viernes, 29 de julio de 2016

Actualizaciones de Wireshark corrigen múltiples vulnerabilidades

Wireshark Foundation ha publicado las versiones 1.12.13 y 2.0.5, que incluyen la corrección de hasta 11 vulnerabilidades que podrían provocar condiciones de denegación de servicio.

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

En esta ocasión la fundación Wireshark ha publicado 11 boletines de seguridad en total (del wnpa-sec-2016-39 al wnpa-sec-2016-49); nueve afectan a la rama 2.0, mientras que ocho de los avisos de seguridad afectan a la rama 1.12. Hay que señalar que esta es la última versión de Wireshark 1.12, que alcanza su final de vida el 31 de julio. Se recomienda a los usuarios de esta rama actualizar a Wireshark 2.0.

Como es habitual, la mayoría de las vulnerabilidades presentes corregidas en ambas versiones son fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. El impacto de estas vulnerabilidades suele ser simplemente el cierre inesperado de Wireshark, o en algunos casos, la entrada en un bucle infinito que bloquee la aplicación. Ambos impactos se encuentran en la categoría de denegación de servicio.

La lista de los disectores y protocolos afectados incluyen CORBA IDL en Windows 64-bits, NDS, PacketBB, WSP, MMSE, RLC, LDSS, OpenFlow, WAP, WSP y WBXML. También se ha solucionado diferentes problemas no relacionados directamente con vulnerabilidades de seguridad.

Las vulnerabilidades mencionadas se han solucionado en las versiones 1.12.13 y 2.0.5, ya disponibles para descargar desde la página oficial del proyecto.

Más información:

Wireshark 1.12.13 is now available

Wireshark 2.0.5 is now available


Antonio Ropero

Twitter: @aropero

jueves, 28 de julio de 2016

Vulnerabilidad en LastPass podía permitir el acceso a contraseñas de forma remota

Cada vez estamos más conectados en internet, tenemos más dispositivos y queremos tener todo en cualquier lugar y en cualquier momento. La nube, intenta hacer que esto pueda ser posible, y aunque a nivel funcional queda muy bonito, no es oro todo lo que reluce, y esta vez le ha tocado la china a LastPass, demostrando que tener nuestras contraseñas guardadas en la red puede ser de los peores hábitos para mantener nuestra privacidad.

LastPass es un gestor de contraseñas, un programa que permite gestionar y mantener tus contraseñas de forma segura, y permite hacerlo de forma remota. Para esto utiliza el sistema AES-256 con cifrado PBKDF2 SHA-256 y hashes con salt.

El conocido investigador de seguridad Tavis Ormandy (@tavido) del equipo Project-Zero de Google, ha sido quien ha encontrado esta vulnerabilidad y se ha puesto en contacto con LastPass con los detalles de la vulnerabilidad para que pueda ser subsanada.
El error se debe a un error en el diseño de la comunicación entre los componentes con privilegios y sin privilegios. Esto permite que los manejadores de eventos de los componentes creen componentes iframe con privilegios. Si se modifica el parámetro url de estos iframe, un componente será el encargado de lanzar un mensaje para ver si el destino es seguro o no, pero gracias a la captura del evento MouseEvent() a través de Javascript estos mensajes podrán llegar a ser legítimos.

Tavis, además ha confirmado que hizo una demostración rápida en la cual conseguía de forma remota (RPC) eliminar ficheros. También ha publicado una lista completa de los componentes a los que se pueden acceder de forma remota.



El problema ha sido confirmado por el equipo de LastPass, si bien igualmente afirman que solo afecta a la extensión para FireFox. También añaden que ya ha sido totalmente corregido con una actualización automática para todos los usuarios de LastPass 4.0 o posterior.

El equipo de LastPass aprovecha también para comentar un problema comunicado de forma responsable hace más de un año, por el investigador Mathias Karlsson (@avlidienbrunn), y que igualmente fue corregido en su momento.


Karlsson ha publicado recientemente un aviso con sus descubrimientos, en relación a un problema en el tratamiento de URLs y que también podría permitir el acceso a todas las contraseñas con solo visitar una web. En este caso afectaba a todas las versiones de los navegadores que fueron actualizadas sin intervención de los usuarios.

Más información:

Reporte de Tavis
LastPass: design flaw in communication between privileged and unprivileged components

LastPass Security Updates

How I made LastPass give me all your passwords



Jose Ignacio Palacios Ortega