sábado, 18 de octubre de 2014

Oracle corrige 154 vulnerabilidades en su actualización de seguridad de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica suboletín de seguridad de octubre. Contiene parches para 154 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:

  • Oracle Database 11g Release 1, versión 11.1.0.7
  • Oracle Database 11g Release 2, versiones 11.2.0.3, 11.2.0.4
  • Oracle Database 12c Release 1, versiones 12.1.0.1, 12.1.0.2
  • Oracle Application Express, versiones anteriores a 4.2.6
  • Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.5, 11.1.1.7
  • Oracle Fusion Middleware 11g Release 2, versiones 11.1.2.1, 11.1.2.2, 11.1.2.4
  • Oracle Fusion Middleware 12c, versiones 12.1.1.0, 12.1.2.0, 12.1.3.0
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.8
  • Oracle Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle Adaptive Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle Endeca Information Discovery Studio versiones 2.2.2, 2.3, 2.4, 3.0, 3.1
  • Oracle Enterprise Data Quality versiones 8.1.2, 9.0.11
  • Oracle Identity Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle JDeveloper, versiones 10.1.3.5, 11.1.1.7, 11.1.2.4, 12.1.2.0, 12.1.3.0
  • Oracle OpenSSO version 3.0-04
  • Oracle WebLogic Server, versiones 10.0.2, 10.3.6, 12.1.1, 12.1.2, 12.1.3
  • Application Performance Management, versiones anteriores a 12.1.0.6.2
  • Enterprise Manager for  Oracle Database Releases 10g, 11g, 12c
  • Oracle E-Business Suite Release 11i version 11.5.10.2
  • Oracle E-Business Suite Release 12 versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3, 12.2.4
  • Oracle Agile PLM, versiones 9.3.1.2, 9.3.3
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0 hasta 6.3.5
  • Oracle PeopleSoft Enterprise HRMS, version 9.2
  • Oracle PeopleSoft Enterprise PeopleTools, versiones 8.52, 8.53, 8.54
  • Oracle JD Edwards EnterpriseOne Tools, version 8.98
  • Oracle Communications MetaSolv Solution, versiones MetaSolv Solution: 6.2.1.0.0, LSR: 9.4.0, 10.1.0, ASR: 49.0.0
  • Oracle Communications Session Border Controller, version SCX640m5
  • Oracle Retail Allocation, versiones 10.0, 11.0, 12.0, 13.0, 13.1, 13.2
  • Oracle Retail Clearance Optimization Engine, versiones 13.3, 13.4, 14.0
  • Oracle Retail Invoice Matching, versiones 11.0, 12.0, 12.0 IN, 12.1, 13.0, 13.1, 13.2, 14.0
  • Oracle Retail Markdown Optimization, versiones 12.0, 13.0, 13.1, 13.2, 13.4
  • Oracle Health Sciences Empirica Inspections, versiones 1.0.1.0 y anteriores
  • Oracle Health Sciences Empirica Signal, versiones 7.3.3.3 y anteriores
  • Oracle Health Sciences Empirica Study, versiones 3.1.2.0 y anteriores
  • Oracle Primavera Contract Management, versiones 13.1, 14.0
  • Oracle Primavera P6 Enterprise Project Portfolio Management, versiones 7.0, 8.1, 8.2, 8.3
  • Oracle JavaFX, versión 2.2.65
  • Oracle Java SE, versiones 5.0u71, 6u81, 7u67, 8u20
  • Oracle Java SE Embedded, versión 7u60
  • Oracle JRockit, versiones R27.8.3, R28.3.3
  • Oracle Fujitsu server, versiones M10-1, M10-4, M10-4S
  • Oracle Solaris, versiones 10, 11
  • Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0, 5.1
  • Oracle VM VirtualBox, versiones anteriores a 4.1.34, 4.2.26, 4.3.14
  • Oracle MySQL Server, versiones 5.5.39 y anteriores, 5.6.20 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • 31 nuevas vulnerabilidades corregidas en Oracle Database Server, dos de ellas explotables de forma remota sin autenticación. Afecta a los componentes JPublisher, Java VM, SQLJ, Application Express, JDBC y Core RDBMS.
         
  • Otras 18 vulnerabilidades afectan a Oracle Fusion Middleware. 14 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Adaptive Access Manager, Oracle Enterprise Data Quality, Oracle Identity Manager, Oracle OpenSSO, Oracle Endeca, Information Discovery Studio, Oracle WebLogic Server, Oracle Access Manager y Oracle JDeveloper..
        
  • Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control por vulnerabilidades no explotables de forma remota sin autenticación.
         
  • Dentro de Oracle Applications, 10 parches son para Oracle E-Business Suite, cinco parches son para Oracle Supply Chain Products Suite, cinco para productos Oracle PeopleSoft y uno para productos Oracle JD Edwards.
         
  • Igualmente dentro de Oracle Industry Applications se incluyen dos nuevos parches para Oracle Communications Applications, cuatro nuevos parches para Oracle Retail Applications y tres para Oracle Health Sciences Applications.
         
  • Dos nuevas actualizaciones de seguridad para Oracle Primavera Products Suite.
         
  • En lo referente a Oracle Java SE se incluyen 25 nuevos parches de seguridad. 22 de ellas podrían ser explotadas por un atacante remoto sin autenticar.
         
  • 15 de las vulnerabilidades afectan a a la Suite de Productos Sun, 14 de ellas a Solaris (todas afectan a la versión 11 y dos de ellas también afectan a la 10).
        
  • Siete nuevas actualizaciones afectan a Oracle Virtualization.
        
  • 24 nuevas vulnerabilidades afectan a MySQL Server, Nueve de ellas explotables de forma remota sin autenticación.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - October 2014

Más información:

Oracle Critical Patch Update Advisory - October 2014


Antonio Ropero
Twitter: @aropero

viernes, 17 de octubre de 2014

Android y su malware

Recientemente la empresa de seguridad AdaptiveMobile ha descubierto un nuevo malware que afecta a dispositivos Android (identificado como Selfmite.b por los antivirus). Este malware usa los SMS para propagarse e infectar otros dispositivos. 

En general malware es el término para englobar a todo el software diseñado para hacer algún tipo de daño en un sistema o dispositivo, pueden ser gusanos, troyanos, virus, bombas lógicas… o englobar características de varios de ellos. Puede usar vulnerabilidades del dispositivo de la víctima o simplemente ingeniería social para ejecutarse. En esta entrada, presentamos una selección de varios tipos de malware que afectan a Android en la actualidad y que emplean técnicas de propagación poco habituales.

Malware que se propaga por SMS

El Samsapo.a fue descubierto en abril 2014 por ESET. Para propagarse e infectar otros dispositivos, envía un SMS a los contactos con el mensaje "Это твои фото?" ("Es ésta tu foto?") y un enlace a un APK malicioso. Cuando el usuario hace un clic sobre el enlace, el dispositivo descarga el APK y ofrece al usuario instalarlo. Si el usuario acepta, el malware se instala en su dispositivo. Este malware puede robar datos personales como números de teléfonos de los contactos, SMS, bloquear llamadas, etc.

El Android/XShenqi.A fue descubierto en agosto de 2014 y llegó a afectar a más de 500. 000 móviles. Fue diseminado durante el día de Santa Valentina en China. Cuando se ejecuta, recoge la lista de contactos y envía un SMS con el mensage "看这个" ("Mira eso" en chino) y un enlace a un APK malicioso (http://.../down/4279193/XXshenqi.apk). Además de eso, el malware graba todos los SMS recibidos por el dispositivo y los reenvía al atacante.

El Selfmite.b es el malware que se propaga a través de SMS descubierto más recientemente. Se trata de una actualización de otro malware similar detectado en junio (Selfmite.a). Este tipo de malware usa los SMS para propagarse, con el mensaje "Look The Self-time" en la primera versión y "Hi buddy, try this, its amazing u know" ("Hola amigo, prueba esto, es increíble") para la segunda versión y acompañado de un enlace a un APK malicioso. Este malware anuncia aplicaciones Android para instalar. Cada vez que el usuario infectado instala alguna de esas aplicaciones el atacante es remunerado (pago por instalación). El atacante puede cambiar las aplicaciones a anunciar cambiando la configuración que se descarga el malware.


Malware que se propaga por Bluetooth

El Backdoor.AndroidOS.Obad.a es un malware que usa el Bluetooth para propagarse. Va a escanear todos los dispositivos en su entorno que tengan el Bluetooth activado y se envía. Si el usuario acepta recibir el archivo (el malware) e instalarlo, quedará infectado. El malware tiene la posibilidad de enviar SMS premium, recibir comandos del servidor del atacante para descargar archivos, enviar la lista de aplicaciones instaladas, enviar los contactos de la víctima, etc.

Malware que se propaga por Whatsapp

El priyanka fue descubierto en julio de 2013. Recoge la lista de contactos de Whatsapp y envía una aplicación (el propio malware) a los contactos. Si el contacto lo acepta y lo instala, vera que el nombre de sus contactos ha cambiado por la cadena "Priyanka".

Todavía, no hemos visto ningún malware que haga uso del Near Field Communication (NFC) para propagarse e infectar otros dispositivos. Aunque el correo electrónico se usa habitualmente para diseminar malware Android directamente por un atacante, en la actualidad no hemos visto ningún malware que haga uso del correo electrónico para infectar otros dispositivos Android.

El usuario puede protegerse desactivando la instalación de los APK que provengan de fuentes no oficiales. En efecto, la mayoría de las infecciones usan la ingeniería social para instalarse en un dispositivo. Por ejemplo, el atacante envía un SMS con un enlace que redireccione a un APK. Cuando el usuario hace un clic sobre el enlace, el dispositivo descarga el APK y propone al usuario de instalar ese mismo APK (es decir la aplicación maliciosa).

Más información:

Android malware worm catches unwary users

Selfmite.a
Selfmite: Attack using SMS worm to increase pay-per-install income

Selfmite.b
Take Two: Selfmite.b Hits the Road

Chinese Worm Infects Thousands of Android Phones

Bluetooth (Backdoor.AndroidOS.Obad.a)
The most sophisticated Android Trojan

Internet via Whatsapp. Priyanka.
WhatsApp users, ignore messages from 'Priyanka' - it's a worm

2014-03-06 - MALICIOUS ANDROID APP



Laurent Delosières