Se ha encontrado una vulnerabilidad en IBM WebSphere Application Server (versiones 6.1.x y 7.x) que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.

Se ha publicado la versión 5.3.1 de PHP, que corrige seis vulnerabilidades de seguridad en el popular lenguaje, que podrían ser aprovechadas por un atacante remoto para saltarse restricciones de seguridad o provocar denegaciones de servicio.

Existe un error en los complementos de VirtualBox "Guest Additions" que permitirían a un atacante local sin privilegios del sistema virtualizado causar una denegación de servicio.

La potencia del UAC se muestra realmente cuando se utiliza una cuenta con privilegios limitados. Con UAC bien configurado, Windows se comporta de forma parecida a otros sistemas operativos que llevan años obligando al usuario (con éxito) a utilizar cuentas de usuario estándar: GNU/Linux y Mac OS.

Una de las tecnologías que Microsoft introdujo en Vista, el UAC (User Account Control), ha sido especialmente criticada y rechazada por la mayoría de los usuarios. Sin embargo, si se presta un poco de atención, se puede usar UAC como un gran adelanto en la seguridad y comodidad de Windows. Microsoft ha dado un paso interesante en la dirección correcta con UAC, pero los usuarios que se empeñan en usar el administrador no han sabido valorarlo. UAC es un incomprendido porque en realidad, hay que entenderlo como una bendición para los que usan una cuenta limitada en Vista y 7. Un complemento ideal para lo que sigue siendo la mejor defensa: evitar el uso del administrador.

Según ha publicado Kaspersky Lab más del 60% de los sitios que ellos mismos han monitorizado (entre 100.000 y 300.000 webs de 2006 a 2009) han sido vulnerados más de una vez por atacantes para alojar malware durante el año 2009.

Se han solucionado dos errores en Wordpress que podrían ser aprovechados por usuarios autenticados para eludir restricciones o subir ficheros al servidor.

La asociación mexicana de seguridad informática (AMSI) celebra el próximo 21 de noviembre el simposio de Seguridad de la Información AMSI 2009. Será de 9 AM a 7 PM en el edificio CEDAE de la Universidad Regiomontana (UR) en Monterrey (México).

Tal y como adelantamos, este martes Microsoft ha publicado seis boletines de seguridad (del MS09-063 al MS09-068) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico" mientras que los cinco restantes son "importantes". En total se han resuelto 15 vulnerabilidades.

El instalador de Windows de Tomcat deja la contraseña en blanco para el usuario administrativo de la aplicación, lo que puede resultar en un grave problema de seguridad para los que hayan instalado Tomcat bajo Windows con el instalador.

Se ha anunciado un problema de seguridad en el controlador SDP de Sun Solaris 10 y OpenSolaris, que podría permitir a provocar condiciones de denegación de servicio.

En Australia se ha detectado el primer ataque en forma de gusano contra el iPhone de Apple. Como suele ser habitual en estas primeras etapas, se trata de un ejemplar muy sencillo y que no provoca daños, pero que abre la veda para posibles consecuencias más graves. Aun así, las características del ataque y el tipo de dispositivo hacen que las oportunidades de esparcir un gusano se vean muy limitadas.

Debian ha publicado una actualización del kernel 2.6 que corrige un total de 18 vulnerabilidades de seguridad que podrían causar denegaciones de servicio, elevación de privilegios o pérdidas de información sensible.

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan seis boletines de seguridad. Afectan a toda la gama de sistemas operativos Microsoft y Office.

Marsh Ray y Steve Dispensa dicen haber descubierto una vulnerabilidad en el protocolo SSL y TLS que podría permitir inyectar texto en una conversación cifrada si el atacante tiene acceso al tráfico. El fallo se encontraría en el protocolo en sí, y por tanto afectaría a prácticamente todas las implementaciones de todos los sistemas. Sin embargo otras voces indican que quizás el fallo no sea tan grave.

"The Explosion of the Axis of Evil", impartida por Peter Silberman (Mandiant) y Ero Carrera (VirusTotal-Hispasec), es una charla que nos sumergirá en las tendencias y técnicas utilizadas por el malware actual enfrentando dos visiones bien diferenciadas, por un lado el malware de masas y por el otro el usado en ataques muy dirigidos. Presentado en formato de seminario web el próximo jueves día 5, los interesados podrán disfrutarlo a través de Internet previo registro de forma gratuita.

Se ha descubierto un error en el kernel Linux 2.6.x que podría permitir a un atacante local provocar una denegación de servicio y potencialmente elevar privilegios. Las principales distribuciones están trabajando para solucionar el error cuanto antes.

Se ha anunciado una vulnerabilidad en Novell eDirectory versiones anteriores a 8.8.5 ftf1 y anteriores a la 8.7.3.10 ftf2 por la que un usuario remoto puede provocar condiciones de denegación de servicio en los sistemas afectados.

La Fundación Mozilla ha publicado once boletines de seguridad para solucionar diversas vulnerabilidades en Mozilla Firefox que podrían ser aprovechadas por un atacante remoto para manipular o revelar información sensible, saltarse restricciones de seguridad o comprometer un sistema vulnerable.

Breve resumen de las novedades producidas durante el mes de octubre de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.