Michal Zalewski vuelve a hacer de las suyas. Ha descubierto y publicado cuatro vulnerabilidades que se reparten por igual entre los dos navegadores más usados del momento: Internet Explorer y Mozilla Firefox.

* El primer fallo se debe a un problema con los IFRAMES en Firefox. El navegador permite por error que páginas arbitrarias reemplacen los IFRAME de webs a través del método document.write(). El problema parecía resuelto hace un año, pero se ha descubierto un nuevo vector de ataque a través de about :blank que permite su explotación. La consecuencia directa es que, por ejemplo, se podría modificar el contenido de una página legítima (un ataque muy "apropiado" para el phishing) o incluso (y esto se demuestra en la prueba de concepto programada por Zalewski) interceptar las pulsaciones de teclas cuando la víctima visita una página legítima.

La compañía informática recomienda esperar hasta que actualice el programa que gestiona la transferencia de ficheros al iPod y la venta de canciones.

Advertencia de Apple a los usuarios iPod y clientes de su tienda de música: no instalen Windows Vista todavía. La compañía informática ha detectado una serie de incompatibilidades entre su software iTunes y el nuevo sistema operativo de Microsoft que podrían afectar al funcionamiento sus reproductores o hacer que las canciones que se compren no puedan escucharse en el ordenador.

Los usuarios habituales no deberían instalar Windows Vista hasta que Apple haga pública una nueva versión de iTunes -la actual es la 7.0.2- que soluciona estos y otros problemas, según la compañía informática.

La japonesa Sony dijo que sus cámaras digitales compactas Cyber-shot podrían tener problemas para funcionar en zonas cálidas y húmedas, pero agregó que reparará todas las cámaras afectadas de manera gratuita.

Las pantallas de cristal líquido de ocho modelos de cámaras que salieron a la venta entre septiembre del 2003 y enero del 2005 no mostrarían las imágenes correctamente o las cámaras podrían estar completamente impedidas de tomar fotografías, dijo Sony en un comunicado.

De las más de 1 millón de unidades vendidas, Sony cree que unas 4.000 necesitarían ser reparadas.

Se han encontrado varios problemas de seguridad en Mac OS X, que podrían permitir a un atacante local provocar una denegación de servicio e incluso potencialmente, ejecutar código arbitrario.

El primer fallo se debe a un error en el manejo de interfaces kqueue y kevent a la hora de registrar eventos en el núcleo. Si un proceso registra una cola y un evento a través de la función kevent, crea un fork e intenta registrar otro evento para la misma cola padre, un atacante local podría provocar un "system panic".

El segundo fallo se debe a un error en la función fatfile_getarch2, que provoca un desbordamiento de enteros y potencialmente, permitiría la ejecución de código arbitrario en modo kernel al llevar a una condición de corrupción de memoria.

PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL. El primer fallo documentado se debe a una comprobación incorrecta de tipos que puede ser aprovechada para provocar que el sistema deje de responder si se convierten ciertos literales en el tipo ANYARRAY.

El segundo fallo se debe al manejo de funciones de agregación en estamentos UPDATE. Esto puede ser aprovechado para hacer que el sistema deje de responder.

El tercer fallo se debe a un error a la hora de hacer log de mensajes de ROOLBACK o estamentos COMMIT en V3-protocol puede ser aprovechado para provocar que el sistema deje de responder.

Se recomienda actualizar a la versión 8.1.5, 8.0.9, 7.4.14, o 7.3.16.


Referencia:
http://laflecha.net