Como es habitual el segundo martes de cada mes, sale a la luz el boletín mensual de actualizaciones de Microsoft, mediante el cual podemos mantener nuestro equipo al día. En esta ocasión serán publicados 9 boletines de seguridad, 8 de los cuales afectan a Windows en general, el otro afectará a Office, Visual Studio, BizTalk Server e ISA Server. También será actualizado Microsoft Windows Malicious Software Removal Tool, como cada mes, y serán publicadas actualizaciones con prioridad alta sin relación con la seguridad.

Otro aspecto importante referente a este boletín de Microsoft es que tras haber inhabilitado Office Update y Office Update Inventory Tool el pasado 1 de Agosto, todas aquellas actualizaciones referentes al paquete de software Office se realizará a través de Microsoft Update. Si quieres mantener tu equipo al día, no dudes en utilizar estos boletines mediante los cuales podrás corregir los fallos de tu sistema operativo y prevenir cualquier problema relacionado principalmente con la seguridad.
Fuente: Hispasec

Parece que la fundación Mozilla ha decidido acallar todas las voces que hablaban de su “0 day” publicando en un tiempo record una actualización, mediante la cual queda reparado el el problema de seguridad relacionado con el motor de JavaScript. Con Firefox 3.5.1 no solo se soluciona un bug, sino que mejora el arranque de la aplicación en Windows, la estabilidad y el rendimiento de la aplicación. El navegador, uno de los que más crecimiento ha tenido en los últimos años vio de cierta manera forzada su salida hará cuestión de un mes, ya que prácticamente toda su “posible competencia” había actualizado el software logrando una generación de navegadores nunca antes vista y que abarca cuatro grandes nombres del mundo del software: Safari, Opera, Internet Explorer y Google Chrome.

Esta actualización está considerada crítica por lo que recomendamos la instalación inmediata del software a todos aquellos que hayan apostado por la nueva versión de Firefox, ya sea directamente desde el navegador o descargándolo desde el directorio de descargas de Malavida.com
Fuente: CNET

Microsoft parece que nunca aprenderá de los errores, ya que tras la actualización del pasado martes, con la cual se suponía que todos los fallos graves de seguridad quedarían corregidos, aún han quedado fallos por corregir, los cuales pueden ser explotados por cualquier usuario malintencionado. De las 6 actualizaciones (con las cuales se corregían 9 fallos), tres reparaban fallos en Windows, mientras que las otras 3 eran para Publisher, Internet Security y Acceleration Server. Pero Microsoft ha olvidado la vulnerabilidad de en los controles ActiveX, cuyo exploit se hizo público el lunes y el cual puede afectar a cualquier usuario.

Todavía no se sabe si Microsoft publicará un parche para esta vulnerabilidad o tendremos que esperar hasta dentro de un mes para ver si deciden publicar una solución a un problema que debería resolverse cuanto antes, dado su caracter crítico. Mientras tanto, es aconsejable limitar el uso de cualquier elemento ActiveX, para evitar cualquier problema en nuestros equipos.
Fuente: ComputerWorld

El refranero dice que nunca es tarde si la dicha es buena, pero en el mundo de la informática seis meses pueden convertirse en toda una eternidad. Este es el tiempo que ha tardado Apple en corregir unos errores de Java que Sun solucionó para Windows y Linux en el mismo momento en el que se dieron a conocer, y que en cambio la compañía de la manzana ha tardado medio año en solucionar. Si activáis la herramienta de actualización del sistema veréis que aparece una descarga de seguridad de 156 MB que Apple recomienda porque dará “una mayor fiabilidad, seguridad y compatibilidad a Java SE 6, J2SE 55.0 y J2SE 1.4.2 en Mac OS X 10.5.7 y posteriores”. Bajo la palabrería típica de la compañía, lo que se esconde es la solución a las 32 vulnerabilidades que arrastraba el sistema desde enero. No es la primera vez que Apple arregla problemas de seguridad con seis meses de retraso. Ni, desgraciadamente, será la última.

Fuente: Pocket-lint

Como cada segundo martes de mes, Microsoft publicará hoy su boletín mensual de actualizaciones y, en esta ocasión, las novedades llegarán principalmente para la suite ofimática Office, especialmente para la aplicación PowerPoint. Un parche categorizado como crítico mejorará las prestaciones y la seguridad tanto de Powerpoint como de Powerpoint Viewer. Microsoft ya había informado de la existencia de una vulnerabilidad en Powerpoint que permitía a un atacante externo ejecutar código arbitrariamente gracias a un archivo para Powerpoint manipulado, y que ya había sido utilizado por algunos atacantes.

Además, y como en cada boletín de seguridad, Microsoft actualizará su herramienta anti-malware Microsoft Windows Malicious Software Removal Tool. Tras esta actualización no quedará ninguna vulnerabilidad (al menos conocida) por reparar en Windows. Otros fallos, encontrados en Internet Explorer a lo largo de los últimos meses, verán su fin con el lanzamiento de los siguientes Service Packs.

Google entró hace un año en el mundo de los navegadores con Chrome, un navegador gratuito basado en WebKit con una interfaz de usuario realmente sencilla. Hoy ha sido llegado a la versión 1.0.154.59 (que se actualizará automáticamente en aquellos equipos con Chrome instalado), reparando un agujero de seguridad importante detectado el 8 de Abril y que permitía ataques externos gracias a JavaScript no autorizado y que podían derivar en casos de phising (robo de identidad). El problema se debe a un fallo de Chrome en la gestión de direcciones URL, un atacante externo podía ejecutar código a su elección desde cualquier web.
Si un usuario accedía a una web manipulada para este fin desde Internet Explorer, este podía provocar que Google Chrome arrancara, abriera varias pestañas y cargara scripts que redirigiera al navegador a una web elegida por el atacante. Estos ataques solo podían producirse siempre y cuando Chrome no estuviera siendo ejecutado. Muchos otros navegadores también han estado sufriendo actualizaciones debido a agujeros de seguridad, ¿será que la lucha por el dominio del mercado está haciendo que los desarrolladores no puedan acabar bien su trabajo?

Como viene siendo habitual el segundo martes de cada mes, Microsoft publica su boletín mensual de actualizaciones. En el boletín de Abril, Microsoft corregirá 8 fallos de seguridad encontrados en Windows, Excel, ISA e Internet Explorer, cinco de estas correcciones están catalogadas como críticas, dos como importantes y otra como moderada. Uno de los fallos de seguridad más importante de los que serán corregidos, es el encontrado a finales de febrero y que tenía relación con Excel (que permitía ejecutar código de manera remota gracias a archivos manipulados para este fin). Ha quedado en el aire si el otro agujero de seguridad relacionado con Office, descubierto a principios de este mes y relacionado con Powerpoint, será corregido en esta actualización o tendremos que esperar al segundo martes de Mayo. Además de corregir los fallos de seguridad, Microsoft también actualizará Microsoft Windows Malicious Software Removal Tool, añadiendo a su base de datos nueva información sobre virus.

La fundación Mozilla ha publicado la versión 3.08 de su navegador Firefox, la cual corrige el problema de seguridad del que ya os hablamos la semana pasada, un exploit 0-Day que afectaba a todas las versiones 3.x del programa, en todos los sistemas operativos. Los errores que corrige esta actualización son la vulnerabilidad de transformación MFSA 2009-12 XSL y la ejecución de codigo externo a través de elementos XUL. Si sois usuarios de Firefox, podréis comprobar que al arrancar el navegador se os ofrecerá una actualización del programa y sólo será necesario aceptar para actualizar a la última versión, siendo necesario también la descarga de las nuevas versiones de los complementos que tengamos instalados. También podéis descargar la versión 3.08 de Firefox directamente desde Malavida.com

El viernes de la semana pasada informábamos acerca de una vulnerabilidad encontrada en los archivos PDF, la cual podía permitir el acceso a nuestro sistema a través de la metadata de estos archivos. Este problema, al que tras conocerse no se le dio el grado de gravedad necesario, se ha convertido en un auténtico dolor de cabeza para todas las empresas que desarrollan y distribuyen software para la creación y lectura de archivos PDF, y se han apresurado ha corregir las vulnerabilidades de su software. Adobe y Foxit, dos de las empresas lideres del sector, ya han publicado las actualizaciones necesarias para solucionar el problema.

Adobe ha publicado la versión 9.1 de Reader (tanto para Windows cómo para Mac), que arregla el agujero de seguridad, y ha anunciado las actualizaciones para Adobe Reader 7 y 8 (Acrobat inclusive) para el próximo 18 de Marzo. En cuanto a Foxit, el lunes pasado publicó la versión 3.0 de su software y que corrige 3 vulnerabilidades consideradas críticas. Personalmente recomiendo la actualización de estos dos programas a todos los usuarios que utilicen archivos PDF, ya que puede ahorrarles un susto. Ambas versiones están disponibles para su descarga desde Malavida.com.
Fuente: The Washington Post

Cómo ya viene siendo habitual el segundo martes de cada mes, Microsoft publicará su boletín mensual de seguridad el cual está compuesto por 3 actualizaciones en esta ocasión, todas dedicadas a sus sistemas operativos Windows. Dos de estas actualizaciones han sido catalogadas cómo importantes y la otra cómo crítica, siendo sólo dos de las tres mejoras a publicar para Vista y XP. También será actualizado Microsoft Windows Malicious Software Removal Tool y será opcional la descarga de otras dos actualizaciones de alta prioridad no relacionadas con la seguridad. Para actualizar nuestro ordenador sólo deberemos seguir con las instrucciones de la aplicación Windows Update de nuestro sistema operativo y reiniciar el sistema para que los cambios sean aplicados, una vez seamos avisados de la disponibilidad de la actualización de seguridad.

Curiosamente, Microsoft no ha tenido tiempo de corregir el grave agujero de seguridad encontrado en Excel a finales del mes pasado y el cual está resultando un verdadero dolor de cabeza para muchas empresas en Asia, dado que ha sido reconocida un infección masiva de muchos equipos corporativos. Esta vulnerabilidad, de la que aún poco se sabe, se hace evidente tras la ejecución de un archivo de Excel manipulado, que permite tomar el control del equipo afectado. Suponemos que en cuanto Microsoft encuentre la solución la pondrá a disposición de los usuarios para que estos puedan proteger sus sistemas.