Motivos del exploit y explicación: Falta de comprobación en la entrada de datos que provoca la posibilidad de inyección de código SQL.

Versiones afectadas: 1.15.4 e inferiores

Estado actual y busqueda en Google: Minimo

Prueba de concepto: Sin prueba

Solución: Actualizacion Typo3 JobControl 1.15.5

El atacante puede suministrar mediante un navegador, un script que se ejecutaría en el contexto del navegador, permitiendo al atacante robar datos de las cookies de autentificación o credenciales, y controlar el sitio en su contenido. Otros ataques tambien podrían ser posibles.

Esta vulnerabilidad afecta a la versión Answers 5.x-1.x-dev aunque no se ha verificado con otras versiones. No existe respuesta del desarrollador.

Fuente: SecurityFocus

Tres exploits, de los que no hay muchas reseñas empañan esta nueva andadura del Gran Hermano, (¿qué extraño?) relativas a cuestiones de seguridad básica. Un típico olvido de prisas que puede resultar pernicioso.

Versión vulnerable: 0.2.149.27
Exploit publicado en: milw0rm.com
Tipo: Ausencia de seguridad básica
Ambiente de pruebas: Google Chrome on Windows XP SP3.
El navegador Chrome permite al usuario descargarse ficheros de todo tipo sin confirmación por parte del usuario. (incluidos ejecutables y ficheros tipo malicioso)

Versión vulnerable: 0.2.149.27
Exploit publicado en: milw0rm.com
Tipo: DoS
Ambiente de pruebas: Google Chrome on Windows XP SP3
Un error de comunicación en la librería chrome.dll puede ocasionar una caiga del programa sin la interacción del usuario. El sitio malicioso provoca la caída de Chrome con una Denegación de Servicio.

Versión vulnerable: 0.2.149.27
Exploit publicado en: milw0rm.com
Tipo: Buffer Overflow
Ambiente de pruebas: Google Chrome (Language: Vietnamese) on Windows XP SP2.
La vulnerabilidad esta causada debido a un error de la funcion “Save As”. Una URL muy larga en la tag <title> causa un desbordamiento de la pila que hace posible a los atacantes ejecutar código arbitrario.

Otras referencias: Google Chrome, inseguridad y primer toque de un gobierno

TrackerIslaServer nace por la necesidad propia y de sus clientes, de estar al día en cuanto a sus aplicaciones y las aplicaciones o extensiones de terceros de esas mismas aplicaciones, en lo relativo a actualizaciones, seguridad y en cierta medida complejidad de la actualización y su necesidad real.

A petición de nuestros clientes de IslaServer, iremos incoporando los distintos softwares utilizados en sus respectivos hosting, asi como lo splugins y añadidos. De aquellos clientes que tengan con nosotros contrato de hosting manejado incorporaremos de forma automatica su software y además trasladaremos nuestro experiencia en la actualización, ya que toda actualización, por lo general es un proceso que puede derivar en algunos problemas secundarios. Los problemas y sus soluciones, serámn expuestos en este blog, con descripción detallada de programas, versiones y componentes instalados con el fin de ayudar a la comunidad en la a veces dificil tarea de mantener nuestros sitios de forma segura.

Un saludo a todos y que lo disfruteis.