Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
febrero
(Total:
19
)
- El FBI ofrece 3 millones de dólares de recompensa ...
- El cibercriminal más buscado por el FBI es arresta...
- El popular sitio de vídeos porno RedTube infectado...
- Disponible oclHashcat v1.33, ahora también crackea...
- Pwn2Own 2015: Gana 75.000$ encontrando un Bug en G...
- De Windows XP a Windows 10 vulnerables cambiando u...
- Facebook lanza ThreatExchange, una plataforma que ...
- Google Project Zero revela 0day en Adobe Reader pa...
- Facebook soluciona grave vulnerabilidad que permit...
- Tutorial básico funcionamiento y primeros pasos Wi...
- Laboratorio Virtualizado de Seguridad en Kali Linux
- Disponible Kali Linux – versión 1.1.0
- Introducción y Herramientas de Ingeniería Inversa
- Introducción al Análisis forense de Malware
- Desproteger y desbloquear un archivo PDF
- Estudio de Akamai sobre un ataque DDoS de Lizard S...
- DNS Hijack en router ADSL de D-Link
- Tercera vulnerabilidad 0-day crítica de Adobe Flas...
- Lanzamiento sopresa de Raspberry Pi 2 por 35 dólares
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Google Project Zero revela 0day en Adobe Reader para Mac
jueves, 12 de febrero de 2015
|
Publicado por
el-brujo
|
Editar entrada
Una vez más, una vulnerabilidad reportada por Google Project Zero sale a luz transcurridos los 90 días de plazo, esta vez sobre Adobe Reader y podría permitir a un atacante tomar el control de los sistemas afectados, en este caso los usuarios de la plataforma Mac.
Fuentes:
http://unaaldia.hispasec.com/2015/02/nuevo-anuncio-de-project-zero-esta-vez.html
https://code.google.com/p/google-security-research/issues/detail?id=144
http://www.reddit.com/r/netsec/comments/2u7630/google_reveals_adobe_vuln_fixed_for_windows_still/
http://www.redeszone.net/2015/02/12/project-zero-vuelve-comprometer-el-software-esta-vez-adobe-reader/
Vendor-Adobe
Product-Reader
Severity-High
Finder-mjurczyk
Reported-2014-Oct-30
CCProjectZeroMembers
Deadline-90
Id-3109
CVE-2014-9160
Deadline-Exceeded
Los fabricantes van a tener una
cosa clara, si Project Zero llama a tu puerta date prisa en parchear. El plazo son
90 días o los problemas saldrán a la luz con todos los detalles. Sin excusas.
Project Zero es un grupo de investigadores de seguridad que trabajan de
la mano de Google con el fin de buscar diferentes vulnerabilidades en
las aplicaciones del día a día con el fin de promover el "software
seguro" y obligar a las empresas en cierto modo a mantener sus
aplicaciones seguras y actualizadas, aunque ello suponga también
comprometer a los usuarios.
Hay una base de datos pública donde se puede consultar todas las vulnerabilidades.
De momento, Project Zero cuenta con los integrantes: Ben Hawkes, Tavis Ormandy, George Hotz, Brit Ian Beer, Chris Evans y James Forsha.
En esta ocasión, el fabricante
vuelve a ser Adobe aunque el software afectado es el lector de pdfs Adobe
Reader X y XI para Windows y Mac. El problema reside en un desbordamiento de búfer
basado en "heap" en
CoolType.dll (heap based buffer overflow )
El problema fue reportado por Mateusz
Jurczyk de Google Project Zero el 30 de octubre del pasado año. En diciembre Adobe
confirmó la vulnerabilidad, la asignación del identificador CVE-2014-9160 y su
corrección en el siguiente boletín de seguridad periódico para Acrobat y Reader.
Time Line
- 30/10/14 La vulnerabilidad se informa que Adobe PSIRT.
- 31/10/14 Adobe PSIRT confirma la recepción de los informes y asigna Identificación caso interno (PSIRT-3109).
- 05/12/14 Adobe PSIRT nos informa que la vulnerabilidad se fijaría en Acrobat y Reader boletines de seguridad el próximo martes y asigna CVE-2014-9160 para la emisión.
- 12/08/14 Adobe PSIRT envía y actualización alegando que el problema se soluciona para Windows, pero el vendedor no ha sido capaz de introducir una corrección en la actualización para Mac, por lo que el caso se mantiene abierto hasta que una actualización es liberada para Mac.
- 01/27/15 Envíamos un aviso a Adobe que la fecha límite 90 días transcurre el día siguiente y
Sin embargo, según Mateusz, la
actualización adelantada por Adobe no incluía corrección para el problema en la
plataforma Mac. Por lo que el caso se mantenía abierto hasta que estuviera
solucionado en todas las plataformas.
Han pasado varias actualizaciones
desde que Adobe confirmara la próxima publicación del parche pero el problema
no ha sido corregido. Por lo que finalmente Project Zero, fiel a su política,
ha dado a conocer todos los detalles del problema. Prueba de concepto incluida.
¿Son suficientes 90 días para corregir una vulnerabilidad en un
producto? ¿Es necesario hacer públicos todos los detalles del problema antes de
que se publique el parche?
Fuentes:
http://unaaldia.hispasec.com/2015/02/nuevo-anuncio-de-project-zero-esta-vez.html
https://code.google.com/p/google-security-research/issues/detail?id=144
http://www.reddit.com/r/netsec/comments/2u7630/google_reveals_adobe_vuln_fixed_for_windows_still/
http://www.redeszone.net/2015/02/12/project-zero-vuelve-comprometer-el-software-esta-vez-adobe-reader/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.