Vulnerability Team

Skype es un el cliente de VoIP muy popular, recientemente adquirido por Microsoft. Cuenta con millones de usuarios por todo el mundo y permite las comunicaciones a través de chat, voz y videoconferencia con otros usuarios de Skype o teléfonos. Además está disponible para distintas plataformas Windows, Linux y Mac OS X.

Como todos los cross-site scripting, el error está causado por una falta de validación de los datos introducidos en la entrada del perfil "Mobile phone". Esto permite a un atacante remoto obtener el identificador de sesión de la víctima y por tanto, secuestrar su identidad. El descubridor no descarta que otros campos sufran el mismo problema.

Levent Kayan ha publicado una prueba de concepto que demuestra la vulnerabilidad, utilizando un iframe y la función onload de JavaScript. Afirma que avisará a Skype del problema, por tanto no existe parche oficial disponible. Afecta a las versiones anteriores a 5.3.0.120 y las plataformas Windows XP, Vista, 7 y Mac OS X.

SKYPE WEBSITE.

fuente: csirtcv.gva.es

Independientemente del lenguaje y/o plataforma de desarrollo que usted utilice, hay cosas que de una o de otra forma siempre hay que tomar en cuenta si queremos tener una aplicación web "relativamente" segura. Además acoto la palabra "relativamente", porque en primer orden nunca se puede obtener una aplicación 100% segura. Dice un chiste de seguridad que la única aplicación segura es la que está desconectada del cualquier red, no se ejecuta y se introduce en un bunker antiaéreo sellado a 50 metros de profundidad y aún así nadie apostraría un ojo un ojo por defender la integridad de la misma.

Por lo tanto el presente artículo, tiene como fin el poner al lector al tanto de una serie de principios de seguridad que debería seguir en el proceso de desarrollo si realmente desea obtener un resultado favorable a la hora de tener una aplicacion "relativamente" segura.

LEER MAS SOBRE EL DECALOGO DE SEGURIDAD EN WEB APPS

by komz

Ya esta disponible una nueva actualización del navegador Firefox. Se trata de la versión 3.6.13, que ha sido lanzada para solucionar 11 fallos de seguridad, nueve de ellos catalogados por Mozilla como “críticos”.

Estas vulnerabilidades afectan a todas las versiones del navegador y pueden ser aprovechadas para diversos fines como escalar privilegios, realizar ataques de cross-site scripting, falsificar la barra de direcciones y ejecutar código maligno.

Además de dichos problemas de seguridad, Mozilla también se ha encargado de solucionar distintas cuestiones relacionadas con la estabilidad de la aplicación.

Firefox cuenta con un sistema de actualizaciones automáticas, por lo que si todavía no han recibido una alerta de la nueva versión basta con hacer clic en el menú “Ayuda” y “Buscar actualizaciones” para descargarla automáticamente.

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

MOZILLA SECURITY CENTER

fuente: mozilla.org

The Citrix Web Interface is prone to a cross-site scripting vulnerability because the application fails to properly sanitize user-supplied input.

An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may help the attacker steal cookie-based authentication credentials and launch other attacks.

Citrix Web Interface versions 5.0 through 5.3 are vulnerable.


REFERENCE.

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com 

Dos nuevas vulnerabilidades han sido publicadas y que afectan a IBM Websphere por medio de ataques  XSS (cross site scripting)

IBM WebSphere Application Server for z/OS Unspecified Cross Site Request Forgery Vulnerability

IBM WebSphere Application Server for z/OS Multiple Unspecified Cross Site Scripting Vulnerabilities


Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com 

El ataque redirigía a páginas con contenidos para adultos. Ayer, YouTube, de Google, fue atacado por hackers, explotando una vulnerabilidad XSS de la página de vídeos y que ha afectado, principalmente, a las secciones donde los usuarios publican sus comentarios.

“Los comentarios fueron ocultados temporalmente durante una hora y lanzamos una solución completa al problema en tan sólo dos horas. Aún así, seguimos estudiando la vulnerabilidad para poder evitar, en la medida de lo posible, problemas similares en un futuro”, han explicado desde Google.

Portavoces de la compañía han querido aclarar que el ataque ponía en peligro a los usuarios, que podrían recibir cookies, pero que no suponía un peligro de acceso a sus cuentas Google. Eso sí, como precaución, aconsejaban a los usuarios de YouTube salir de sus cuentas y volver a entrar en ellas.

Los atacantes parecían dirigir sus objetivos al cantante Justin Bieber, pues incorporaron este código malicioso en páginas dedicadas a él, de manera que los visitantes veían mensajes desagradables sobre este ídolo de adolescentes que, si se pinchaba en ellos, redirigían a páginas externas con contenido para adultos.

Una fuente de la industria familiarizada con la situación ha declarado que aunque el ataque por sí mismo no implicaba infecciones de malware, ese tipo de riesgo es inherente siempre que los usuarios entren en cualquier página web como a las que se redirigía en el ataque. Aún no está claro si esas páginas contenían malware, pero lo cierto es que la mayor parte del software antivirus está preparado para proteger contra ese tipo de amenazas.

YouTube es, con diferencia, la página de vídeos más importante de la Red. En mayo, los residentes en Estados Unidos vieron 14.600 millones de vídeo clips en las páginas de Google, la mayoría de ellas, en YouTube, lo que supone el 43 por ciento de todos los vídeos online que se vieron ese mes.

fuente: csospain.es