Opera niega haberse negado a parchar vulnerabilidad


Un error en la forma en que Opera maneja los graficos de vector escalabes (SVG) puede llevar a la ejecución de código arbitrario. Opera Software ha publicado una actualización para su navegador de escritorio con el fin de hacer frente a una vulnerabilidad crítica en el manejo de archivos de gráficos vectoriales escalables (SVG), reveló hace una semana. La compañía niega haberse negado a parchear el fallo cuando le fue mostrado este año.





El investigador de seguridad José A. Vázquez provocó controversia al comienzo de la semana pasada cuando dio a conocer una prueba de concepto de código de explotación de una vulnerabilidad no corregida en el Opera. Hacer temas de seguridad pública sin notificar a los proveedores afectados por adelantado es generalmente mal visto en la comunidad de seguridad, pero no es particularmente raro. Sin embargo, en este caso, el investigador afirma haber intentado actuar de manera responsable, sin éxito."En este post, voy hacer el lanzamiento de un tema que descubrí hace 362 días y se informó a Ópera con el programa SSD (Revelación SecuriTeam seguro), pero que decidieron no arreglar", dijo Vázquez en su blog 10 de octubre.

El problema proviene de un error en el código de manejo de SVG de Opera, que puede ser explotado para ejecutar código arbitrario engañando a las víctimas en la carga de imágenes SVG especialmente diseñadas con fuentes malformadas.Opera admite haber sido alertada sobre la falla hace seis meses, como parte de un informe más amplio, pero, afirma que no pudo reproducir el problema en el momento.

De acuerdo con el vendedor, sus intentos de obtener más información del investigador en el momento no tuvieron éxito."En este caso, el problema sólo se había confirmado para versiones anteriores de Opera, no en la versión actual, en el momento en que se informó, y ​​los detalles de la información recientemente publicada incluye contenidos que no estaban en el informe original, y que parecen ser relevantes para reproducir el problema ", dijo el ingeniero de garantía de calidad de Opera, Sigbjørn Vik el miércoles

"Con el lanzamiento hoy de Opera 11.52, tenemos una solución para este problema, menos de una semana después de ser informados de los detalles relevantes. [...] Se recomienda a todos los usuarios de Opera descargar e instalar esta nueva versión," dijo.Vulnerabilidades en el manejo de SVG son comunes y la mayoría de los fabricantes de navegadores se han ocupado de este tipo de problema en un momento u otro. Ese tipo de errores se detectan generalmente con la ayuda de programas automáticos llamados fuzzers que se alimentan de entrada incorrecta a los analizadores de SVG en la esperanza de provocar accidentes explotables.

La última actualización de Google Chrome estable contenía un parche para una falla que involucraba fuentes SVG, mientras que una vulnerabilidad crítica SVG fue parcheada en Firefox 6.Además de abordar la vulnerabilidad de SVG, Opera 11.52 también contiene correcciones para problemas que no son de seguridad con descargas BitTorrent, videos HTML5 y páginas de error de X-Frame-Options.

Fuente:
Por Lucian Constantin
http://www.pcwla.com/



Otras noticias de interés:

Ataques por corrupción de la tabla ARP en Windows
Se ha publicado más información sobre una vulnerabilidad del tipo denegación de servicio que afecta a todas las versiones de Windows Vista y Windows XP. Esta vulnerabilidad es conocida por lo menos desde marzo de 2007. ...
Denegación de servicio en Microsoft IIS 5.1
Se ha descubierto una vulnerabilidad en Microsoft IIS (Internet Information Server) 5.1 que puede ser explotada por atacantes remotos para provocar denegaciones de servicio. ...
¿ Sabes, Que es un Zettabyte ?.
Todos conocemos un bit, un byte, un Kilobyte, incluso algunos más avezados un Megabyte y un Gigabyte... ¿ Pero sabes lo que es un Zettabyte ?....
Oracle publica una nueva actualización de seguridad para Java
Fuera de ciclo y en poco más de 15 días tras liberar una actualización múltiple de seguridad para Java, Oracle se ha visto obligada a lanzar una nueva actualización de seguridad para corregir dos vulnerabilidades que podrían permitir a un ataca...
Advierten sobre vulnerabilidades del correo electrónico vía web
Mediante el uso de scripts en el código HTML, intrusos pueden leer el correo electrónico de terceros, enviar correo usurpando identidades e incluso hacerse del control de un PC intervenido. ...
El ataque a equipos con Windows 2000 puede esconder una guerra entre creadores de virus
La difusión de los virus de la familia Zotob sigue siendo menor que la alcanzada en el mismo periodo de tiempo por otros códigos dañinos, por lo que la mayoría de expertos rebaja su peligrosidad. Algunos de estos pr...
Descubren cómo explotar Chrome con exploit de 0-DAY
La firma de seguridad Vupen afirma haber encontrado el modo de hackear Chrome bordeando el modo sandbox incluido en el navegador y evadiendo las tecnologías anti-exploit integradas en Windows 7....
Charla en Universidad de Washington de Neil deGrasse Tyson
Saliéndonos un poco del mundo de la Informática, quisimos compartir con ustedes un vídeo del conocido y famoso astrofísico Neil deGrasse Tyson, dictada en la Universidad de Washington EEUU....
Ataques Hack a través de rebote de puertos (port bouncing)
Consisten los ataques por rebote de puertos (port bouncing), que permiten utilizar uno o más sistemas intermedios para ocultar la dirección IP desde la que se origina la agresión, dificultando así que se le pueda seguir el rastro....
Aumentan denuncias por ciberocupación de dominios web
Crecieron 28% en 2010. Los sectores más afectados fueron los del comercio minorista, el bancario, el farmacéutico y el de la biotecnología. Apple, Canon, Ferrari y Fiat, entre las afectadas a nivel mundial. Al publicar su informe anual sobre las d...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • haberse
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • negado
  • niega
  • noticia
  • opensource
  • opera
  • parchar
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra