Etiqueta: Silverlight

Microsoft despliega su mejor paquete de seguridad del año

Microsoft ha hecho públicos los paquetes de seguridad, están divididos en 14 boletines de seguridad, incluyendo uno específico dedicado a Flash Player. De los mencionados, 7 han sido considerados como críticos. En su mayoría, están dirigidos a solventar fallos detectados en Windows, Internet Explorer, Microsoft Edge, Exchange y Office, además de los servicios y aplicaciones web asociadas a Office 365. Un total de 50 vulnerabilidades cubren el espectro final, con 26 asociadas al producto Flash Player de Adobe. También se incluye el navegador Edge.

Microsoft destaca que los administradores de TI deben dar prioridad a las correcciones de Internet Explorer, previstas en el boletín MS16-104, así como las de Microsoft Edge (MS16-105), Microsoft Office (MS16-107), Microsoft Graphics Component (MS16-106), OLE Automation para VBScript (MS16-116) y Adobe Flash Player (MS16-117).

La mayoría de las vulnerabilidades pueden ser explotadas de manera que permitan la ejecución de código de forma remota, engañando a los usuarios a visitar determinadas URL comprometidas, o a abrir archivos diseñados para propagar código malicioso. Estos suelen ser los vectores de ataques más explotados por los cibercriminales para llevar a cabo sus ataques.

Otra de las vulnerabilidades relacionadas con los navegadores de Microsoft, tanto de Explorer como Edge, CVE-2016-3351, se podría aprovechar para divulgar información en cadena. Esta vulnerabilidad no ha sido divulgada al público, pero ha sido ya empleada. La compañía no ha dado más detalles al respecto.

Silverlight ha recibido una buena actualización, la MS16-109 que también es de prioridad, a pesar de que estar clasificada como importante, y no como crítica. La vulnerabilidad podría provocar la ejecución remota de código si un usuario visita una página web comprometida que contiene una aplicación diseñada especialmente para Silverlight.

En el apartado de los servidores, los administradores deben centrarse en la actualización para Microsoft Exchange (MS16-108), que parchea las vulnerabilidades críticas en el Oracle Outside In Technology (OIT). Se trata de una colección de (SDK) que pueden ser utilizados para extraer, formatos de archivo no estructurados.

Los investigadores del equipo de Talos de Cisco encontraron a principios de año dichas vulnerabilidades asociadas a Oracle OIT e informaron de que podrían afectar a muchos proveedores, incluyendo Microsoft Exchange. Oracle lanzó actualizaciones en el mes de julio y Microsoft ha importado ahora estas correcciones.

La actualización de Office también debe estar en la agenda de los administradores de TI encargados de tener al día los servidores, dado que se aplica a Microsoft SharePoint Server 2007, 2010 y 2013. Según los fallos encontrados, se podría permitir a atacantes tomar el control completo de los servidores afectados, mediante el servicio de automatización de Word y Excel, destaca en su blog Amol Sarwate, director de vulnerabilidades de los laboratorios de Qualys.

Lucian Constantin, IDG News Service

Firefox 47 añade más soporte y protección de copias de video

Mozilla ha presentado la versión 47 de su navegador Firefox, luce múltiples cambios, muchas de sus funcionalidades para reproducir video y mejora la experiencia de usuario (UX) con el servicio de sincronización del navegador.

Los usuarios que ahora sincronicen Firefox con PC, Macs o smartphones Android con Windows y Linux, aunque no con los iPhones y iPads con iOS, verán las pestañas abiertas en todos los dispositivos en una barra lateral del escritorio del servidor. Anteriormente, las pestañas sincronizadas se mostraban en un marco separado, no en una barra lateral, que se utilizaba principalmente para los marcadores guardados. Sin embargo, las mejoras entre bambalinas eran más robustas que los cambios de sincronización UX.

En lo más alto de la lista estaba el soporte para Widevine CDM (Content decryption module) de Google en Windows y OS X. Widevine CDM es una plataforma de sistema operativo cruzado para distribuir y exhibir contenidos protegidos contra copias, como películas, en un servidor a través de un plug-in. (Google adquirió Widevine en 2010).

Como la decisión de Mozilla en 2015 de integrar una tecnología antipiratería en Adobe para utilizar archivos protegidos en Firefox, el soporte para Widevine va en contra de la filosofía de la fundación de código abierto sobre una web abierta. Pero el año pasado, Mozilla reconoció la realidad de que un navegador tiene que dar soporte a CDM para sobrevivir.

Igual que Adobe CDM,  Widevine ofrece una manera de reproducir contenidos bloqueados sin tener que recurrir a los plug-ins de Adobe Flash o de Microsoft Silverlight, importante para Mozilla y otros fabricantes de navegadores como Google, que han abandonado el antiguo formato de plug-ins NAAPI. En particular, Widevine permite a Firefix reproducir contenido utilizando HTML5 de los servicios de video de Amazon, incluyendo su popular Prime, sin necesidad de recurrir a Silverlight.

Firefox 47 también añade soporte para reproducir videos de YouTube embebidos en otras páginas sin necesidad de Flash y de activar el código abierto, con el codec de video acceso gratuito VP9 en sistemas con potentes multiprocesadores como el Skylake de Intel y su sucesor, Kaby Lake, y a algunas tarjetas de gráficos de Nvidia. YouTube por ejemplo, se basa en VP9, otro desarrollo de Google vinculada a su proyecto de formato de archivo de video WebM, para reproducir video utilizando HTML5.

Firefox es el producto más importante de Mozilla, pero el navegador pasa por malos tiempos: en mayo, la firma de análisis Net Applications colocaron el porcentaje de usuarios de Firefox en tan sólo un 8.9%, el nivel más bajo en sus 11 años.

Firefox se puede descargar desde el sitio web de Mozilla para Linux, Windows y Mac, además de las tiendas de aplicaciones de Android e iOS.

Gregg Keizer

 

Kaspersky Lab descubre una vulnerabilidad de día cero en Microsoft Silverlight

Microsoft ha parcheado la vulnerabilidad en su última actualización liberada, la vulnerabilidad permitía a los ciberdelincuentes acceder a un equipo comprometido y ejecutar código malicioso para robar información y realizar otras acciones ilegales.

Kaspersky Lab se ha hecho eco de una vulnerabilidad de día cero recientemente localizada en Silverlight, la firma de seguridad señaló que ya ha sido corregida en los boletines de seguridad publicados por Microsoft el 12 de enero. De ser explotada, dicha vulnerabilidad permitiría a un cibercriminalobtener acceso completo a un equipo comprometido y ejecutar código malicioso para robar información secreta y realizar otras acciones ilegales.

La investigación sobre la vulnerabilidad de Silverlight comenzó hace más de cinco meses a partir de un artículo publicado por Ars Technica sobre el ataque contra Hacking Team. En el mismo, se mencionaba el supuesto filtrado de correo entre los representantes de Hacking Team y Vitaliy Toropov, un autor de exploits independiente, que intentaba vender un exploit de día cero de cuatro años y aún sin parchear de tecnología Microsoft Silverlight. Este dato despertó el interés de los analistas de Kaspersky Lab, que comenzaron su investigación utilizando el nombre del vendedor.

Los analistas descubrieron que un usuario que se hacía llamar Vitaliy Toropov era un colaborador muy activo en Open Source Vulnerability Database (OSVDB), un sitio donde cualquiera puede publicar información sobre vulnerabilidades, y donde Toropov publicó en 2013 una prueba de concepto que describía un error en la tecnología Silverlight. La publicación en ese sitio hacia alusión a una vieja vulnerabilidad conocida y parcheada, pero también contenía detalles adicionales que dieron a los analistas de Kaspersky Lab una pista sobre cómo el autor del exploit escribía los códigos. Con esta información se crearon varias reglas de detección para las tecnologías de protección de Kaspersky Lab.

“No sabemos si el exploit que descubrimos es, de hecho, el que se mencionaba en el artículo de Ars Technica, pero tenemos motivos de peso para creer que sí lo es. La comparación del análisis de este archivo con el trabajo previo de Vitaliy Toropov nos hace pensar que el autor del exploit descubierto y el autor de las pruebas de concepto publicadas en OSVDB en nombre de Toropov es la misma persona. Al mismo tiempo, no se descarta la posibilidad de que nos encontremos otro exploit de día cero en Silverlight”, explica Costin Raiu, director del GREAT de Kaspersky Lab.

Finalmente añada “animamos a todos los usuarios de los productos de Microsoft a que actualicen sus sistemas lo antes posible para solucionar esta vulnerabilidad”.

-Hilda Gómez