Mostrando mensaje 1726     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No 2674 Año 11, viernes 28 de marzo de 2008 Fecha: Viernes, 28 de Marzo, 2008  04:59:09 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No 2674 Año 11, viernes 28 de marzo de 2008 _____________________________________________________________ Para Secunia, los dos fallos de Safari son críticos _____________________________________________________________ http://www.vsantivirus.com/28-03-08.htm Para Secunia, los dos fallos de Safari son críticos Por Angela Ruiz angela@videosoft.net.uy Según publica Secunia, los dos fallos de seguridad encontrados en la versión para Windows del navegador Safari de Apple, son "altamente críticos". La versión 3.1 del navegador fue liberada hace poco más de una semana, y además se ofrece su descarga e instalación casi de forma compulsiva, a usuarios de otros productos de Apple, como QuickTime e iTunes. Sobre este tema hicimos un comentario hace unos días (ver "Relacionados"). Veinticuatro horas después de ese artículo, nos hacíamos eco de un fallo en Safari que podía provocar una denegación de servicio. Casi al mismo tiempo, se reveló una vulnerabilidad que afecta la barra de direcciones del programa, permitiendo a un delincuente llevar a cabo ataques de spoofing con direcciones falsas. Ambas vulnerabilidades fueron descubiertas por el investigador argentino Juan Pablo Lopez Yacubian. Como el problema de la denegación de servicio se debe a una corrupción de la memoria utilizada por el programa, existen probabilidades de que la vulnerabilidad sea explotada para la ejecución de código. Sin embargo, Secunia no ha establecido que ello sea posible, ni tampoco lo confirma Yacubian. De todos modos, para Secunia ambas vulnerabilidades son "muy críticas", según su aviso de seguridad. El problema del spoofing, es un fallo ideal para ataques de phishing, ya que se puede suplantar la dirección web de un sitio conocido. El usuario puede creer que está ingresando a su banco, cuando en realidad accede a un sitio malicioso que le robará sus credenciales de acceso y datos de su tarjeta electrónica. Si explotando la segunda vulnerabilidad se lograra ejecutar código, la simple visita a un sitio web podría instalar en el equipo de la víctima un keylogger o cualquier otro programa malicioso. Sin embargo, la base de usuarios de Safari en todo el mundo es muy pequeña aún como para que "los malos" se decidan a explotar estos problemas a gran escala. Sin embargo el riesgo existe y es muy real. Apple no ha comentado nada al respecto, y por lo tanto tampoco existen actualizaciones disponibles que corrijan el problema. Por fortuna, en este caso al menos, no basta con tener instalado Safari para ser vulnerable. Hay que utilizar el navegador para ser víctima de los ataques mencionados. * Referencias: Safari Address Bar Spoofing and Memory Corruption Vulnerabilities http://secunia.com/advisories/29483/ * Relacionados: Denegación de servicio en Apple Safari 3.1 http://www.vsantivirus.com/vul-safari31-240308.htm Instalación obligatoria de Safari. ¡Mala idea! http://www.vsantivirus.com/24-03-08.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Mantenga actualizado su programa antivirus. De poco vale tener un antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. De todos modos, hoy en día las actualizaciones de la mayoría de los fabricantes son diarias y automáticas. Si tiene un producto que no se actualiza automáticamente, piense seriamente en cambiarlo. 2) No abra ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Tampoco haga clic en enlaces sugeridos en aquellos correos o mensajes instantáneos que no solicitó. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Manténgase informado de cómo operan los virus, y de las novedades sobre éstos, alertas y anuncios críticos, en sitios como el nuestro. 4) No descargue nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceda como con los archivos adjuntos. Cópielos a una carpeta y revíselos con su antivirus debidamente actualizado, antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.eset.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No 2674 Año 11, viernes 28 de marzo de 2008