Zero-day no Windows SMB; Microsoft diminui importância

Na última segunda (14/02), um pesquisador de segurança identificado apenas como “Cupidon-3005” postou na lista de discussão de segurança Full Disclosure suas descobertas sobre uma falha encontrada no Windows Server Message Block (SMB), componente de rede e protocolo de compartilhamento de arquivos do Windows, assim como um exploit prova de conceito(PoC). Outros pesquisadores analisaram o… Read More

Vulnerabilidade CSRF no Ruby on Rails

Foi corrigida uma vulnerabilidade no Ruby on Rails que pode permitir que usuários maliciosos contornem a proteção a ataques CSRF (Cross-site request forgery) através de certas combinações de plugins de navegador e redirects HTTP. Estão vulneráveis todas as versões a partir da 2.1.0. A vulnerabilidade foi corrigida nas versões 2.3.11 e 3.0.4. Veja mais detalhes… Read More

Atualizações de segurança do Adobe Reader e Acrobat

Ontem (08/02), além da Microsoft atualizar o Windows, foi dia também da Adobe realizar correções de segurança no Adobe Reader e no Acrobat X (10.0), 9.4.1 e anteriores. O boletim de segurança menciona 30 vulnerabilidades que podem ser utilizadas por usuários maliciosos para travar a aplicação e potencialmente tomar controle de sistemas afetados. As vulnerabilidades… Read More

Microsoft: Patch tuesday de fevereiro corrige 22 vulnerabilidades

A Microsoft publicou ontem (08/02) 12 boletins de segurança, abordando ao todo 22 vulnerabilidades em produtos da empresa. A exploração das vulnerabilidades permitem execução remota de código, elevação de privilégios de locais conectados, negação de serviços (DoS) e divulgação não-autorizada de informações. Dos 12 boletins de segurança, 3 estão marcados como críticos e 9 como… Read More

Microsoft alerta para novo ataque zero-day no Windows – Alerta para o IE

A Microsoft anunciou na última sexta-feira uma vulnerabilidade ainda não corrigida que pode ser explorada por usuários maliciosos para roubo de informação e instalação de malwares. A falha se faz presente no gerenciador do protocolo MIME HTML, e pode ser utilizada para executar scripts maliciosos no Internet Explorer, numa espécie de ataque cross-side scripting (XSS).… Read More

Sumário de vulnerabilidades da semana de 10 a 17 de janeiro

A US-CERT compilou um sumário de vulnerabilidades da semana passada (de 10 a 17 de janeiro). Foram um total de 132 vulnerabilidades, sendo 63 de alta importância, 64 de média e 5 de baixa importância, incluindo diversos softwares como Cisco IOS, GIMP, Google Chrome, Internet Explorer, Windows 2003 Server, Linux e Wireshark, dentre outros. Veja… Read More

Detalhes sobre as atualizações de segurança dessa “Microsoft Black Tuesday”

Conforme noticiamos ontem(11/01), a Microsoft lançou apenas 2 atualizações de segurança, deixando de lado 2 vulnerabilidades graves e que estão sendo ativamente exploradas na internet. Vamos aqui detalhar as duas vulnerabilidades corrigidas na atualização: A primeira vulnerabilidade, marcada como importante, ocorre por uma falha descoberta no Windows Backup Manager, afetando o Windows Vista SP1/SP2 e… Read More

Exploits de vulnerabilidade já corrigida do Office pipocam na rede

No dia 17/12 divulgamos uma vulnerabilidade encontrada no Microsoft Office XP, 2003, 2007 e 2010 ao carregar arquivos RTF. A Microsoft já divulgou um patch para corrigir o problema, mas estão aparecendo na rede exploits para esta vulnerabilidade que permitem que um usuário malicioso ganhe controle completo sobre o computador atacado: possibilita a instalação de… Read More

Pesquisador anuncia vulnerabilidade que atinge todos os browsers e especialmente o IE8

O pesquisador de segurança Michal Zalewski anunciou uma ferramenta chamada cross_fuzz – um “DOM binding fuzzer” que explora uma vulnerabilidade que, segundo ele, está “presente em todos os browsers do mercado”. A ferramenta faz o navegador travar, podendo ser utilizada por usuários maliciosos para causar uma condição de negação de serviço (DoS). Michal acredita ainda… Read More