Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Ataque combinado, no solo Safari es culpable
 
VSantivirus No 2729 Año 11, martes 3 de junio de 2008

 Ataque combinado, no solo Safari es culpable
http://www.vsantivirus.com/03-06-08.htm

Por Angela Ruiz
angela@videosoft.net.uy

Ayer informábamos acerca del aviso de seguridad de Microsoft sobre la amenaza combinada Safari/Windows. La alerta de Microsoft, no da muchos detalles específicos del problema, sino que simplemente menciona una "mezcla de amenazas" para los usuarios de Windows que instalan Safari en sus equipos. Sin embargo, se esconde algo más tras esta vulnerabilidad, según reporta un conocido investigador.

Microsoft advierte de la posibilidad de ejecución remota de código. Un atacante podría engañar a los usuarios a visitar un web con código malicioso, el cuál podría descargarse y ejecutarse de forma local, utilizando los mismos permisos que el usuario actual.

El problema con Safari, es que permite la descarga de archivos en el escritorio de Windows, sin advertir al usuario de ello.

Pero según el investigador independiente Aviv Raff, esto también tiene que ver con una vulnerabilidad en Internet Explorer reportada a Microsoft hace bastante tiempo. Raff prefiere no dar detalles concretos mientras la compañía de Redmond trabaja en el problema.

El tipo de ataque conocido como "Carpet Bombing", algo así como cubrir un terreno chico con muchas bombas, es decir, llenar el escritorio de Windows con archivos que pueden ser ejecutados por el usuario (que es lo que permite Safari), podría entonces ser utilizado junto a una segunda vulnerabilidad (en Internet Explorer en este caso), convirtiendo el asunto en más serio de lo que parecía.

De este modo, el problema no solo está del lado de Apple, aunque al menos Microsoft parece estar tratándolo como una cuestión de seguridad.


Actualización 22/06/08:

Apple publica Safari 3.1.2 que soluciona vulnerabilidad
http://www.vsantivirus.com/vul-apple-safari-200608.htm

Más información:

Safari pwns Internet Explorer
http://aviv.raffon.net/2008/05/31/SafariPwnsInternetExplorer.aspx


Referencias:

Microsoft advierte sobre amenaza provocada por Safari
http://www.vsantivirus.com/02-06-08.htm

Microsoft Security Advisory (953818)
Blended Threat from Combined Attack Using Apple's Safari on the Windows Platform
http://www.microsoft.com/technet/security/advisory/953818.mspx

Safari Security Questioned; SBW Encourages Action
http://tinyurl.com/6k73hf

Safari Carpet Bomb
http://www.oreillynet.com/onlamp/blog/2008/05/safari_carpet_bomb.html

Microsoft Security advisory for Safari and Windows
http://isc.sans.org/diary.html?storyid=4495



 [Última modificación: 22/06/08 18:23 -0200]





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2008 Video Soft BBS