Todos os posts tagados vulnerabilidades

Microsoft, Adobe lançam correcções

micro_patc

Esta semana a Microsoft e a Adobe lançaram patches que corrigem falhas de segurança graves.

4 das 7 correcções feitas pela Microsoft foram consideradas como ‘criticas’, o que significa que essas falhas podem ser exploradas por malware ou por piratas e obter controlo do sistema sem qualquer intervenção da vitima.

Uma das actualizações feitas ao Internet Explorer corrige pelo menos 14 vulnerabilidades.
O Microsoft Office também mereceu destaque com 2 vulnerabilidades no Microsoft Word e no Office Web Apps (incluindo Office para Mac 2011).

Estas actualizações fazem parte de um grupo de 3 patches que a Microsoft lançou este mês para o Microsft Office, entre elas está MS14-082 e MS-14-083 ambas consideradas como ‘importantes’. O resumo destas e de outras actualizações podem ser vistas aqui.

O Flash Player da Adobe lançou a versão v. 16.0.0.235 para Windows e Mac, corrigindo pelo menos 6 falhas criticas. A Adobe informou que para uma das falhas (CVE-2014-9163), já existe um exploit a circular.

Para verificarem a vossa versão podem fazê-lo por este link, IE10/IE11 no Windows 8.x e Chrome deverão ser actualizados automaticamente. Se por alguma razão o Chrome não mostrar a versão do Flash, deverão reinicia-lo e forçar a procurar de actualizações.

Investigadores de Coimbra desenvolvem código de verificação para softwares

No Público:

Durante dois anos, uma start up formada por investigadores da Faculdade de Ciências e Tecnologia da Universidade de Coimbra (UC) – a DOGNAEDIS – foi detectando vulnerabilidades nos 40 maiores softwares livres existentes no mercado, nomeadamente em softwares utilizados pelo Estado português.

“O Code V identificou 28 vulnerabilidades do tipo zero-dias, isto é, problemas de segurança não conhecidos até a data. Estas 28 vulnerabilidades serão divulgadas publicamente mas de forma responsável, garantindo que não são utilizadas para fins maliciosos antes de haver um antídoto disponível”, explicou através de um comunicado da UC Francisco Rente, investigador daquela universidade e director executivo da DOGNAEDIS.

Explicado de modo simples, o Code V (código de verificação) é um “inspector-professor inteligente que detecta problemas de segurança no software, em todas as suas fases de desenvolvimento, dispara alertas, produz relatórios e dá instruções para a rápida correcção dos problemas identificados. Em suma é um perito de segurança informática”, explicou Francisco Rente.

(…)

Excelente iniciativa made in Portugal.

Ferramenta de Fuzzing descobre mais de 100 vulnerabilidades nos browsers mais populares

Com o lançamento público do cross_fuzz foi possível para muitos analistas de segurança verificarem a existência de várias vulnerabilidades nos browsers mais utilizados (Internet Explorer, Firefox, Opera, Chrome e Safari).

De referir que, muitas dessas falhas continuam por corrigir e já poderão estar a ser utilizadas no underground.
Podem ler a notícia no Help Net Security.

As 10 vulnerabilidades mais comuns em base de dados

Foi publicado à uns dias, um artigo no DarkReading, que todos deviam ler e ter em consideração, sobre um estudo do Team SHATTER sobre as 10 vulnerabilidades mais comuns  em base de dados.