Se han reportado múltiples vulnerabilidades en Mambo, las cuales podrían explotarse para efectuar ataques de inyección de SQL o “HTTP response splitting attacks”.

Versiones Afectadas
Estas vulnerabilidades afectan  a la versión 4.6.3 de Mambo y a todas las versiones 4.6.x anteriores.
Read more »

Existen múltiples reportes sobre un nuevo vector de ataque mediante archivos SWF maliciosos (películas de Shockwave Flash), que tiene como objetivo dispositivos de redes que soportan UPnP (Universal Plug and Play). Esto incluye muchos routers utilizados hoy día.

El servicio “Universal Plug and Play” (UPnP), es una colección de protocolos que permiten el reconocimiento y conexión de diferentes dispositivos a la red, incluso inalámbricos, y aún cuando la misma no esté configurada.

Básicamente UPnP obtiene la información del nuevo hardware que puede ser detectado e instalado, sin necesidad de una conexión física con la computadora que lo utiliza, mientras informa de sus funciones y capacidades de procesamiento a los demás.
Read more »

Basándose en un trabajo de Adrian Crenshaw, Aaron Weaver ha publicado un artículo en el cual detalla una técnica que nos permitiría tomar cierto control de las impresoras de red y haciendo uso de un poco de código JavaScript en una web maliciosa o vulnerable, podríamos iniciar trabajos de impresión, enviar comandos PostScript y en algunos casos enviar hasta faxes, pudiendo así utilizarlas entre otras cosas para realizar SPAM, Phishing y todo lo que a uno se le pueda ocurrir.
Read more »

Según informa Lostmon Lords en su blog, un desbordamiento de búfer en el componente GDI (motor de gráficos) de Windows, provocaría un fallo en Windows MSN Live, que permitiría la ejecución de código arbitrario o en una denegación de servicio (DoS).
Read more »

Se ha reportado una vulnerabilidad relacionada con Acrobat Reader y posiblemente otros lectores PDF, que podría ser utilizada para tomar el control completo del sistema a través de un documento maliciosamente construido.

Debido a que la explotación de este fallo podría hacerse de manera totalmente transparente para el usuario, por ejemplo al hacer clic en un enlace a un archivo PDF embebido en una página Web, no se han publicado pruebas de concepto ni se han revelado detalles del problema.
Read more »

La nueva herramienta para la creación de presentaciones de Google deja al descubierto las cuentas de los usuarios de Google.

La vulnerabilidad se produce tanto si estás mirando la presentación como si no. En su blog Zorgloob, TomHTML ha explicado el problema de forma sencilla: “Lo que ocurre es que las presentaciones creadas por la herramienta de Google contienen por defecto un espacio para la discusión basado en Google Talk. Cualquiera que tenga una cuenta Google y haya alguna vez participado en el chat, aparecerá automáticamente en la presentación cada vez que se inicie esta, dejando al descubierto su dirección. La única forma de evitar que vuestra información sea visible es desconectaros de vuestra cuenta Google cuando naveguéis por Internet. Otra opción es desactivar las cookies, aunque esta opción no es tan fiable”.
Read more »

Conectarse a las cuentas de MySpace de otros usuarios es verdaderamente fácil, opina el hacker Rick Deacon, quien lo ha hecho en reiteradas oportunidades.

Deacon trabaja como especialista en seguridad TI en una compañía de California, EEUU. En una charla pronunciada en la conferencia de seguridad Defcon 15, en Las Vegas, EEUU, el hackcer explicó lo fácil que es intervenir las cuentas de usuarios de redes sociales como MySpace y FaceBook.

“No soy ni especialista en programación ni guru de seguridad informática”, comentó Deacon, agregando que “Sólo se algo de XSS (Cross-Server Scripting) y he investigado sobre el tema”.
Read more »

Este martes (19/06/07), Microsoft solucionó un error en la registración de Windows Live Messenger, que permitía a sus usuarios ingresar direcciones electrónicas falsas.

Estas direcciones, podían ser utilizadas para identificarse en el programa, usurpando la dirección de otras personas, y haciéndose pasar por ellas.
Read more »

Numerosos foros y sitios de seguridad, mayormente en español, han reportado la existencia de un importante error en los servicios de correo de Hotmail, que permiten a un atacante obtener las credenciales de acceso de su víctima.

Cómo informa el blog de Segu-info.com.ar (http://seguinfo.blogspot.com/2007/03/hotmail-vulnerable-demo.html), el agujero aún sigue abierto, y en numerosos sitios de Internet se pueden localizar los archivos necesarios para el exploit, y utilizarlo sin tener demasiado conocimiento en el tema.
Read more »

Hace unas horas atras Matthew Mullenweg, creador de Wordpress, uno de los CMS para bloggers mas distribuidos en la actualidad, informo que un “cracker” logro ganar acceso en uno de los servidores utilizados por Wordpress.org y modifico el archivo de descarga de la version 2.1.1, la ultima hasta hace unos dias, y habria añadido un pequeño codigo para permitir la ejecucion remota de comandos mediante inclusion de archivos, mejor conocido por sus siglas en ingles como RFI (Remote File Inclusion).
Read more »