, un boletin de seguridad para resolver vulnerabilidades que afectan tanto a Adobe Reader como Acrobat.

Security update available for Adobe Reader and Acrobat

SW afectados:

  • Adobe Reader 9.3.1 y versiones anteriores para Windows, Macintosh y UNIX
  • Adobe Acrobat 9.3.1 y versiones anteriores para Windows y Macintosh

fuente: adobe.com | us-cert.org


Microsoft ha publicado once boletines de seguridad (del MS10-019 al MS10-029) correspondientes a su ciclo habitual de actualizaciones.

MICROSOFT SECURITY BULLETIN – APRIL 2010

Los boletines “críticos” son:

* MS10-019: Actualización para corregir dos vulnerabilidades en la comprobación de código de autenticación de Windows que podría permitir la ejecución remota de código. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-020: Actualización para corregir cinco vulnerabilidades que podrían permitir la ejecución remota de código si un atacante envía una respuesta SMB especialmente creada a una petición de cliente SMB. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-025: Actualización para corregir una vulnerabilidad que podría permitir la ejecución remota de código en Servicios de Windows Media en Microsoft Windows 2000 Server.

* MS10-026: Actualización para corregir una vulnerabilidad en los códecs de audio MPEG Layer-3 de Microsoft. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo AVI especialmente diseñado que contenga una secuencia de audio MPEG Layer-3. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

* MS10-027: Actualización para corregir una vulnerabilidad de ejecución remota de código en el control ActiveX de Reproductor de Windows Media. Afecta a Microsoft Windows 2000 y Windows XP.

Los boletines  “importantes” son:

* MS10-021: Esta actualización de seguridad resuelve ocho vulnerabilidades en el kernel de Windows que podrían permitir la elevación de privilegios local. Cinco de las vulnerabilidades corregidas fueron reportadas por Matthew “j00ru” Jurczyk y Gynvael Coldwind, de Hispasec. Afecta a Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-022: Se trata de una actualización de seguridad para resolver una vulnerabilidad en VBScript de Windows que podría permitir la ejecución remota de código. Afecta a Windows 2000, Windows XP y Windows Server 2003.

* MS10-023: Boletín destinado a corregir una vulnerabilidad en Microsoft Office Publisher que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de Publisher especialmente diseñado.

* MS10-024: Actualización destinada a corregir dos vulnerabilidades en en Microsoft Exchange y en el servicio SMTP de Windows.

* MS10-028: Actualización que soluciona dos vulnerabilidades en Microsoft Office Visio que podrían permitir la ejecución remota de código si un usuario abre un archivo de Visio especialmente diseñado.

Por último, la vulnerabilidad considerada como “moderada”:

* MS10-029: Actualización publicada para evitar una vulnerabilidad en el componente ISATAP de Windows que podría permitir que un atacante suplantara una dirección IPv4. Esto podría ser empleado por un atacante para pasar por alto dispositivos de filtrado que se basen en la dirección IPv4 de origen. Afecta a Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft. Dada la gravedad de las vulnerabilidades, desdeVulnerability Team, exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.se recomienda la actualización de los sistemas con la mayor brevedad posible.

fuente: microsoft.com | securityfocus.com

El boletin “critico” de actualizaciones de Oracle contiene la resolucion para 47 vulnerabilidades en varios  de los productos y componentes ligados a Oracle. Este boletin provee informacion sobre los componentes afectados, acceso y autorizacion necesarios para explotar las vulnerabilidades asi como tambien el impacto que produciria sobre la confidencialidad, integridad y disponibilidad de los datos.

Oracle Critical Patch Update Advisory – Abril 2010

Vulnerabilidades

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: oracle.com | us-cert.org

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan 11 boletines de seguridad. Cinco de los boletines han sido catalogados como criticos que afectan a Microsoft Windows, mientras que el resto de los 6 boletines estan catalogados de severidad importante o moderada y afectan a Microsoft Windows, Office, y Exchange. Este boletin se publicará el proximo martes 13 de abril.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

Microsoft Security Bulletin Advance Notification

fuente: us-cert.org | microsoft.com