Hace unos días se actualizó Opera, y ahora es el turno de otro navegador web: Firefox. La Fundación Mozilla ha lanzado la actualización 3.6.11 de su producto más famoso para solucionar un total de 12 vulnerabilidades de seguridad.

Cinco de las vulnerabilidades han sido calificadas como críticas y pueden ser aprovechadas para diversos fines como ataques de “Cross-site scripting” (XSS), provocar que el navegador deje de responder y ejecutar código malicioso.

Así mismo, se ha corregido una falla relacionado con el problema de carga de librerías DLL en Windows que puede permitir a un atacante instalar malware.

Dichas vulnerabilidades también han sido resueltas en otros dos productos de Mozilla: Thunderbird y SeaMonkey. Así que les recomendamos tanto a los usuarios de Firefox como de estas dos aplicaciones actualizar cuanto antes.

RealNetworks ha lanzado nuevas actualizaciones de su conocido reproductor Real Player con el fin de solventar 7 vulnerabilidades de seguridad encontradas en diferentes versiones de su producto para Windows, Mac OS X y Linux.

Secunia ha calificado estas vulnerabilidades como “altamente críticas” y señala que pueden ser explotadas por atacantes para comprometer el sistema del usuario. Según el informe de seguridad de RealNetworks, hasta el momento no se ha reportado que las vulnerabilidades estén siendo explotadas activamente.

Es muy recomendable que todos los usuarios de esta aplicación actualicen lo más pronto posible. Las nuevas versiones disponibles y que no son vulnerables: Real Player SP 1.1.5 y Real Player Enterprise 2.1.3 para usuarios de Windows, RealPlayer 1.0.0.1444 para Mac OS X y RealPlayer 11.0.2.1744 para Linux.

Lo menos que alguien podría esperarse al visitar el sitio web de una firma de seguridad es infectarse con malware, pero por desgracia esto es con lo que se encontraron recientemente usuarios que accedieron a la web Kaspkersky.

Por medio de diversos foros, algunos usuarios comenzaron a reportar que al intentar descargar una solución de seguridad de Kaspkersky eran enviados a una página externa en la que se ofrecían antivirus falsos (los llamados rogueware).

En un principio un portavoz de Kaspkersky negó los reportes, pero poco después la firma confirmó que la web fue comprometido el domingo por medio de una vulnerabilidad en una de las aplicaciones que utilizan para administrar el sitio. No obstante, señalaron que el problema sólo duro unas ‘tres horas y media’.
Kaspkersky asegura que ningún momento los datos de los usuarios corrieron peligro, así que parece que el problema no fue a mayores. Por desgracia, no es la primera vez que les pasa algo así, pues hace un año un hacker reveló una falla en el sitio web de la compañía que permitía tener acceso a la base de datos.

Adobe está decidida a ponerle un freno a las fallas de seguridad que sufre su aplicación Reader. La compañía ha anunciado que en noviembre será lanzada la nueva versión X de la gama de productos Acrobat, la cual además de incluir nuevas funciones implementará un modo de seguridad basado en “sandbox”.

“Sandbox” es un sistema de seguridad que permite al software ejecutarse en un entorno seguro en el que algunas funciones como modificar datos o instalar o eliminar archivos del sistema están limitadas. Básicamente, esto puede prevenir la ejecución de código malicioso al momento de abrir un documento .PDF.

Pero esto no significa que ahora Reader será invulnerable. De hecho, Adobe ha explicado que este entorno de seguridad tiene algunas limitaciones y, entre otras coas, no ofrece protección para acceso no autorizado de lectura al sistema de archivos o al registro. Además, debido a que se basa en muchas características de seguridad propias del sistema en el que se ejecuta, el sandbox puede ser atacado a través de errores o una configuración insegura del sistema operativo.

Adobe Reader es actualmente una de las aplicaciones más atacados, y esta capa de seguridad ofrecerá mayor protección a los usuarios. La nueva versión X de Reader y los productos Acrobat estarán disponible durante el próximo mes.

Opera, uno de los navegadores más populares, se ha actualizado a la versión 10.6.3. Esta actualización, además de solucionar algunas cuestiones de compatibilidad y fallas de estabilidad, se encarga de cerrar 5 vulnerabilidades.

Entre las correcciones se incluye una vulnerabilidad “cross-site scripting” (XSS) calificada como “crítica” que permite a un atacante ejecutar código y cambiar los ajustes de configuración de Opera. Otra vulnerabilidad de impacto ‘moderado’ puede ser aprovechada para robar información por medio de archivos CSS.
Opera 10.6.3 está disponible para Windows, Mac OS X y Linux, así que les recomendamos a todos los usuarios de actualizar lo más pronto posible.

Adobe ha publicado una actualización para corregir 23 vulnerabilidades en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante ejecutar código con los permisos con los que se lance la aplicación afectada.

Las versiones afectadas son Adobe Reader 9.3.4 (y anteriores) para Windows, Macintosh y UNIX; Adobe Acrobat 9.3.4 (y anteriores) para Windows y Macintosh; y Adobe Reader 8.2.4 (y anteriores) y Adobe Acrobat 8.2.4 (y anteriores) para Windows y Macintosh.

Las vulnerabilidades anunciadas residen en 23 problemas diferentes, la mayoría de ellos críticos que residen en corrupción de memoria, tratamiento de imágenes o tratamiento de entradas que pueden dar
lugar a ejecución de código arbitrario.

Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde
la propia web de Adobe.

Adobe Downloads
Adobe - Descarga de Adobe Reader - Todas las versiones