NUEVA VULNERABILIDAD, Google Chrome ‘dtoa()’ Remote Code Execution Vulnerability

Google Chrome is prone to a remote code-execution vulnerability.

Successful exploits will allow an attacker to execute arbitrary code in the Chrome sandbox. Failed attacks may cause denial-of-service conditions.

NOTE: This issue is related to BID 35510 (Multiple BSD Distributions ‘gdtoa/misc.c’ Memory Corruption Vulnerability), but because of differences in the code base, it is being assigned its own record.

This issue affects versions prior to Chrome 3.0.195.24.

Published:    Sep 30 2009 12:00AM
Updated:       Oct 01 2009 04:00PM

REFERENCIA DE LA VULNERABILIDAD

GOOGLE REFERENCE

fuente: securityfocus.com

google-chrome

Anuncios

VULNERABILIDAD. Internet Explorer Unspecified Remote Code Execution Vulnerability

Internet Explorer is prone to an unspecified remote code-execution vulnerability.

This issue was demonstrated at the CanSecWest 2009 conference. Technical details are not yet available; we will update this BID as more information emerges.

Attackers can exploit this issue to execute arbitrary code in the context of the user running the browser. Successful exploits will compromise the application and possibly the computer. Failed attacks will cause denial-of-service conditions.

Published:       Mar 19 2009 12:00AM
Updated:     Mar 19 2009 04:26PM

REFERENCIA DE LA VULNERABILIDAD

fuente: securityfocus.com

ie81

Una vulnerabilidad en Gmail que Google prefiere ignorar

Un ingeniero español publica cómo explotar un agujero de seguridad que permite modificar la clave de acceso de un usuario sin su consentimiento.

Este Informático, ha decidido publicar cómo aprovechar un agujero de seguridad que encontró en Gmail para cambiar la contraseña de un usuario sin su consentimiento, con el consecuente peligro de robo de identidad y acceso a información confidencial que eso conlleva.

Asegura que informó a Google el 1 de agosto de 2007 y, tras una respuesta solicitando información adicional para analizar el problema y otra 15 días más tarde para informar que estaban trabajando en solucionarlo, el buscador no volvió a contactar con él hasta cinco meses después. El 18 de enero, Google contestó a uno de sus correos (en los que solicitaba información sobre el avance del parche para corregir el problema) indicando que el equipo de seguridad de Google no tenía pensado hacer modificaciones al respecto. “Consideramos estos argumentos insuficientes”, dijeron. Tras nuevos intentos de contacto para exigir un arreglo del problema, ayer decidió hacerlo público.

Como explica el propio informático, se trata de una vulnerabilidad del tipo CSRF, que permitiría a un atacante modificar la contraseña de un usuario de Gmail sin su conocimiento. El único modo para autentificar el usuario es mediante una cookie que es enviada automáticamente por el navegador en cada solicitud. Un atacante puede crear una página que incluye las solicitudes de la funcionalidad de Gmail de “Cambiar contraseña ” y modificar las contraseñas de los usuarios quienes, siendo autorizados, visitarían la página del atacante.

fuente: vnunet.es

gmaillogo


VULNERABILIDAD. Adobe Acrobat and Reader are prone to a remote code-execution vulnerability

Adobe Acrobat and Reader are prone to a remote code-execution vulnerability.

An attacker can exploit this issue to execute arbitrary code with the privileges of the user running the application or crash the application, denying service to legitimate users.

The issue affects Reader and Acrobat 9, 8.1.3 and prior, and 7.

REFERENCIA DE LA VULNERABILIDAD

PROOF OF CONCEPT DE LA VULNERABILIDAD

fuente: securityfocus

adobelogofull1