miércoles, 28 de febrero de 2007

Actualización de fetchmail para productos Novell SuSE

Novell ha publicado una actualización para fetchmail que soluciona varios problemas de seguridad.

"fetchmail" es una herramienta utilizada para descargar correo electrónico de servidores y repartirlo en diversas cuentas locales. Se trata de un servicio utilizado con asiduidad por administradores de sistemas con conexiones no permanentes a Internet.

* Si fetchmail está configurado en modo multidrop, un atacante remoto podría provocar una denegación de servicio si se envían mensajes especialmente manipulados.

* Fetchmail no comprueba correctamente TLS bajo ciertas circunstancias y podría permitir el tránsito de contraseñas en texto claro, lo que permitiría a atacantes obtener información sensible.

* A la hora de rechazar un mensaje recibido a través de la opción mda, un atacante podría provocar una denegación de servicio a través de vectores desconocidos cuando se llama las funciones ferror o fflush.

Se recomienda actualizar a través de la herramienta automática YaST Online Update (YOU).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security update for fetchmail
http://support.novell.com/techcenter/psdb/460569ff05f9f1dd9cb03924fffb9bda.html

martes, 27 de febrero de 2007

Actualización del kernel para Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización para el kernel debido a que se han encontrado varios problemas de seguridad.

* Un fallo en el algoritmo por el que se evita la colisión de números de serie del subsistema keyctl permitía a un usuario local provocar una denegación de servicio.

* Un fallo en la implementación de vigilancia de ficheros del subsistema de auditoría que permitía a un usuario local provocar una denegación de servio. Para aprovechar este fallo un atacante local debería haber creado previamente un vigilante para un fichero.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

kernel security update
http://rhn.redhat.com/errata/RHSA-2007-0085.html

lunes, 26 de febrero de 2007

La nueva versión de Mozilla Firefox no corrige todas las vulnerabilidades conocidas

La publicación de la versión 2.0.0.2 del navegador Mozilla Firefox corrige numerosos problemas de seguridad, sin embargo, continúa siendo vulnerable a otros fallos encontrados anteriormente por Michal Zalewski.

La nueva versión corrige hasta once problemas de seguridad, algunos de ellos críticos pero no ha dado respuesta a otros fallos descubiertos en los últimos días por Michal Zalewski, el nuevo azote de los navegadores.

Uno de los fallos más graves corregidos se basa en el manejo de los eventos "onunload" y también Internet Explorer es vulnerable. Estos eventos permiten que una web especialmente manipulada llegue a abortar la carga de una página nueva. Bajo Internet Explorer, esto puede ser aprovechado para falsificar la barra de direcciones y hacer pensar al usuario que se encuentra bajo una dirección legítima. Bajo Firefox, este fallo es mucho más grave (podría permitir la ejecución de código) y es calificado por Mozilla como crítico. Parece haber sido solucionado en tiempo récord en esta última versión.

Zalewski es fiel seguidor de la filosofía de la revelación total de los detalles de las vulnerabilidades de forma pública, lo que ha obligado a la organización Mozilla a retrasar la publicación de esta última actualización para solucionar en ella algunos fallos descubiertos últimamente. Aun así no han podido con todos. La vulnerabilidad por la que Zalewski llegó a calificar a Firefox como "el mejor amigo de los phishers", no ha sido corregida. Este fallo se basa en que Firefox permite que código script abra una pestaña con una dirección en blanco y se añada contenido arbitrario en ella. También se puede aprovechar para inyectar código en la propia página, lo que facilitaría los ataques phishing.

Tampoco parece haber sido corregido un fallo que permitiría por ejemplo el robo de cookies a través de la lista de favoritos, desde los que se puede inyectar y ejecutar código script. Según Zalewski, la extensión NoScript no protegería totalmente de este problema.

Además, el navegador sigue siendo vulnerable a ciertos problemas de denegación de servicio creados por Zalewski que permiten que el navegador deje de responder al visitar una página. Estas pruebas de concepto han sido capaces de afectar a casi todas las nuevas versiones de Firefox creadas desde hace meses.

Por último, destacar que esta última actualización parece haber solucionado por fin el problema de robo de credenciales almacenadas en el administrador de contraseñas del navegador, que permitía a dominios de terceros tener acceso a ellas a través de un ataque basado en Reverse Cross-Site Request (RCSR). Este fallo fue descubierto a mediados de noviembre de 2006 y ha traído de cabeza a la comunidad alrededor de Firefox para poder implementar una solución aceptable manteniendo una funcionalidad adecuada de toda la aplicación.

Hasta ahora Firefox no está siendo atacado (por mafias informáticas) como el navegador más usado Internet Explorer. Si su ritmo de crecimiento sigue al alza, deberá demostrar que es capaz de aguantar una eventual embestida en forma de ataques reales que lo tomen como objetivo.

Así las cosas, se recomienda una inmediata actualización del navegador desde http://www.mozilla.org o el uso de alternativas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerabilidades corregidas en versión 2.0.0.2:
http://www.mozilla.org/security/announce/2007/mfsa2007-08.html
http://www.mozilla.org/security/announce/2007/mfsa2007-07.html
http://www.mozilla.org/security/announce/2007/mfsa2007-06.html
http://www.mozilla.org/security/announce/2007/mfsa2007-05.html
http://www.mozilla.org/security/announce/2007/mfsa2007-04.html
http://www.mozilla.org/security/announce/2007/mfsa2007-03.html
http://www.mozilla.org/security/announce/2007/mfsa2007-02.html
http://www.mozilla.org/security/announce/2007/mfsa2007-01.html

Memory corruption when onUnload is mixed with document.write()s
https://bugzilla.mozilla.org/show_bug.cgi?id=371321

bookmarked data: or javascript: URLs can be used to cross domains
https://bugzilla.mozilla.org/show_bug.cgi?id=371179

Firefox bookmark cross-domain surfing vulnerability
http://lcamtuf.coredump.cx/ffbook/

domingo, 25 de febrero de 2007

Ejecución de código a través de DCE/RPC en Snort 2.x

Se ha encontrado un fallo en Snort que pude ser aprovechado por atacantes para ejecutar código arbitrario.

Snort es uno de los IDS (Sistema de Detección de Intrusiones) más extendidos. Distribuido de forma gratuita como Open Source, Snort puede detectar un gran número de patrones de ataque conocidos basándose en el análisis de los paquetes de red según unas bases de datos de firmas, además de reglas genéricas.

El fallo se debe a un error de límites en el preprocesador DCE/RPC a la hora de resensamblar peticiones SMB Write AndX. Esto puede ser aprovechado para provocar un desbordamiento de memoria intermedia si se envía un paquete especialmente manipulado a la red y es monitorizado por Snort.

El fallo se ha confirmado en las versiones Snort 2.6.1, 2.6.1.1, 2.6.1.2 y Snort 2.7.0 beta 1. El problema también afecta a Sourcefire Intrusion Sensor versiones 4.1, 4.5 y 4.6

Se recomienda actualizar a la versión: 2.6.1.3 disponible desde:
http://www.snort.org/dl/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Sourcefire Advisory: Vulnerability in Snort DCE/RPC Preprocessor
http://www.snort.org/docs/advisory-2007-02-19.html

Sourcefire Snort Remote Buffer Overflow
http://www.iss.net/threats/257.html

sábado, 24 de febrero de 2007

Múltiples vulnerabilidades en gzip de Sun Solaris 8, 9 y 10

Sun reconoce múltiples problemas en gzip que pueden provocar la ejecución de código arbitrario o denegación de servicio. La firma acaba de publicar los parches para esta vulnerabilidad.

Se han detectado múltiples problemas en gzip que pueden permitir a un atacante local o remoto sin privilegios, ejecutar código arbitrario con los privilegios de otro usuario que utilice el comando gzip o provocar una denegación de servicio a través de un archivo gzip especialmente manipulado.

Entre las vulnerabilidades corregidas:

* Un desbordamiento de memoria intermedia en la función make_table en el componente LHZ puede llevar a la ejecución de código arbitrario a través de una tabla de decodificación especialmente manipulada en un archivo gzip.

* Denegación de servicio a través de unlzh.c en el componente LHZ.

* Desbordamiento de memoria intermedia en la función build_tree en unpack.c permite ejecución de código.

* Error de índices de array en la función make_table en unlzh.c en el componente LZH, bajo ciertas plataformas, permite provocar una denegación de servicio y potencialmente ejecución de código.

* Referencia de puntero a nul a través de una vulnerabilidad no especificada permite provocar denegaciones de servicio con un archivo gzip especialmente manipulado.

Según versión y plataforma, las actualizaciones están disponibles
desde:

Para SPARC:

Para Solaris 9 instalar 116340-06 desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116340-06-1
o posterior

Para Solaris 10 instalar 120719-02 desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120719-02-1
o posterior

Para x86:

Para Solaris 9 instalar 116341-06 desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116341-06-1
o posterior

Para Solaris 10 instalar 120720-02 desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120720-02-1
o posterior


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple Security Vulnerabilities in the gzip(1) Command May Lead to Denial of Service (DoS) or Execution of Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102766-1

viernes, 23 de febrero de 2007

Ejecución de código en Trend Micro ServerProtect 5.x

Se han descubierto una vulnerabilidad en Trend Micro ServerProtect que
puede permitir a un atacante remoto no autenticado ejecutar código
arbitrario.

Existe un problema de desbordamiento de pila en las librerías
StCommon.dll y eng50.dll (función CMON_NetTestConnection) que pueden
permitir a un atacante remoto enviar paquetes especialmente
manipulados al servicio DCE/RPC a través del puerto TCP 5168 asociado
a SpntSvc.exe y ejecutar código arbitrario.

Trend Micro ha puesto a disposición de sus clientes una actualización
que soluciona este problema disponible desde:
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034290


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[Vulnerability Response] Buffer overflow in ServerProtect
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034290

Trend Micro ServerProtect "StCommon.dll" and "eng50.dll" Buffer Overflow Vulnerabilities
http://www.frsirt.com/english/advisories/2007/0670

jueves, 22 de febrero de 2007

Múltiples vulnerabilidades en Cisco Secure Services Client (CSSC) y Cisco Security Agent (CSA)

Cisco ha hecho públicas varias vulnerabilidades en Cisco Security Agent (CSA) y Cisco Secure Services Client (CSSC) que pueden permitir a un atacante elevar privilegios u obtener información sensible.

Según Cisco, cualquier versión anterior a las versiones mencionadas puede resultar vulnerable:
* Cisco Secure Services Client 4.x
* Cisco Trust Agent 1.x y 2.x
* Meetinghouse AEGIS SecureConnect Client (para Windows)
* Cisco Security Agent (CSA) bundle versions 5.0 y 5.1

Los fallos son:

* Un atacante no privilegiado presentado en el sistema podría elevar sus privilegios a través de la ayuda gráfica.

Esta vulnerabilidad ha sido clasificada con el identificador de bugs Cisco:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsf14120

* Un atacante no privilegiado presentado en el sistema podría elevar sus privilegios lanzando cualquier programa a través de la aplicación con privilegios de SYSTEM.

Esta vulnerabilidad ha sido clasificada con el identificador de bugs Cisco:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsf15836

* Listas de control de acceso discrecional inseguras para la interfaz gráfica del cliente de conexión (ConnectionClient.exe) permiten a usuarios no privilegiados inyectar una hebra bajo el proceso que se ejecuta con privilegios de SYSTEM.

Esta vulnerabilidad ha sido clasificada con el identificador de bugs Cisco:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsg20558

* Debido a un fallo a la hora de interpretar comandos, un atacante no privilegiado presentado en el sistema podría lanzar un proceso como el usuario SYSTEM.

Esta vulnerabilidad ha sido clasificada con el identificador de bugs Cisco:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsh30624

* Varios métodos de autenticación que transmiten la contraseña por un túnel protegido almacenan la contraseña en texto claro en los registros del sistema. Los métodos afectados son:
TTLS CHAP, TTLS MSCHAP, TTLS MSCHAPv2, TTLS PAP, MD5, GTC, LEAP, PEAP,
MSCHAPv2, PEAP GTC, FAST .

Y los ficheros donde quedarían las contraseñas (en sus configuraciones por defecto):

CTA Wired Client:
\Program Files\Cisco Systems\Cisco Trust Agent 802_1x Wired Client\system\log\apiDebug_current.txt
\Program Files\Cisco Systems\Cisco Trust Agent 802_1x Wired Client\system\log\apiDebug_1.txt
\Program Files\Cisco Systems\Cisco Trust Agent 802_1x Wired Client\system\log\apiDebug_2.txt

Cisco Secure Services Client:
\Program Files\Cisco System\Cisco Secure Services Client\system\log\apiDebug_current.txt
\Program Files\Cisco System\Cisco Secure Services Client\system\log\apiDebug_1.txt
\Program Files\Cisco System\Cisco Secure Services Client\system\log\apiDebug_2.txt

AEGIS Secure Connect:
\Program Files\Meetinghouse\AEGIS
SecureConnect\System\log\apiDebug_current.txt
\Program Files\Meetinghouse\AEGIS SecureConnect\System\log\apiDebug_1.txt
\Program Files\Meetinghouse\AEGIS SecureConnect\System\log\apiDebug_2.txt

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema. Cisco ha publicado la versión no vulnerable de CTA 2.1.103.0 y 4.0.51.5192 de Secure Services Client.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a00807ebe6e.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities in 802.1X Supplicant
http://www.cisco.com/en/US/products/products_security_advisory09186a00807ebe6e.shtml

miércoles, 21 de febrero de 2007

¿Se puede confiar en el UAC de Windows Vista?

Ollie Whitehouse de Symantec ha descubierto una forma de burlar el código de colores que utiliza UAC (User Account Control) de Windows Vista. Esta nueva funcionalidad en Vista, destinada a reforzar el control de los privilegios de los usuarios y por tanto las aplicaciones que ejecutan, ha sido duramente criticada en las últimas semanas.

El sistema de ventanas de aviso que utiliza UAC está basado en la toma de decisiones según la firma del ejecutable, reforzada con un código de colores. Si Vista pide permiso para ejecutar en modo privilegiado una aplicación cuyo firmante está bloqueado, aparecerá un aviso en color rojo alertando sobre la potencial peligrosidad de la ejecución. Si la aplicación está firmada por Microsoft, el aviso aparece en un tono verde. Si es de terceros en un tono gris neutro y si la aplicación no está firmada por nadie aparece en un amarillo chillón. Esto, visualmente, ayuda al usuario a identificar de forma rápida la firma de una aplicación que pretende elevar privilegios y supone una cierta garantía de que la aplicación ha pasado unos mínimos controles (la firma no indica nada sobre su actividad pero sí sobre su integridad y autoría). En definitiva, el usuario podrá decidir mejor quién quiere elevar privilegios en Vista.

Lo que ha descubierto Ollie Whitehouse es que ayudándose del ejecutable RunLegacyCPLElevated.exe (y posiblemente otros en Windows Vista) se podría hacer aparecer una alerta "verde" ante cualquier programa, lo que indicaría visualmente (y de forma errónea) al usuario que lo que pretende elevar privilegios está firmado por Microsoft.

RunLegacyCPLElevated.exe tiene la función de proporcionar compatibilidad hacia atrás para los antiguos plug-in de Windows Control Panel (archivos CPL) para que funcionen con privilegios de administrador. Este programa admite una librería (DLL) arbitraria como parámetro. Según Whitehouse, el siguiente escenario es posible:

* Un usuario sin privilegios se infecta por código dañino que es ejecutado también sin privilegios.

* Este código descarga un fichero CPL especialmente manipulado en cualquier parte del disco donde este usuario pueda escribir.

* El código llama a RunLegacyCPLElevated.exe con el archivo CPL especialmente manipulado como parámetro.

* Se le presenta al usuario la advertencia (verde) de que intenta ejecutar código firmado por Microsoft. Lo admite y el código dañino obtiene privilegios de administrador.

La confusión se basa en que mientras que RunLegacyCPLElevated.exe sí que es una aplicación firmada por Microsoft, la librería que carga y ejecuta por parámetros puede no estar firmada e incluso localizarse en un lugar no confiable del sistema operativo. Con esta "técnica" también se puede burlar la directiva "User Account Control: Sólo elevar privilegios de ejecutables que estén firmados y validados".

La respuesta a esto por parte de Microsoft ha sido que según sus "Security Best Practice Guidance for Consumers", es necesario recordar que los cuadros de diálogo UAC no suponen una frontera de seguridad, no ofrecen seguridad directa, sino que dan la oportunidad de verificar una acción en el sistema antes de que ocurra.

Whitehouse advierte que si la información presentada por la UAC no es de fiar, se presenta un verdadero dilema. Según él, Microsoft habla de UAC y "confianza" y también de tomar decisiones por parte del usuario antes de que sea tarde, lo que se convierte en el problema del huevo y la gallina. Confiar en la información de la UAC para tomar una decisión o tomar una decisión basada en una falsa sensación de "confianza" ante una advertencia de UAC.

Aunque para Microsoft no suponga una "vulnerabilidad" en sí misma, esta técnica descrita por Whitehouse será quizás una de las primeras "fórmulas" que aparecerán para burlar los nuevos sistemas de seguridad y prevención introducidos en Windows Vista, que si bien mejoran la seguridad, suponen quizás un todavía tímido acercamiento a un serio problema.

Windows es víctima una vez más de su antigua filosofía. Hasta 2001 con XP no implementó un sistema multiusuario real en su sistema operativo de sobremesa. Aun así, esta propiedad fue tristemente desaprovechada, incentivando siempre para las tareas cotidianas "la cultura del administrador por defecto" (por parte de los programadores y del propio sistema al incluir la cuenta inicial en el grupo de administradores). Esta "cultura" que no se preocupa por los permisos en la máquina ha calado demasiado hondo en usuarios Windows, y superar ahora ese "obstáculo" no va a ser fácil ni para sus clientes ni para la propia Microsoft. Mucho menos con tácticas que inducen a confusión de por medio.


Sergio de los Santos
ssantos@hispasec.com


Más información:

An Example of Why UAC Prompts in Vista Can’t Always Be Trusted
http://www.symantec.com/enterprise/security_response/weblog/2007/02/an_example_of_why_uac_prompts.html

Understanding and Configuring User Account Control in Windows Vista
http://technet2.microsoft.com/WindowsVista/en/library/00d04415-2b2f-422c-b70e-b18ff918c2811033.mspx

martes, 20 de febrero de 2007

Denegación de servicio en el kernel 2.6.x de Linux

Se ha encontrado una vulnerabilidad en el kernel de linux que puede ser aprovechada por atacantes para provocar una denegación de servicio.

El fallo se debe a una liberación inválida de puntero cuando se manejan peticiones ACCESS en NFSACL 2, concretamente en la función "nfsaclsvc_release_getacl()" de fs/nfsd/nfs2acl.c. Esto puede ser usado para hacer que el kernel deje de responder.

Se recomienda actualizar a la versión 2.6.20.1 desde http://www.kernel.org


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linux Kernel NFSACL "nfsaclsvc_release_getacl()" Function Denial of Service Issue
http://www.frsirt.com/english/advisories/2007/0660

lunes, 19 de febrero de 2007

Zalewski vuelve a alertar sobre problemas de seguridad en Firefox

Michal Zalewski se dio a conocer durante 2006 por su trabajo a la hora de poner a prueba la seguridad de los distintos navegadores. Ha descubierto varias vulnerabilidades tanto en Internet Explorer como Firefox, dedicándose con especial hincapié en desafiar a este último navegador, al que ha sabido buscarle las cosquillas. Entre otros fallos, los torpedos de Zalewski (una serie de exploits que provocaban que el navegador dejase de responder) han podido con el código de Firefox en varias ocasiones incluso después de crear actualizaciones.

En esta última semana (poco después de que se hicieran públicas otras vulnerabilidades en Firefox), Zalewski ha vuelto a anunciar varios errores de diseño que considera constituyen serios problemas de seguridad.

El primer problema se basa en la forma en la que Firefox maneja la escritura en la propiedad DOM location.hostname. Esto permite crear un script que modificaría su valor con datos que serían normalmente aceptados como nombres de host válidos cuando se interpreta una URL. Se pone como ejemplo un ataque basado en la cadena \x00. El resolvedor DNS y otras partes del código lo interpretan como el final de una cadena mientras que las cadenas de las variables DOM no. Según el ejemplo del propio Zalewski, evil.com\x00foo.example.com sería considerado por el código como parte del dominio example.com mientras que las peticiones irían a parar a evil.com y éste sería capaz de modificar las cookies de la página legítima. Parece que ya existe parche para este fallo pero aún no se ha hecho público.

Existe otro problema relativamente de menor consideración, pero que según el propio Zalewski merece la pena hacer notar. Se trata de un fallo de diseño por el que un script podría abrir la URL about:blank en una nueva pestaña. Esto permitiría al script interactuar con este documento como si se tratase de una página en el mismo dominio, lo que incluye inyección HTLM. Según Zalewski esto sería perfecto para perpetrar ataques phishing. Este fallo permite a un atacante eludir también una solución a un error anterior que se pensaba totalmente corregido. El problema también afecta a Microsoft Internet Explorer 7, pero sólo si la opción "Permitir a páginas abrir ventanas sin barras de estado o dirección" está marcada. Para facilitar todavía más las cosas a los phishers, a principios de febrero se descubrió un problema en Firefox que permitía a una página fraudulenta eludir el control antiphishing del programa con sólo añadir una barra "/" al final de la URL.

Zalewski se queja además de otro "terrible" error de diseño que comparten estos navegadores y del que se tiene constancia desde 2004. Las notificaciones de seguridad que aparecen en la parte superior de las ventanas pueden ser trivialmente falsificadas porque se sitúan en una zona accesible por scripts. Este error todavía está ahí.

Parece que Zalewski se podría erigir como un "nuevo" Guninski. Georgi Guninski, desde finales de los 90 hasta bien entrada la nueva década, descubrió decenas de errores de seguridad en el navegador Internet Explorer (su "especialidad") y otros muchos programas.

Así la situación, hasta que los errores queden corregidos, se recomienda utilizar extensiones como NoScript o hacer uso de las zonas de seguridad de Internet Explorer.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Firefox Phishing Protection Bypass Vulnerability
http://www.securiteam.com/securitynews/5MP0320KKK.html

Firefox Popup Blocker Allows Reading Arbitrary Local Files
http://www.securiteam.com/securitynews/5JP051FKKE.html

Firefox + popup blocker + XMLHttpRequest + srand() = oops
http://archives.neohapsis.com/archives/fulldisclosure/2007-02/0103.html

Firefox: serious cookie stealing / same-domain bypass vulnerability
http://lists.grok.org.uk/pipermail/full-disclosure/2007-February/052447.html

Firefox focus stealing vulnerability (possibly other browsers)
http://lists.grok.org.uk/pipermail/full-disclosure/2007-February/052333.html

Firefox: about:blank is phisher's best friend
http://seclists.org/bugtraq/2007/Feb/0323.html

domingo, 18 de febrero de 2007

Ejecución de código a través del Finder de Mac OS X 10.x

Se ha anunciado la existencia de una vulnerabilidad en Mac OS X Finder, por la que un usuario remoto puede lograr la ejecución de código arbitrario en los sistemas afectados.

El problema reside en un desbordamiento de búfer en el tratamiento de nombres de volumen de Finder. Un usuario remoto podrá crear una imagen de disco especialmente modificada para que cuando lo monte el usuario atacado, se provoque el desbordamiento de búfer y la ejecución de código en el sistema de la víctima.

Las versiones anteriores a Mac OS X v10.4 no se ven afectadas.

Apple ha publicado una actualización como parte del Security Update 2007-002, disponible desde Software Update en System Preferences, o desde el sitio web Software Downloads en el web de Apple:
http://www.apple.com/support/downloads/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

About Security Update 2007-002
http://docs.info.apple.com/article.html?artnum=305102

sábado, 17 de febrero de 2007

Vulnerabilidades de cross-site scripting en ColdFusion MX

Adobe ha anunciado la existencia de dos vulnerabilidades en ColdFusion MX, que pueden ser empleadas por atacantes para construir ataques de cross-site scripting.

El primero de los problemas reside en que las entradas pasadas a determinados parámetros no se limpia adecuadamente antes de ser devuelta al usuario. Esto podrá ser empleado por un atacante para ejecutar código html arbitrario y código script code en una sesión de usuario del navegador. La explotación exitosa requiere que no esté habilitado Global Script Protection.

Este problema afecta a ColdFusion MX 7. la actualización para corregirlo está disponible en:
http://download.macromedia.com/pub/security/bulletins/apsb07-03/apsb07-03.zip

El segundo de los problemas reside en una vulnerabilidad en la página de error por defecto de ColdFusion, que puede permitir a un atacante evitar la protección cross-site scripting. Se ven afectados ColdFusion MX 7.X y ColdFusion MX 6.X.
Adobe recomienda sustituir el detail.cfm disponible en las siguientes direcciones:
Para ColdFusion MX 7:
http://download.macromedia.com/pub/security/bulletins/apsb07-04/CFMX7_APSB07-04.zip
Para ColdFusion MX 6.1:
http://download.macromedia.com/pub/security/bulletins/apsb07-04/CFMX6_APSB07-04.zip
las localizaciones del archivos son:
Para Windows: {cf_root}\wwwroot\WEB-INF\exception\detail.cfm
Para Unix/Linux: {cf_root}/wwwroot/WEB-INF/exception/detail.cfm


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Patch available for ColdFusion MX 7 cross-site scripting issue when Global Script Protection is not enabled
http://www.adobe.com/support/security/bulletins/apsb07-03.html

Patch available for ColdFusion MX cross-site scripting issue
http://www.adobe.com/support/security/bulletins/apsb07-04.html

viernes, 16 de febrero de 2007

Dos vulnerabilidades en el sistema IPS de Cisco IOS

Se han encontrado dos vulnerabilidades en el sistema de prevención de intrusos (IPS) de Cisco IOS.
* Paquetes IP fragmentados podrían ser usados para eludir la inspección de firmas. Algunas firmas IPS utilizan expresiones regulares. Existe un fallo por el que un atacante podría eludir estas firmas IPS si se usa tráfico especialmente manipulado como fragmentos IP. Esto puede resultar en que potencialmente, tráfico no deseado podría eludir la inspección de firmas y potencialmente atacar a los sistemas protegidos .Las firmas IPS que no usen expresiones regulares no se ven afectadas.

* Las firmas que utilizan la funcionalidad de expresiones regulares del motor de firmas ATOMIC.TCP puede hacer que el router deje de funcionar y provocar una denegación de servicio. Por ejemplo la firma 3123.0 ha demostrado disparar esta vulnerabilidad.

Parte de la gama Cisco IOS 12.x se ve afectada. Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a00807e0a5b.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Multiple IOS IPS Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20070213-iosips.shtml

jueves, 15 de febrero de 2007

Doce boletines de seguridad de Microsoft en febrero

Tal y como adelantamos la semana pasada, este martes Microsoft ha publicado doce boletines de seguridad (MS07-005 al MS07-016) dentro de su ciclo habitual de actualizaciones.

Según la propia clasificación de Microsoft seis de los nuevos boletines presentan un nivel de gravedad "crítico", mientras que los otros seis reciben la calificación de "importante".

* MS07-005: Evita una vulnerabilidad en Step-by-Step Interactive Training que puede ser aprovechada por atacantes para ejecutar código arbitrario. Está calificado como "importante".

* MS07-006: Se trata de una actualización para evitar una vulnerabilidad en la forma en la que Windows Shell detecta y registra nuevo hardware que puede permitir a un atacante local autenticado elevar privilegios y obtener completo control del sistema. Afecta a Windows XP y Windows Server 2003. Está calificado como "importante".

* MS07-007: Esta actualización resuelve una vulnerabilidad en el servicio Adquisición de imágenes de Windows (WIA) que podría permitir la elevación de privilegios y obtener completo control del sistema. Según la calificación de Microsoft está calificado como "importante". Afecta a Windows 2000, Windows XP y Windows Server 2003.

* MS07-008: Esta actualización resuelve una vulnerabilidad en el Control ActiveX de la Ayuda HTML que podría permitir la ejecución remota de código. Recibe una calificación de "crítico". Afecta a Windows 2000, Windows XP y Windows Server 2003.

* MS07-009: Se trata de una actualización para una vulnerabilidad en Microsoft Data Access Components que podría permitir la ejecución remota de código. Recibe el nivel de "Crítico".

* MS07-010: En este boletín se anuncian los parches de actualización necesarios para solventar una vulnerabilidad en el motor de protección contra malware de Microsoft que podría permitir la ejecución remota de código. Afecta a Windows Live OneCare, Antigen para Exchange Server 9.x y para SMTP Server 9.x, Microsoft Windows Defender y Microsoft Forefront Security .Está calificado como "crítico".

* MS07-011: Esta actualización resuelve una vulnerabilidad en el diálogo Microsoft OLE que podría permitir la ejecución remota de código. Afecta a Windows 2000, Windows XP y Windows Server 2003. Está considerado por Microsoft como "importante".

* MS07-012: Soluciona un error en Microsoft MFC que podría permitir a un atacante remoto ejecutar código arbitrario en el sistema de la víctima. Está calificado como "importante". Se ven afectados Windows 2000, Windows Server 2003, Windows XP y Microsoft Visual Studio .NET 2002 y 2003.

* MS07-013: Corrige una vulnerabilidad en Microsoft RichEdit que podría permitir la ejecución remota de código. Afecta a Windows 2000; Windows XP; Windows Server 2003; Office 2000, XP y 2003. Microsoft lo califica como "importante".

* MS07-014: Destinado a solucionar seis vulnerabilidades en Microsoft Word que pueden permitir a un atacante remoto ejecutar código arbitrario. Según la calificación de Microsoft está valorado como "crítico". Afecta a Word 2000, 2002 y 2003 y Word Viewer 2003

* MS07-015: Destinado a solucionar dos vulnerabilidades en Microsoft Office que pueden permitir a un atacante remoto ejecutar código arbitrario. Según la calificación de Microsoft está valorado como "crítico". Afecta a Office 2000, XP, 2002 y 2003.

* MS07-016: Actualización acumulativa para Microsoft Internet Explorer que además soluciona tres nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Según la calificación de Microsoft está calificado como "crítico". Afecta a Internet Explorer 5.01, 6 y 7.

Las actualizaciones publicadas pueden descargarse a través de Windows Update y Office Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de febrero de 2007
http://www.microsoft.com/spain/technet/security/Bulletin/ms07-feb.mspx

Boletín de seguridad de Microsoft MS07-005
Una vulnerabilidad en Step-by-Step Interactive Training podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-005.mspx

Boletín de Seguridad de Microsoft MS07-006
Una vulnerabilidad en el shell de Windows podría permitir la elevación de privilegios
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-006.mspx

Boletín de Seguridad de Microsoft MS07-007
Una vulnerabilidad en el servicio Adquisición de imágenes de Windows podría permitir la elevación de privilegios
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-007.mspx

Boletín de Seguridad de Microsoft MS07-008
Una vulnerabilidad en el control ActiveX de la Ayuda HTML podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-008.mspx

Boletín de Seguridad de Microsoft MS07-009
Una vulnerabilidad en Microsoft Data Access Components podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-009.mspx

Boletín de Seguridad de Microsoft MS07-010
Una vulnerabilidad en el motor de protección contra malware de Microsoft podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-010.mspx

Boletín de Seguridad de Microsoft MS07-011
Una vulnerabilidad en el diálogo OLE de Microsoft podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-011.mspx

Boletín de Seguridad de Microsoft MS07-012
Una vulnerabilidad en Microsoft MFC podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-012.mspx

Boletín de Seguridad de Microsoft MS07-013
Una vulnerabilidad en Microsoft RichEdit podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-013.mspx

Boletín de Seguridad de Microsoft MS07-014
Vulnerabilidades en Microsoft Word podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-014.mspx

Boletín de Seguridad de Microsoft MS07-015
Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-015.mspx

Boletín de Seguridad de Microsoft MS07-016
Actualización de seguridad acumulativa para Internet Explorer
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-016.mspx

miércoles, 14 de febrero de 2007

Sun Solaris vuelve a sorprender resucitando una vulnerabilidad "histórica"

El día 12 de febrero se dio a conocer una vulnerabilidad en Sun Solaris 10 tan simple como sorprendente. El fallo permitía el acceso trivial como cualquier usuario (incluido root) a través de telnet en Sun Solaris 10. Sin necesidad de conocimientos especiales, sin shellcode ni exploits, el fallo llega a ser vergonzosamente simple. Para colmo, el error fue ya descubierto y corregido en sistemas UNIX hace 13 años.

SANS fue de los primeros en alertar sobre el problema. A través de un simple parámetro del cliente telnet ("-f", utilizado para traspasar las credenciales locales), se podía acceder a un servidor telnet en Sun Solaris 10 sin necesidad de autenticación. Sólo conociendo el nombre de usuario. El comando concreto es:

telnet -l "-froot" [direccion_del_host]

Aunque bien podría tratarse de cualquier otro usuario, en vez de root. El efecto sería el mismo: acceso como ese usuario al servidor sin necesidad de conocer su contraseña. Aunque telnet no sea un método de acceso especialmente utilizado por los que buscan seguridad, es mucho más usado de lo que en principio pueda parecer. Se añade además el peligro de que dispositivos de terceros implementen Solaris en su interior y puedan tener el servidor telnet activo. El único "alivio" es que en Solaris por defecto, al usuario root sólo se le permite acceso por consola.

El incidente parece tan simple y absurdo, que algunos quisieron ver en este error una puerta trasera creada a propósito. Como ya insinuara Steve Gibson en enero de 2006, tras estudiar la vulnerabilidad WMF que azotaba por aquellos tiempos a usuarios de Windows. Se quiso atribuir malicia a un grave error imperdonable.

Al poco de darse a conocer, los más experimentados recordaron el mismo error ya estudiado, documentado y resuelto. Efectivamente, existía la posibilidad de explotar este fallo en 1994. Ocurrió primero en sistemas AIX y luego el código fue portado a otros sistemas UNIX. La vulnerabilidad fue corregida y olvidada hasta que 13 años después resucita en un sistema operativo moderno. Como se apuntaba en alguna lista, "se trata de una desafortunada reimplementación del mismo fallo". El código del demonio telnet en Solaris 10 es "open source".

¿Cuánto tiempo estuvo ahí? La opción "-f" (y con ella este tremendo error) fue introducida por Sun en noviembre de 2002, cuando se añadió funcionalidad de autenticación Kerberos al demonio telnetd en Solaris 10. Al menos en poco tiempo, una 48 horas, Sun tenía disponibles parches oficiales para este problema.

Cuando surgió este problema inmediatamente vino a la cabeza un error distinto en su forma pero muy similar en el fondo. El 30 de enero de 2007 Sun alertaba sobre la posibilidad de provocar una denegación de servicio de forma remota a través de tráfico ICMP. En otras palabras, resucitaba el "ping de la muerte" que atacó a muchos sistemas hace aproximadamente 10 años. A diferencia de este problema con telnet, no se dieron detalles técnicos sobre esta vulnerabilidad y se anunció con los parches ya disponibles.

Sun Solaris es una plataforma muy segura, pero tropezones como estos hacen pensar sobre qué nuevos (o peor, "viejos") y triviales problemas pueden surgir en el futuro, cuánto código se reutiliza desde hace años y qué pesadillas quedarán por resucitar... pero sobre todo, queda la extraña sensación de que en todos lados cuecen habas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Another good reason to stop using telnet
http://isc.sans.org/diary.php?storyid=2220

Multiple Unix Vendor rlogin -froot Remote Authentication Bypass
http://osvdb.org/displayvuln.php?osvdb_id=1007

A Security Vulnerability in Solaris 10 ICMP Handling May Allow a
SystemPanic and Result in Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102697-1

Security Vulnerability in the in.telnetd(1M) Daemon May Allow
Unauthorized Remote Users to Gain Access to a Solaris Host
http://sunsolve9.sun.com/search/document.do?assetkey=1-26-102802-1&searchclause=

The in.telnetd vulnerability exploit
http://blogs.sun.com/tpenta/entry/the_in_telnetd_vulnerability_exploit

How OpenSolaris dit its job
http://blogs.sun.com/danmcd/entry/how_opensolaris_did_its_job

martes, 13 de febrero de 2007

Phishing, el "hermano pobre" de los troyanos

El phishing sigue siendo la práctica fraudulenta por Internet más visible y reconocida, ya que el spam masivo de correos invitando a los usuarios a que visiten una página falsa puede ser detectado por cualquiera. Por contra, de los troyanos especializados en el robo de claves se saben que existen y están ahí, aunque no son tan reconocidos ni se ven a simple vista. ¿Qué técnica de estafa es más peligrosa? ¿Con cuál se están obteniendo mayores resultados y beneficios?

Primero hay que dejar por sentado que si tanto phishing como troyanos de robo de contraseñas siguen proliferando es, simplemente, porque con ambas técnicas los estafadores obtienen beneficios.

Las principales diferencias entre una técnica y otra, pensando en la rentabilidad de los estafadores, son:

* Exposición: cómo ya hemos comentado al inicio, un ataque phishing tradicional, no segmentado o dirigido, queda expuesto a cualquiera desde el lanzamiento del spam, incluso en muchas ocasiones se aborta antes de que sea público a través del spam.

El troyano no puede detectarse antes de que sea público (nos referimos a la detección del sitio donde envían los datos, no a la detección de la muestra en sí que sí puede ser detectada por un antivirus desde el minuto 0), y la distribución puede ser más silenciosa y pasar desapercibida al no ser tan evidente como un phishing.


* Esperanza de vida: por la exposición, un ataque phishing se detecta e intenta mitigar/cerrar desde el primer momento. Dependiendo de la insistencia del equipo de cierre y de la profesionalidad/colaboración de los responsables del sitio donde se hospede, el ataque puede estar "vivo" durante minutos, horas, o a lo sumo algunos días.

La esperanza media de vida de cada una de las variantes de un troyano suele ser de varias semanas o meses, dependiendo de cuando es detectado por un servicio antifraude y se cierra el destino a donde el troyano envía los datos.


* Alcance: en el phishing tradicional cada ataque va destinado a una entidad en concreto, ya que tanto el e-mail como la página están personalizadas para imitar a una determinada entidad.

Por otra parte, una sola variante de un troyano suele dirigirse a un mayor número de entidades, normalmente varias decenas, o directamente capturar datos de forma indiscriminada que después pueden ser fácilmente filtrados en el servidor que recibe los datos.


* Dificultad: un ataque de phishing tradicional es relativamente muy fácil y rápido de montar sin necesidad de grandes conocimientos, lo que explicaría que aun no siendo tan productivo como un troyano siga siendo una práctica habitual.

Los troyanos conllevan una mayor dificultad en su diseño, requiere más conocimientos avanzados de programación que un phishing, sin embargo también se está popularizando la venta en foros underground de kits de troyanos "banker" que facilitarían los ataques a estafadores menos preparados.


* Calidad: en el phishing tradicional son muchos los usuarios que, a sabiendas de que se trata de un fraude, introducen en las páginas de phishing información falsa para confundir a los estafadores. Por nuestra experiencia, en la que hemos accedido a servidores de phishing, en los datos introducidos se encuentran desde contraseñas falsas hasta mensajes o insultos hacia los estafadores, el porcentaje de información útil y aprovechable es pequeña, aunque suficiente para que sea rentable (aunque los que "piquen" se puedan contar con los dedos de una mano).

Por el contrario, los datos capturados por los troyanos son en su inmensa mayoría auténticos, ya que el usuario no es consciente de que de forma oculta los datos introducidos en las páginas webs legítimas están siendo a su vez reenviados al servidor de los estafadores. Además el volumen de datos recolectados es muy superior al que puede lograr cualquier ataque phishing, de hecho los estafadores sólo explotan una parte de lo que capturan con este tipo de ataques (se centran en las entidades que les ofrecen "mayores ventajas" a la hora de hacer las transferencias y el blanqueo a través de las mulas).


Como ejemplo de lo que un troyano puede recolectar, se pueden encontrar datos de un caso real en la siguiente dirección del blog del Laboratorio de Hispasec:

"Un día en la vida de un troyano 'banker'":
http://blog.hispasec.com/laboratorio/195


Bernardo Quintero
bernardo@hispasec.com



lunes, 12 de febrero de 2007

Grave vulnerabilidad a través de telnet en Sun Solaris

Se ha descubierto un error en el telnet de Sun Solaris que puede permitir a un atacante obtener de forma trivial privilegios de root.

Se ha descubierto un error en la instalación por defecto de Sun Solaris que permite a un atacante externo que tenga acceso al servidor de telnet acceder con privilegios de root de forma trivial. El exploit es público y basta con acceder al sistema mediante el comando:
telnet -l "-froot" [nombre_de_host]
También permite sustituir a cualquier otro usuario mediante:
telnet -l "-fusuario" [hostname]

Se ha comprobado que afecta a Sun Solaris 10, pero otras versiones también podrían verse afectadas.

No existe parche oficial. Se recomienda deshabilitar inmediatamente el acceso por telnet, parando el servicio o limitando el acceso al puerto 23.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Solaris Telnet 0day or Embarrassment
http://blogs.securiteam.com/index.php/archives/814

domingo, 11 de febrero de 2007

Múltiples vulnerabilidades en productos Trend Micro

Se han encontrado dos vulnerabilidades en productos Trend Micro que permiten provocar una denegación de servicio, la ejecución de código arbitrario y la elevación de privilegios a atacantes locales.

* Un atacante remoto podría crear un fichero UPX especialmente manipulado que, a la hora de ser procesado por el sistema víctima, provocaría un desbordamiento de memoria intermedia en el motor de análisis y permitiría la ejecución de código arbitrario en el sistema o bien provocaría que dejase de responder.

Todos los productos de Trend Micro que utilicen el motor de análisis (Scan Engine) y la tecnología Pattern File se ven afectados.

* Un error en los permisos de interfaz de dispositivo TmComm DOS (TmComm.sys) permite a usuarios en el grupo "Todos" escribir en el dispositivo y acceder a ciertos manejadores IOCTL. Un atacante local podría aprovechar esto para ejecutar código arbitrario en el sistema víctima con privilegios de kernel. Se ve afectado el Anti-Rootkit Common Module (RCM). Este fallo afecta a productos Antivirus, Anti-spyware y
Pc-cillin.

Para el primer fallo el fabricante ha puesto a disposición de sus clientes Scan Engine con versión de firmas 4.245.00 o superior.

Para el segundo fallo el fabricante ha puesto a disposición de sus clientes Anti-Rootkit Common Module [RCM] versión 1.600-1052 disponible a través de las actualizaciones automáticas o manualmente.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Trend Micro AntiVirus UPX Parsing Kernel Buffer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=470

Trend Micro TmComm Local Privilege Escalation Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=469

sábado, 10 de febrero de 2007

Borrado no autorizado de archivos a través de rm en Sun Solaris 8, 9 y 10

Se ha descubierto una vulnerabilidad en el manejo del borrado recursivo de directorios en Sun Solaris 8, 9 y 10 a través del comando rm con la opción "-r" o "-R" que puede llevar al borrado de directorios externos al proporcionado en el argumento.

Un atacante no privilegiado podría utilizar este exploit para crear una jerarquía de directorios especialmente manipulada que al ser borrada por un usuario privilegiado con el comando rm, podría llevar al borrado de directorios o ficheros de sistema y provocar una denegación de servicio.

Para SPARC:

Solaris 8, instalar 124969-01 o posterior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124969-01-1
Solaris 9, instalar 123372-02 o posterior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-123372-02-1
Solaris 10, instalar 124244-01 o posterior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124244-01-1

Para x86:

Solaris 8, instalar 124970-01 o posterior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124970-01-1
Solaris 9, instalar 123373-02 o posterior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-123373-02-1
Solaris 10, instalar 124245-01 o posterior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124245-01-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Sun Solaris "rm" Command Race Condition Arbitrary Local File Deletion Vulnerability
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102782-1

viernes, 9 de febrero de 2007

Microsoft publicará doce boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan doce boletines de seguridad, cinco destinados a su sistema operativo Windows, dos a Microsoft Office, uno que afecta tanto a Windows como a Visual Studio y otro en común para Office y Windows, otro para Microsoft Data Access Components, otro para Step-by-Step Interactive Training y un último que afecta a casi toda la gama de seguridad de Microsoft: Windows Live OneCare, Antigen, Windows Defender, Forefront Security para Exchange Server y Microsoft Forefront Security para SharePoint.

Si en enero fueron cuatro los boletines de seguridad (aunque previamente se anunciaron ocho), este mes son doce las actualizaciones que prevé publicar Microsoft el día 13 de febrero. De los cinco para el sistema operativo, alguno alcanza el estado de crítico, también alguno de los de Office.

El abultado número de boletines responde probablemente a la modificación de última hora del ciclo de actualización de enero, cuando se anunciaron ocho boletines para finalmente publicar cuatro. No sólo es posible que se incluyan aquellas que finalmente no salieron, sino también boletines que cubran las numerosas nuevas vulnerabilidades en Office que se han hecho públicas desde ese segundo martes de enero.

Desde diciembre, se conocen actualmente al menos cinco vulnerabilidades en Office que están siendo aprovechadas. Si bien dos boletines dedicados a Office pueden parecer insuficientes, cabe recordar que cada boletín puede cubrir un número indeterminado de vulnerabilidades. Además, según anuncian, un boletín estará dedicado a un componente que comparten tanto Office como Windows.

También parecen insuficientes los boletines dedicados a Visual Studio, teniendo en cuenta que a finales de enero se dieron a conocer varios problemas con extensiones de archivos que afectaban tanto a Visual Studio como Microsoft Help Workshop. Un boletín dedicado a Visual Studio fue retirado a última hora en enero después de ser anunciado.

Del resto, aunque se conocen algunos problemas sin solucionar en Windows, es posible que sean fallos no hechos públicos hasta el momento.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/bulletin/advance.mspx

jueves, 8 de febrero de 2007

Call for papers para la International Conference on RFID Security-07

Llamada a ponencias de la "International Conference on RFID Security", punto de referencia para expertos e investigadores en el campo de la seguridad RFID, que se celebrará del 11 al 13 de julio de 2007.

Como sucesora del "Workshop on RFID Sec" celebrada durante los dos últimos años en Graz (Austria), la nueva edición se traslada a Málaga (España).

Seguirá contando con un comité internacional de expertos de contrastada reputación, presididos en esta ocasión por el reconocido Vincent Rijmen, más popular por el diseño del algoritmo Rijndael que se convirtiera en el AES, y Alberto Peinado, Ingeniero de Telecomunicaciones y Doctor en Informática, profesor de la Universidad de Málaga.

Los interesados pueden consultar toda la información en el Call for papers oficial del congreso (pdf):
http://www.hispasec.com/laboratorio/cfp-RFIDSec07.pdf




Más información:

Workshop on RFID Security 2006
http://events.iaik.tugraz.at/RFIDSec06/

Diversión con python y RFID
http://blog.hispasec.com/laboratorio/171

miércoles, 7 de febrero de 2007

Marzo será el mes de los fallos en PHP

SecurityFocus publica una entrevista con Stefan Esser, fundador del proyecto Hardened-PHP e impulsor del PHP Security Response Team, que ha abandonado recientemente. Durante años ha contribuido al desarrollo de PHP y considera que el núcleo de programadores de este lenguaje no está concienciado con respecto a la seguridad. Por ello ha decidido crear el mes de los fallos en PHP.

Stefan Esser es un profundo conocedor del código fuente PHP y un investigador muy concienciado con la seguridad. Aunque desarrollaba el núcleo de PHP desde 2001, en 2004 fundó The Hardened-PHP Project, un proyecto destinado a tratar de forma responsable la gran cantidad de fallos de seguridad que estaba encontrando en el código PHP. Esser se quejaba del modelo de desarrollo del proyecto, donde se incluían nuevas funcionalidades sin tener en cuenta el impacto en la seguridad. Terminó por dejar de confiar en el producto que él mismo desarrollaba, cuestionó el trabajo del resto de desarrolladores, fue duramente criticado por la revelación pública de problemas de seguridad y finalmente, sin apoyo y ante la pasividad de sus compañeros, abandonó su puesto.

Esser opina que el código de PHP ha crecido demasiado rápido, que existen problemas de regresiones y que el PHP Security Response Team mira hacia otro lado. Afirma que este grupo fue capaz de confesar en público que no conocía problemas de seguridad en PHP cuando él mismo había reportado más de 20 errores sólo dos semanas antes. Es por este motivo que no piensa en que la revelación pública de estos fallos pueda considerarse "no ética".

El mes de los fallos en PHP tiene como objetivo que los usuarios y especialmente los propios desarrolladores del código PHP tomen conciencia de que existen muchos fallos en el lenguaje. La fama de PHP en cuestión de seguridad es nefasta, principalmente por los "despistes" que comenten los programadores que lo utilizan como herramienta. Esser se centrará en errores específicos de PHP, no en los problemas comúnmente asociados con las aplicaciones construidas con este lenguaje (como pueden ser los fallos de inyección SQL o Cross Site Scripting) que pueden ser achacados a la gran masa de usuarios de PHP más que al lenguaje.

Aunque esta fama no es "justa" según Esser, sí que existen problemas asociados con el propio lenguaje que son completa responsabilidad de sus creadores. Algunos fallos han estado ahí durante años y si no es de esta forma, nunca saldrán a la luz ni se preocuparán por solucionarlos. Esser dice conocer muchos más de 31 errores, por lo que es probable que publique más de un problema de seguridad al día.

Esta iniciativa se antoja especialmente preocupante. A diferencia de las anteriores, se centra en un sólo producto, las aplicaciones suelen estar expuestas por web y en el supuesto de que los fallos descubiertos sean "sólo" aprovechables en local, esto también podría poner en peligro a servidores de hosting compartidos que se basan en este lenguaje. PHP es uno de los lenguajes más populares en servidores web de Internet y el número de aplicaciones expuestas, tanto en local como públicamente, programadas con él es literalmente inabarcable. Según la propia php.net, 20 millones de dominios, y 1.3 millones de direcciones IP lo usan, lo que supone, según nexen.net, un 34% de páginas web. Un toque de atención que sin duda causará un gran revuelo y mantendrá ocupados a millones de administradores durante el mes de marzo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

PHP statistics for December 2006
http://www.nexen.net/images/stories/phpversion/200612/global.en.png

Usage Stats for November 2006
http://us2.php.net/usage.php

PHP Security From The Inside
http://www.securityfocus.com/columnists/432/3

martes, 6 de febrero de 2007

Kaspersky reconoce que no puede hacer milagros

En unas honestas declaraciones, Natalya Kaspersky, consejera delegada de la compañía especializada en sistemas antivirus, reconoce que necesita de la ayuda de las fuerzas del orden internacionales para proteger a los usuarios. Según ellos, los tiempos en los que se podía controlar la situación con los antivirus pertenecen al pasado.

ComputerWorld recoge unas sorprendentes declaraciones de una de las compañías antivirus más reconocidas mundialmente. En ellas piden la cooperación de la policía internacional: "No tenemos las soluciones. Pensamos que era posible realizar antivirus y eso ofreció una protección adecuada. Ya no es así". "Solucionar el problema está más allá de las capacidades de los fabricantes de productos de seguridad en solitario. Se necesitan esfuerzos coordinados entre los países".

Desde Kaspersky también reconocen que están abrumados. "La compañía tiene a 50 ingenieros analizando el nuevo malware y buscando formas de bloquearlo, pero con 200 nuevas muestras por día, y en aumento, el trabajo se hace arduo". "Ninguna compañía antivirus puede venir y decirte que puede manejarlo todo. Consideramos responsable hacerlo saber a la gente de forma clara."

El "Center for Strategic and International Studies" (que asesora a gobiernos en cuestión de seguridad), y una comisión federal de comercio se unirán a Kaspersky para hacer una llamada a las fuerzas del orden, para que se involucren más en la lucha contra los creadores y distribuidores de malware. Intentarán llega a acuerdos internacionales para crear las condiciones adecuadas que permitan perseguir a los criminales a través de las fronteras".

Reconocen que el éxito de la policía en este sentido ha sido limitado, con apenas 100 detenciones por año. "Sólo los estúpidos se dejan coger. A los listos es muy complicado encontrarles", afirma Kaspersky.

Por último, Kaspersky añade: "El software destinado a bloquear el malware es efectivo, pero no puede parar todos los ataques. Somos como la policía, nos perdemos muchos casos pero hacemos lo que podemos. Intentamos prevenir, pero no podemos hacer milagros".

Kaspersky asume así la nueva situación vírica mundial de forma honesta y responsable.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Call the cops: We're not winning against cybercriminals
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9010041

lunes, 5 de febrero de 2007

Recopilación y análisis de las últimas vulnerabilidades en Microsoft Office

Desde hace más de seis meses, la suite Microsoft Office se está convirtiendo en uno de los métodos favoritos de los atacantes para ejecutar código arbitrario de forma inadvertida en sus víctimas. De la última oleada de problemas encontrados, además, se han hecho ya públicos dos exploits funcionales.

Desde el 5 de diciembre de 2006, se han acumulado hasta cinco vulnerabilidades 0day en Office, sin parche oficial, que están siendo aprovechadas de forma activa y que según Microsoft se corresponden con ataques muy limitados. Sin embargo para varias de ellas ya existen pruebas de concepto públicas.

La primera vulnerabilidad se dio a conocer el día 5 de diciembre de 2006. La segunda vulnerabilidad encontrada fue reconocida por Microsoft el día 10 de diciembre. Insistían en lo limitado del ataque. No se ha hecho públicas pruebas de concepto de estos fallos.

El día 12 de diciembre, que correspondía con el ciclo de actualizaciones de Microsoft, no se publicaron soluciones para estos dos problemas. Apenas unas horas después, se volvía a alertar sobre otro fallo que afectaba a Microsoft Word, descubierto a través de la publicación de una prueba de concepto. Hoy, casi dos meses después, sólo 15 de los 29 antivirus (apenas un 51%) disponibles en VirusTotal.com es capaz de reconocer esa muestra (un archivo Word).

Symantec daba a conocer la existencia de un nuevo problema de ejecución de código en Word 2000 el día 25 de enero de 2007. Es para esta vulnerabilidad para la que acaba de aparecer un nuevo exploit público que a 5 de febrero, sólo detectan 6 antivirus de los 29 disponibles en VirusTotal.com (apenas un 20%).

Posteriormente, el día 30 de enero, Symantec alertaba sobre otro posible problema, pero poco después se confirmaba que en realidad se trataba de una variante de una de las vulnerabilidades descubiertas en diciembre. No es la primera vez que se lanza una falsa alarma de este tipo.

Por último, el 2 de febrero Microsoft publicaba una alerta sobre una nueva vulnerabilidad en Office, que en esta ocasión está siendo atacada a través de archivos Excel y afecta incluso a la versión de Office para Mac, permitiendo la ejecución de código arbitrario.

Y es que este bombardeo de vulnerabilidades puede llegar a abrumar a cualquier usuario, sobre todo teniendo en cuenta que no se tienen detalles sobre la mayoría y resulta complicado diferenciarlas entre ellas. Para las casas antivirus no es más fácil. Además, es especialmente complejo encontrar un nombre adecuado, y no suelen ponerse de acuerdo en el tipo de malware que puede alojar habitualmente un exploit de una vulnerabilidad concreta. Por ello algunas casas han decidido (muy acertadamente) bautizar con el código estándar CVE (Common Vulnerabilities and Exposures) de la vulnerabilidad a la amenaza que constituye un archivo que intenta aprovecharla.

De esta forma, por ejemplo ClamAV detecta Exploit.MSWord.CVE_2006_6561, mientras que CAT-QuickHeal clasifica otro de estos exploits como Threat.CVE-2007-0515. Otros optan por nombres propios, todos distintos, que no hacen más que añadir confusión a este baile de vulnerabilidades y malware alrededor de la suite de Microsoft


Sergio de los Santos
ssantos@hispasec.com


Más información:

New Report of A Word Zero Day (2006-6456)
http://blogs.technet.com/msrc/archive/2006/12/10/new-report-of-a-word-zero-day.aspx

Vulnerability in Microsoft Word Could Allow Remote Code
Execution(CVE-2006-5994)
http://www.microsoft.com/technet/security/advisory/929433.mspx

Microsoft Word Code Execution Vulnerability (CVE-2006-6561)
http://www.securityfocus.com/bid/21589

Multiple Organizations Targeted by Zero-Day Exploit
http://www.symantec.com/enterprise/security_response/weblog/2007/01/multiple_organizations_targett.html

New Microsoft Word 2000 Vulnerability
http://www.symantec.com/enterprise/security_response/weblog/2007/01/new_microsoft_word_2000_vulner.html

Vulnerability in Microsoft Office Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/932553.mspx

domingo, 4 de febrero de 2007

Denegación de servicio a través de SIP en Cisco IOS

Se ha detectado una vulnerabilidad en Cisco IOS que puede permitir a un atacante provocar que el dispositivo deje de funcionar, causando una condición de denegación de servicio.

Se ha detectado que los dispositivos Cisco con IOS que soporten voz y no tengan configurado el protocolo Session Initiated Protocol (SIP) son vulnerables y pueden dejar de responder bajo ciertas condiciones todavía por determinar, pero aisladas al tráfico destinado al puerto 5060.

Todos los IOS que soportan voz a partir de las versiones 12.3(14)T, 12.3(8)YC1, 12.3(8)YG y toda la gama 12.4 se ven afectados por este problema.

La vulnerabilidad puede ser mitigada si se deshabilita el procesado SIP con los comandos:

Router(config)#sip-ua
Router(config-sip-ua)#no transport udp
Router(config-sip-ua)#no transport tcp
Router(config-sip-ua)#end

Se aconseja consultar la tabla de versiones vulnerables,
contramedidas y parches disponibles en:
http://www.cisco.com/warp/public/707/cisco-sa-20070131-sip.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: SIP Packet Reloads IOS Devices Not Configured for SIP
http://www.cisco.com/warp/public/707/cisco-sa-20070131-sip.shtml

sábado, 3 de febrero de 2007

Nuevos contenidos en CriptoRed (enero de 2007)

Breve resumen de las novedades producidas durante el mes de enero de 2007 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

* Avances Recientes en el Criptoanálisis del Criptosistema de Chor-Rivest (Tesis Doctoral)
http://www.criptored.upm.es/paginas/investigacion.htm#tesis

* DOCUMENTOS RECOMENDADOS OTROS SERVIDORES:

* Curso de Seguridad en Redes Inalámbricas, D. Eduardo Tabacman, VirusProt, España
* Apuntes del Dr. David Pointcheval, École Normale Supérieure de París, Francia
* Apuntes del Dr. Peter Gutmann, Universidad de Auckland, Nueva Zelanda
http://www.criptored.upm.es/paginas/docencia.htm#libroseos

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

Febrero 12 al 16 de 2007: VIII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones (La Habana - Cuba)
http://www.informaticahabana.com/?q=es/node/21&tid=3

Abril 18 al 20 de 2007: 3rd International Conference on Global E-Security ICGeS '07 (Londres - Inglaterra)
http://www.uel.ac.uk/icges

Mayo 7 al 11 de 2007: First Symposium on Algebraic Geometry and its Applications en (Tahiti - Polinesia Francesa)
http://iml.univ-mrs.fr/ati/saga2007/welcome.html

Mayo 14 al 17 de 2007: Euro American Conference on Telematics and Information Systems (Faro - Portugal)
http://www.deei.fct.ualg.pt/eatis/

Mayo 20 al 24 de 2007: EUROCRYPT 2007 (Barcelona - España)
http://www.iacr.org/conferences/eurocrypt2007/

Junio 12 al 13 de 2007: 5th International Workshop on Security in Information Systems WOSIS 07 (Funchal - Portugal)
http://www.iceis.org/workshops/wosis/wosis2007-cfp.html

Junio 17 al 22 de 2007: 19th Annual FIRST Conference (Sevilla - España)
http://www.first.org/conference/2007/

Junio 18 al 20 de 2007: 8th IBIMA Conference on Information Management in the Networked Economy (Dublin - Irlanda)
http://www.ibima.org/Dublin2007

Junio 21 al 22 de 2007: Workshop on the Arithmetic of Finite Fields WAIFI 2007 (Madrid - España)
http://www.waifi.org/

Julio 11 al 13 de 2007: Conference on RFID Security 07 en Universidad de (Málaga - España)
http://rfidsec07.etsit.uma.es/

Septiembre 21 al 23 de 2007: 21st International Conference on Systems for Automation of Engineering and Research (Varna - Bulgaria)
http://www.criptored.upm.es/descarga/Call_for_Paper-IT-2007.zip

Octubre 9 al 12 de 2007: 10th Information Security Conference ISC 2007 (Valparaíso - Chile)
http://www.isc07.cl/

Noviembre 6 al 9 de 2007: V Collaborative Electronic Commerce Technology and Research CollECTeR 2007 (Córdoba - Argentina)
http://www.collecter.org.ar/

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE ENERO DE 2007
Puedes ampliar la noticia:
http://www.criptored.upm.es/paginas/historico2007.htm#ene07

* CFP Collaborative Electronic Commerce Technology and Research CollECTeR
2007 (Argentina)
http://www.collecter.org.ar/

* CFP para la Conference on RFID Security 07 en Universidad de Málaga (España)
http://rfidsec07.etsit.uma.es/

* CFP para la 8th IBIMA Conference on Information Management in the Networked Economy (Irlanda)
http://www.ibima.org/Dublin2007

* Programa Definitivo del VIII Seminario Iberoamericano de Seguridad en TIC en Sitio Web (Cuba)
http://www.informaticahabana.com/?q=es/node/21&tid=3

* Curso Experto Universitario en Seguridad en Sistemas Informáticos e Internet en U. Sevilla (España)
http://www.lsi.us.es/ExpertoSeguridad

* Cursos UCM Verano 2007 sobre Administración de Redes Wi-Fi/WiMax y Seguridad en Redes (España)
http://www.ucm.es/info/fgu/escuelas/verano/cursos/g02.html
http://www.ucm.es/info/fgu/escuelas/verano/cursos/g14.html

* Quinta Edición del Diplomado Seguridad en Tecnología Informática y Telecomunicaciones (Venezuela)
http://mipagina.cantv.net/ius-opg/STIT/index.html

* La Universidad Carlos III de Madrid Asumirá la Secretaría del CTN71/SC27 (España)
https://couperin.uc3m.es/prueba/GCII/archives/000312.html

* Estadísticas Detalladas de Accesos al Servidor en 2006 Y 2005: Seguimiento de Descargas para Autores
http://www.criptored.upm.es/estadisticas/2006/awstats.www.criptored.upm.es.urldetail.html
http://www.criptored.upm.es/estadisticas/2005/awstats.www.criptored.upm.es.urldetail.html

5. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 620
(177 universidades; 223 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 38.085 visitas, 90.192 páginas solicitadas y 31,40 GigaBytes servidos en enero de 2007.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

enero de 2007
http://www.criptored.upm.es/paginas/historico2007.htm#ene07

viernes, 2 de febrero de 2007

Actualización del kernel para Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización para el núcleo de Red Hat Enterprise Linux 4 que soluciona varios problemas de seguridad.

Entre los problemas solventados, los de mayor gravedad, son los siguientes:

* Un fallo de criticidad importante en la función get_fdb_entries del soporte de bridging en red que permite a usuarios locales provocar una denegación de servicio y potencialmente elevar privilegios.

* Un problema de criticidad importante de fuga de información en la función _block_prepare_write que permite a usuarios locales leer información del núcleo.

* Un problema de criticidad importante de fuga de información en la función copy_from_user() en plataformas s390 y390x que permite a usuarios locales leer información del núcleo.

* Un problema de criticidad importante en el manejo de /proc/net/ip6_flowlabel que permite a usuarios locales provocar una denegación de servicio.

* Un problema de criticidad importante en el manejo de AIO que permite a usuarios locales provocar una denegación de servicio.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security update
http://rhn.redhat.com/errata/RHSA-2007-0014.html

jueves, 1 de febrero de 2007

Termina el mes de los fallos en Apple

Culmina el mes de los fallos en Apple, y ya se pueden extraer los análisis y resultados pertinentes. Esta iniciativa ha sido llevada a cabo puntualmente por LHM y Kevin Finisterre, que han publicado un fallo del sistema Mac OS X o programas integrados en él cada día durante el mes de enero.

Han sido un total de 31 fallos y vulnerabilidades que incluso han salpicado a múltiples fabricantes, como el problema de PDF (muchas distribuciones han tenido que actualizar su xpdf) o el reproductor VLC Media Player.

Durante el mes, se han descubierto siete vulnerabilidades más o menos críticas que podrían permitir la ejecución de código arbitrario. El resto, a grandes rasgos, se basaban o bien en la denegación de servicio o bien en la escalada de privilegios local. Tres parecen afectar a FreeBSD, sistema sobre el que se basa Mac OS X.

Algunas vulnerabilidades en el sistema de montaje, en componentes para Quicktime, en Apple iLife iPhoto, Omniweb, VLC y Quicktime son de las vulnerabilidades más graves encontradas.

Por el momento apenas tres o cuatro vulnerabilidades parecen solucionadas. Resultan ser la denegación de servicio en Colloquy 2.x, vulnerabilidad de formato de cadena en OmniWeb, el problema de PDF que han solucionado muchos fabricantes y en fallo en VLC.

También ha sido solventado el problema de Quicktime, que ha sido de las más graves e inauguró el mes. El fallo en concreto ocurría en el manejador de URLs rtsp://. La versión vulnerable en Windows es la 7.1.3.100. El código necesario para aprovechar la vulnerabilidad es público y relativamente sencillo de implementar, aun así Apple tardó 22 días en publicar una solución. El problema se agrava porque aunque el fallo esté corregido, los usuarios de Windows que descarguen a día de hoy Quicktime desde la página oficial, seguirán todavía obteniendo la 7.1.3.100 y por tanto continúan expuestos la amenaza varios días después de la aparición del parche. Apple no ha "subido" la versión corregida. Para solucionarlo, tras la descarga, los usuarios deben instalar también el actualizador (paso opcional) junto al programa y lanzarlo posteriormente. Gran despiste de Apple en este sentido, pues muchos usuarios dan por hecho que al descargar de nuevo el programa completo tras la aparición del parche para un fallo, este estará corregido o integrado en el paquete.

Los impulsores de este mes temático se han reservado una sorpresa para la última vulnerabilidad. Han publicado una "Diversión remota no especificada con el kernel". No hay detalles, sólo será publicada "próximamente" y si se visita el enlace se parodia una conversación entre Sarah Connor y Terminator además de lo que parece un mensaje destinado a quienes les han reprochado la iniciativa. También en la página se recomienda tener cuidado con esa "diversión remota". Se presume pues, que conocen una vulnerabilidad importante que no quieren destapar aún.

Mac OS X pasa así la prueba a la que ya se han enfrentado los núcleos de los sistemas operativos en general (mes de los fallos en el núcleo "celebrado" en noviembre) y los navegadores, ("celebrado" en julio). Es complicado evaluar hasta qué punto esta iniciativa es positiva o negativa, si realmente ha servido de algo, si ha ridiculizado al producto o lo ha beneficiado... En cualquier caso, la única certeza es que hoy Mac OS X es un poco más seguro o inseguro que hace un mes.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The Month of Apple Bugs
http://projects.info-pull.com/moab/