Charlie Miller no es ningún charlatán. Ya en 2007 encontró cómo ejecutar código en un iPhone simplemente visitando una web con Safari. También es responsable del fallo que permitía ejecutar código en iPhone a través de SMS, además de destapar muchos otros fallos de seguridad en Mac. A final de mes revelará 20 formas distintas de ejecutar código en un Mac de forma remota, y otras 10 vulnerabilidades en otros programas. Miller alega que Apple sigue sin tomarse en serio la seguridad, puesto que sus pruebas fueron realmente simples. De hecho lo ha llamado "Apple Hacking For Dummies."

Se han anunciado un total de nueve vulnerabilidades en Google Chrome, el navegador de Google. Un atacante remoto podría emplear estos problemas para evitar restricciones de seguridad, descubrir información sensible o comprometer un sistema vulnerable.

Microsoft y Adobe están trabajando conjuntamente en el proceso de actualizaciones de seguridad, posiblemente la firma de Redmond distribuya las actualizaciones de productos Adobe a través de Windows Update.

Se ha publicado una vulnerabilidad en MaxDB que podría permitir a un atacante remoto, sin necesidad de autenticación, ejecutar código arbitrario a través de paquetes TCP especialmente manipulados.

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 4 que solventa cinco vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, revelar información sensible o evitar determinadas protecciones de seguridad.

Se ha descubierto una vulnerabilidad en IBM HTTP Server 6.0 o 6.1 en sistemas Windows que podría ser aprovechada por un atacante para causar una denegación de servicio o comprometer los sistemas afectados.

Dentro del conjunto de boletines de seguridad de marzo publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-017) de una actualización importante para evitar siete vulnerabilidades en Microsoft Excel que podrían permitir a un atacante remoto ejecutar código arbitrario si un usuario abre un archivo Excel especialmente manipulado.

Apple ha publicado una actualización de seguridad para su navegador Safari (versión 4.0.5) que solventa diversas vulnerabilidades que podrían ser aprovechadas por un atacante remoto para conseguir información sensible, evitar restricciones de seguridad o ejecutar código arbitrario.

Se ha dado a conocer una vulnerabilidad en Skype (en todas las versiones previas a la 4.2.0.1.55 (v4.2 hotfix #1) para Windows), que podría ser aprovechada por un atacante para evitar restricciones de seguridad y descubrir información sensible.

Microsoft informa de una vulnerabilidad en el navegador Internet Explorer que podría permitir a un atacante remoto ejecutar código arbitrario, con los permisos del usuario, a través de un sitio web especialmente manipulado.

Este martes Microsoft ha publicado dos boletines de seguridad (MS10-016 y MS10-017) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft ambos boletines presentan un nivel de gravedad "importante". En total se han resuelto ocho vulnerabilidades.

No es la primera vez que ocurre, y por desgracia tampoco será la última. A través de una-al-día ya hemos informado en más de una ocasión sobre malware distribuidos es aplicaciones legalmente adquiridas; en esta ocasión y de forma casi simultanea se ha anunciado que Vodafone y Energizer han distribuido productos que incluían algo más que lo que el comprador esperaba.

OpenSuSE ha publicado una actualización para el kernel de OpenSuSE Linux 11 que corrige diversos problemas de seguridad.

Se ha confirmado la existencia de de una vulnerabilidad en el kit de desarrollo Autonomy KeyView que afecta a diversos fabricantes como Symantec o IBM.

Ya se encuentran editados los vídeos del Cuarto Día Internacional de la Seguridad de la Información DISI 2009 celebrado el 30 de noviembre de 2009 en la EUITT del campus sur de la Universidad Politécnica de Madrid, organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI y producidos por el Gabinete de Tele-Educación GATE de la UPM. Enlace a todos los vídeos y documentación de DISI 2009: http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2009

IBM ha confirmado la existencia de una vulnerabilidad en AIX 5.3 y 6.1 que soluciona un fallo que podría permitir a un atacante provocar condiciones de denegación de servicio.

Cisco ha confirmado la existencia de cinco vulnerabilidades de denegación de servicio en Cisco Unified Communications Manager (versiones 4.x, 5.x, 6.x y 7.x).

IBM ha puesto a disposición de los usuarios de Informix Dynamic Server una importante actualización de seguridad. Se han anunciado dos vulnerabilidades en IBM Informix Dynamic Server que podrían permitir la ejecución de código arbitrario.

Breve resumen de las novedades producidas durante el mes de febrero de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

Se ha confirmado la existencia de de una vulnerabilidad en IBM Lotus iNotes (Lotus Domino Web Access), por la que un atacante remoto podría comprometer los sistemas afectados.