domingo, 31 de agosto de 2008

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado actualizaciones para múltiples paquetes que corrigen diferentes problemas de seguridad.

* Se ha mejorado la resistencia a ataques de spoofing de powerdns, para openSUSE 10.2 – 11.0.

* Se ha corregido un fallo en el metodo de elección de puertos UDP aleatorios
en dnsmasq. Disponible para openSUSE 10.2 – 11.0.

* Se ha actualizado el navegador Opera a la versión 9.52 la cual corrige numerosos fallos de seguridad. Disponible para todas las versiones de SuSE Linux.

* Se ha corregido un fallo en neon al desreferenciar punteros nulos en el código de autenticación "digest". Afecta a todas las versiones de SuSE Linux.

* Se ha corregido un fallo que posibilitaba el secuestro de sesiones x11 en rxvt-unicode. Disponible para openSUSE 10.2 – 11.0.

* Se han corregido múltiples fallos de seguridad de la aplicación Wireshark / Ethereal. Afecta a todas las versiones de SuSE Linux.

* Se ha corregido un fallo en la codificación utf-7 de namazu que posibilitaba la ejecución de un ataque de cross-site scripting. Disponible para todas las versiones de SuSE Linux.

* Se ha corregido un fallo en gnome-screensaver de openSUSE 10.3 que posibilitaba a un atacante local revelar la información del portapapeles estando bloqueada la sesión por el salvapantallas.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

SUSE Security Summary Report SUSE-SR:2008:017
http://lists.opensuse.org/opensuse-security-announce/2008-08/msg00006.html

sábado, 30 de agosto de 2008

Salto de restricciones a través de llamadas al sistema en Sun Solaris

Sun ha publicado una actualización que corrige una vulnerabilidad en llamadas al kernel de Solaris 8, 9 y 10 que podría permitir a atacantes locales saltarse restricciones de seguridad.

La vulnerabilidad corregida consiste en un error en las llamadas al sistema en el kernel de Solaris. El error permite eludir reglas de seguridad como los niveles de seguridad en Solaris Trusted Extensions o las normas de aislamiento en "zones" o "chroot". Un par de atacantes locales podrían establecer un canal de comunicación oculto.

Según versión y plataforma, se recomienda instalar los siguientes parches:

Para plataforma SPARC:

Para Solaris 8 aplicar el parche 117350-56 o superior:
http://sunsolve.sun.com/pdownload.do?target=117350-56&method=h
Para Solaris 9 aplicar el parche 122300-30 o superior:
http://sunsolve.sun.com/pdownload.do?target=122300-30&method=h
Para Solaris 10 aplicar el parche 137111-05 o superior:
http://sunsolve.sun.com/pdownload.do?target=137111-05&method=h
Para OpenSolaris actualizar a compilaciones superiores a snv_01.

Para plataforma X86:

Para Solaris 8 aplicar el parche 117351-56 o superior:
http://sunsolve.sun.com/pdownload.do?target=117351-56&method=h
Para Solaris 9 aplicar el parche 122301-30 o superior:
http://sunsolve.sun.com/pdownload.do?target=122301-30&method=h
Para Solaris 10 aplicar el parche 137112-05 o superior:
http://sunsolve.sun.com/pdownload.do?target=137112-05&method=h
Para OpenSolaris actualizar a compilacion snv_90 o superior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Covert Channel Security Vulnerability in the Solaris Kernel
http://sunsolve.sun.com/search/document.do?assetkey=1-66-240706-1

viernes, 29 de agosto de 2008

Actualización del kernel para Red Hat Enterprise MRG 1.0

Red Hat ha publicado una actualización de el kernel de que corrige múltiples vulnerabilidades que podrían permitir a un atacante remoto o local efectuar una denegación de servicio o revelar información sensible en Red Hat Enterprise MRG 1.0.

* Se ha corregido una vulnerabilidad basada en un desbordamiento de enteros en SCTP (Stream Control Transmission Protocol). Un atacante local podría aprovechar esta vulnerabilidad para efectuar un ataque de denegación de servicio.

* Se ha corregido una vulnerabilidad en Ipsec que podría permitir a un atacante remoto provocar una denegación de servicio al enviar un paquete ESP (Encapsulating Security Payload) especialmente manipulado.

* Se ha corregido un error de desbordamiento en el valor "timeout" de la funcionalidad "hrtimer" del kernel. Esto podría permitir a un atacante local sin privilegios causar una denegación de servicio.

* Se ha corregido un error de desbordamiento en el valor "timer-expiration" de la funcionalidad "hrtimer" del kernel en sistemas de 64 bits. Esto podría permitir a un atacante local sin privilegios causar una denegación de servicio.

* Se ha corregido un error en la funcionalidad "process-trace" del kernel para arquitecturas AMD-64. Esto podría permitir a un atacante local sin privilegios causar una denegación de servicio.

* Se ha corregido una fuga de memoria en la implementación SIT (Simple Internet Transition) del kernel. Esto podría permitir a un atacante local sin privilegios causar una denegación de servicio.

* Se ha corregido un error en la llamada al sistema "utimensat" del kernel que impedía chequear los permisos de archivo cuando "UTIME_NOW" y "UTIME_OMIT" se usan en ciertas combinaciones. Esto podría permitir a un atacante local sin privilegios modificar los datos de tiempo en cualquier fichero y posiblemente causar una denegación de servicio.

* Se ha corregido un fallo en las rutinas de copia de memoria del kernel para sistemas AMD-64 que al efectuar una copia fallida del espacio de memoria del kernel hacia otro espacio no pone a cero el espacio destino permitiendo a un atacante local obtener información sensible.

* Se ha corregido un fallo en la implementación de memoria virtual del kernel que podría permitir a un atacante local sin privilegios causar una denegación de servicio a través de múltiples llamadas a la función "get_user_pages".

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2008-0585.html





jueves, 28 de agosto de 2008

Denegación de servicio a través de llamadas de procedimiento remoto NFS en Solaris 10

Sun ha corregido una vulnerabilidad en Solaris 10 que podría permitir a un atacante local provocar una denegación de servicio.

La vulnerabilidad se debe a un error del que no se han facilitado detalles en las llamadas a procedimiento remoto (RPC) NFS (Network File System). Un atacante local podría interceptar o corromper el trafico NFS hacia otras zonas no globales del sistema provocando una denegación de servicio.

Para que el ataque tenga éxito es necesario que el atacante posea privilegios administrativos en una zona no global del sistema.

Según versión y plataforma, se recomienda instalar los siguientes parches:
Para plataforma SPARC:
* Para Solaris 10 aplicar el siguiente parche:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138070-02-1
* Para OpenSolaris actualizar a compilación snv_88 o superior.
Para plataforma X86:
* Para Solaris 10 aplicar el siguiente parche:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138071-02-1
* Para OpenSolaris actualizar a compilacion snv_88 o superior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in Solaris 10 NFS Remote Procedure Calls (RPCs) May Allow a Denial of Service (DoS) or Data Integrity Issues for Non-Global Zones
http://sunsolve.sun.com/search/document.do?assetkey=1-66-240866-1

miércoles, 27 de agosto de 2008

Ejecución de código arbitrario a través de streams mms en VLC

Se ha descubierto una vulnerabilidad en VLC 0.8.6i que podría permitir a un atacante remoto ejecutar código arbitrario al reproducir un "stream" MMS creado a tal efecto.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux.

El error se debe a un desbordamiento de memoria basado en heap en la función "mms_ReceiveCommand" al procesar un stream MMS (Microsoft Media Server) mediante una URL del tipo "mmst://". La función pertenece a la librería "modules\access\mms\mmstu.c". Un atacante remoto podría ejecutar código arbitrario a través de un stream MMS especialmente manipulado.

La vulnerabilidad afecta a la versión 0.8.6i, pero es posible que otras versiones puedan verse afectadas. Junto con el aviso original se ha publicado una prueba de concepto.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

VLC Media Player Heap Overflow in MMS Protocol Handling Lets Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2008/Aug/1020759.html

VLC 0.8.6i MMS Protocol Handling
http://www.orange-bat.com/adv/2008/adv.08.24.txt

martes, 26 de agosto de 2008

El problema criptográfico de Debian parece estar siendo aprovechado activamente por atacantes

US-CERT está advirtiendo a los administradores de que, posiblemente, el famoso problema en la generación de números aleatorios que sufrió OpenSSL para Debian el pasado mes de mayo, está siendo aprovechado (probablemente de forma automática) para instalar rootkits en servidores Linux vulnerables.

En mayo la criptografía sufrió un grave revés. Se descubrió que el generador de números aleatorios del paquete OpenSSL de Debian era predecible. Las claves generadas con él en los últimos dos años ya no eran fiables o verdaderamente seguras. A efectos prácticos, se podría deducir la clave privada a partir de la pública de los usuarios, con lo que la criptografía asimétrica dejaba de ser fiable para la autenticación y para la confidencialidad. Pronto se generó todo el espacio posible de claves vulnerables (públicas y privadas) y se desarrollaron exploits específicos para poder acceder a sistemas SSH protegidos con criptografía pública.

Los administradores que controlan sus sistemas a través de SSH se suelen autenticar a través de su clave privada (el servidor de SSH almacena la pública correspondiente). Esta es una alternativa a la autenticación a través de la clásica contraseña simétrica. Si la pareja de claves ha sido generada con el OpenSSL vulnerable, se puede hacer un ataque de fuerza bruta sobre un espacio de claves muy pequeño, algo que tarda unos 20 minutos con un ordenador de hoy día. Los que hayan protegido el uso de las claves con contraseña, están en principio a salvo.

Aunque el US-CERT no habla de este problema en concreto, probablemente es el que está siendo aprovechado para llevar a cabo estos ataques durante estos días. Los atacantes están intentando acceder a servidores con SSH activo, protegido por criptografía pública y claves privadas vulnerables. Con esto consiguen acceso de forma fácil al sistema. Si el kernel no está actualizado, utilizan algún exploit para conseguir acceso local como root (existen decenas) y una vez dentro, instalan el rootkit Phalanx2 que les permite (entre otras cosas) obtener otras claves SSH para acceder a otros sistemas.

En el apartado de más información se ofrece información sobre cómo detectar el rootkit.

Como advertíamos en mayo, el problema criptográfico del paquete OpenSSL de Debian traerá de cabeza a los administradores durante mucho tiempo. Fueron casi dos años de generación de claves vulnerables en cientos de miles de máquinas, y pasará mucho tiempo hasta que todos los administradores parcheen sus sistemas y sobre todo, vuelvan a generar sus claves públicas y privadas con un sistema actualizado.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Active attacks using stolen SSH keys
http://isc.sans.org/diary.php?storyid=4937

SSH Key-based Attacks
http://www.us-cert.gov/current/#ssh_key_based_attacks

16/05/2008 Preguntas frecuentes sobre el problema critptográfico de Debian
http://www.hispasec.com/unaaldia/3492

14/05/2008 Graves problemas en el algoritmo que genera los números
aleatorios en Debian
http://www.hispasec.com/unaaldia/3490

lunes, 25 de agosto de 2008

Denegación de servicio por problema de regresión en sshd de Solaris 9 y 10

Sun ha publicado una alerta de seguridad para Solaris 9 y 10 que solventa un problema de regresión en sshd que podría causar una denegación de servicio.

El fallo está causado porque los siguientes parches introducen un problema de regresión que podría causar que la característica de reenvío de Secure Shell X11 deje de funcionar en los sistemas que estén configurados sólo con interfaces IPv4.

Los parches que causan el problema son:

Para la plataforma SPARC:
Solaris 9 con parche 114356-14 o superior.
Solaris 10 con parche 126133-03 o superior.

Para la plataforma x86:
Solaris 9 con parche 114357-13 o superior.
Solaris 10 con parche 126134-03 o superior.

Como contramedida para el problema, es posible ejecutar el siguiente comando como usuario root:
# ifconfig lo0 inet6 plumb up


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Regression in the Secure Shell Daemon (sshd(1M)) Breaks X11 Forwarding Functionality on IPv4 Only Systems
http://sunsolve.sun.com/search/document.do?assetkey=1-66-240906-1

domingo, 24 de agosto de 2008

Vulnerabilidades a través de rdesktop en OpenSolaris

Sun ha publicado una actualización de rdesktop que corrige tres vulnerabilidades que podrían permitir a un atacante remoto causar una denegación de servicio o ejecutar código arbitrario.

* La primera vulnerabilidad está causada por un desbordamiento de enteros en la función iso_recv_msg (en iso.c). Un atacante remoto podría causar una denegación de servicio o ejecutar código arbitrario mediante una petición RDP (Remote Desktop Protocol) especialmente manipulada.

* La segunda vulnerabilidad está causada por un desbordamiento de búfer en la función process_redirect_pdu (en rdp.c). Un atacante remoto podría provocar ejecutar código arbitrario mediante una petición de redirección RDP (Remote Desktop Protocol) especialmente manipulada.

* La tercera vulnerabilidad está causada por de entero sin signo en la función xrealloc (en rdesktop.c). Un atacante remoto podría ejecutar código arbitrario ser explotada por medio de parámetros desconocidos para causar un desbordamiento de búfer basado en heap.

Las vulnerabilidades afectan a sistemas X86 y SPARC hasta la compilación 85. En la actualidad Sun no ha publicado ninguna actualización para estos problemas.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple Security Vulnerabilities in rdesktop may lead to Execution of Arbitrary Code or Denial of Service (DOS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-240708-1

sábado, 23 de agosto de 2008

Denegación de servicio a través de scripts Python en Zope 2.x

Ha sido descubierta una vulnerabilidad en Zope que podría permitir a un atacante remoto provocar una denegación de servicio.

Zope es un servidor de aplicaciones, escrito en lenguaje Python. Su extrema flexibilidad, características novedosas (base de datos de "objetos", fácil extensibilidad, componentes) y su bajo precio (se trata de una solución "open source") lo hacen especialmente atractivo para desarrollos web.

La vulnerabilidad se basa en un error al procesar scripts en Python que contengan "raise SystemExit" o determinadas llamadas a las funciones "encode" y "decode". Un atacante remoto con acceso no restringido al ZMI (Zope Management Interface) y a la edición de scripts Python podría efectuar un ataque de denegación de servicio.

Se recomienda aplicar el siguiente parche para las versiones desde la 2.7 a 2.11 disponible en:
http://www.zope.org/advisories/Hotfix_20080812.tar.gz


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Zope PythonScripts Processing Denial of Service Vulnerability
http://www.frsirt.com/english/advisories/2008/2418

viernes, 22 de agosto de 2008

Denegación de servicio en Adobe Flash Player

Se ha encontrado una vulnerabilidad en Adobe Flash Player que podría ser aprovechada por un atacante remoto para causar una denegación de servicio.

Un usuario remoto podría crear un archivo SWF especialmente manipulado, que una vez visto por el usuario hiciera uso de la función 'setClipboard' para pegar repetidamente texto arbitrario desde el portapapeles, causando así un mal funcionamiento. Además esto podría causar que un usuario visitase por error un sitio web potencialmente peligroso si se intenta copiar y pegar una URL en la barra de direcciones.

Para que el portapapeles vuelva a funcionar de forma correcta es necesario cerrar el navegador. En la actualidad se ha detectado que esta vulnerabilidad se está explotando de forma activa.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Adobe Flash Player setClipboard() Function Lets Remote Users Deny Service
http://securitytracker.com/alerts/2008/Aug/1020724.html

jueves, 21 de agosto de 2008

La versión 9.52 de Opera corrige hasta siete vulnerabilidades

Se ha lanzado la versión 9.52 del navegador Opera, que corrige un total de siete vulnerabilidades, una de ellas de nivel crítico, que podrían ser aprovechadas por un atacante remoto para perpetrar ataques de falsificación y cross-site scripting, saltarse restricciones de seguridad, revelar información sensible, causar una denegación de servicio o ejecutar código arbitrario en un sistema vulnerable.

Opera, además de ser un navegador web, contiene cliente de correo electrónico con gestor de contactos, cliente de IRC, lector de noticias RSS y gestor para la descarga de archivos torrent.

La versión 9.5, con aspecto y características renovadas, fue lanzada a mitad de junio y recientemente se ha publicado su segunda revisión de seguridad (a la versión 9.52), después de que la v.9.51, publicada a principios de julio, solventara tan sólo dos fallos de seguridad.

De las siete vulnerabilidades corregidas recientemente, la primera está catalogada como extremadamente severa por el equipo de Opera, puesto que permitiría la ejecución remota de código. A continuación se explican con detalle todos los problemas solventados:

* Se ha subsanado un fallo de seguridad provocado por un error no especificado en Opera al funcionar como un manejador para ciertos protocolos. En este modo, el navegador puede ser llamado por una aplicación externa, lo que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario. Esta vulnerabilidad solo afecta a la versión de Opera para Windows.

* Se ha corregido una vulnerabilidad que consiste en un error en la manera en que Opera comprueba qué marcos pueden ser modificados en una página web. Mediante un sitio web malicioso, un atacante remoto podría cargar contenido modificado en el marco de una página emergente confiable.

* Se ha corregido un fallo no especificado que podría permitir que un atacante remoto perpetrase ataques de tipo cross-site scripting, pudiendo ser explotado para ejecutar código JavaScript o HTML en el contexto de de la sesión del navegador de un usuario que visita un sitio web afectado.

* Se ha solventado una vulnerabilidad que consiste en un error al procesar atajos de teclado personalizados y comandos de menú utilizados para llamar a aplicaciones externas. En determinados casos, los parámetros pasados a las aplicaciones no son formateados correctamente y podrían ser creados desde una zona de memoria no inicializada. Los valores de dicha zona de memoria podrían ser interpretados de forma errónea como si fueran parámetros adicionales, lo que, dependiendo de la aplicación, podría ser aprovechado por un atacante remoto para ejecutar código arbitrario. Esta vulnerabilidad afecta a las versiones de Opera para Windows, Linux, FreeBSD y Solaris.

* Se ha corregido otro problema causado por un error al indicar en Opera información sobre la seguridad de una pagina web. Una página no segura podría mostrarse como segura si cargase contenido de un sitio seguro en un frame. Un atacante remoto podría modificar así el estado de no confiable a confiable del icono que indica la seguridad de una pagina web, aunque sin mostrar ningún certificado de seguridad.

* Se ha solventado un posible salto de restricciones de seguridad que podría permitir que un atacante, a través de un script, comprobase la existencia de determinados archivos en un sistema local, por medio de intentos de suscripción a los mismos a través de una página web.

* El último fallo está causado por un error al procesar nuevas peticiones de suscripciones a fuentes (feeds) a través del botón de suscripción. Un atacante remoto podría aprovecharse de la vulnerabilidad para modificar el campo de dirección de la barra del navegador, pudiendo mostrar una URL falsificada.

Las vulnerabilidades están confirmadas para todas las versiones de Opera, desde la 5.x hasta la 9.x.

Se recomienda actualizar a la versión 9.52 del navegador Opera, disponible para su descarga desde:
http://www.opera.com/download/


Pablo Molina
pmolina@hispasec.com

Christian Soto
csoto@hispasec.com


Más información:

Opera 9.52 for Windows Changelog
http://www.opera.com/docs/changelogs/windows/952/

Advisory: Startup crash can allow execution of arbitrary code
http://www.opera.com/support/search/view/892/

Advisory: Sites can change framed content on other sites
http://www.opera.com/support/search/view/893/

Advisory: Custom shortcuts can pass the wrong parameters to applications
http://www.opera.com/support/search/view/894/

Advisory: Insecure pages can show incorrect security information
http://www.opera.com/support/search/view/895/

Advisory: Feed links can link to local files
http://www.opera.com/support/search/view/896/

Advisory: Feed subscription can cause the wrong page address to be displayed
http://www.opera.com/support/search/view/897/

miércoles, 20 de agosto de 2008

Ejecución remota de código a través de archivos TTA en VLC Media Player

Ha sido descubierta una vulnerabilidad en el reproductor de archivos multimedia VLC que podría ser aprovechada para causar una denegación de servicio o para ejecutar código arbitrario.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.

La vulnerabilidad descubierta está causada por un desbordamiento de enteros en la función "Open" del módulo "modules/demux/tta.c" al procesar archivos TTA mal formados. Si el usuario abre con VLC un archivo TTA especialmente manipulado, podría causarse un desbordamiento de búfer basado en heap permitiendo la ejecución de código arbitrario en un sistema vulnerable. En principio, el descubridor de la vulnerabilidad afirma que un atacante no tendría demasiado control sobre lo que se va a escribir en heap, provocando tan sólo una denegación de servicio, aunque teóricamente sí que sería explotable para ejecutar código arbitrario.

TTA (The True Audio) es un códec de audio simple, gratuito y que garantiza una compresión del 30 al 70% del tamaño del archivo sin pérdida de calidad. El algoritmo está basado en el pronóstico de filtros adaptativos, ofreciendo niveles de compresión elevados y manteniendo la rapidez de operación.

La vulnerabilidad, descubierta por un investigador de Orange Bat Labs, está confirmada para la versión 0.8.6i, aunque todas las versiones anteriores podrían también verse afectadas. No existe parche disponible por el momento, por lo que se recomienda no reproducir con VLC archivos multimedia de dudosa procedencia.


Pablo Molina
pmolina@hispasec.com


Más información:

Orange Bat advisory: VLC 0.8.6i Heap overflow
http://www.orange-bat.com/adv/2008/adv.08.16.txt

martes, 19 de agosto de 2008

¿La seguridad de Windows Vista en entredicho?

"Como impresionar a las chicas traspasando la protección de memoria con el navegador". Con ese jocoso título, los investigadores, Alexander Sotirov y Mark Dowd, mostraron a una expectante audiencia en las conferencias BlackHat 2008 como traspasar las protecciones de memoria de Windows Vista y ejecutar a través del navegador cualquier tipo de contenido.

Pronto, desde algunos medios, se exageró la noticia al extremo de declarar que la seguridad de Windows Vista estaba rota y lo absurdamente peor: Que no tenía solución y era mejor abandonar el sistema. El sensacionalismo había prendido la hoguera de la confusión.

¿La realidad?, que no hay nada nuevo bajo el sol. No se trata de un exploit que destruya a Windows Vista y tome el control del sistema del usuario. Lo que Sotirov y Dowd demostraron es que es posible rebasar las protecciones de Windows Vista para hacer lo que en cualquier otro sistema es posible: ejecutar código.

Windows Vista implementa una serie de protecciones de seguridad para evitar o prevenir la ejecución de código arbitrario. La tecnología DEP (Data Execution Prevention), que permite marcar zonas de memoria no ejecutables, ya presente en Windows XP SP2 y que se apoya en una característica en las CPU conocida como bit NX; incluso en aquellas CPU que no implementen el bit NX, DEP es capaz de ofrecer protección con funcionalidad reducida. Mientras que con ASLR (Adress Space Layout Randomization) se proporciona aleatoriedad en las direcciones del espacio de memoria de un proceso, para dificultar la búsqueda de direcciones "interesantes" desde el punto de vista del atacante. Además de estás dos, Windows Vista también se beneficia de las anteriores como la protección del heap, SafeSEH, etc.

Durante muchos años el anhelo de los diseñadores de sistemas operativos, en materia de seguridad, ha sido neutralizar la ejecución de código malicioso. Las características mencionadas anteriormente introducen una mayor protección pero el ingenio humano carece de límites cuando se le reta y en este caso Sotirov y Dowd lo han demostrado. Han desmontado una a una las protecciones y han vuelto a reproducir vulnerabilidades conocidas.

En palabras de los investigadores, estas protecciones elevan el nivel de seguridad pero no son definitivas. Factores como la carga de responsabilidad del navegador y su propia arquitectura con capacidad para interpretar código, incrustar aplicaciones, imágenes y todo tipo de aplicaciones de terceros vía plugins hacen que el atacante invierta su tiempo en encontrar vectores sobre el navegador para llegar al sistema.


David García
dgarcia@hispasec.com


Más información:

Presentación (Slides)
How to Impress Girls with Browser Memory Protection Bypasses: Setting back browser security by 10 years
http://taossa.com/archive/bh08sotirovdowdslides.pdf

Paper
Bypassing Browser Memory Protections: Setting back browser security by
10 years
http://taossa.com/archive/bh08sotirovdowd.pdf

lunes, 18 de agosto de 2008

Actualización para corregir diversas vulnerabilidades en Microsoft Excel

Dentro del conjunto de boletines de seguridad de agosto publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-043) de una actualización crítica para evitar cuatro vulnerabilidades en Microsoft Excel que podrían permitir a un atacante remoto ejecutar código arbitrario si un usuario abre un archivo Excel especialmente manipulado.

La primera vulnerabilidad está causada porque Microsoft Excel no realiza una validación suficiente de los valores índices al cargar en memoria archivos Excel. Un atacante podría aprovechar este fallo para ejecutar código arbitrario con los permisos del usuario. Si el usuario abriese el archivo con permisos de administrador, el atacante tomaría completo control del sistema.

La segunda vulnerabilidad está causada porque Microsoft Excel no realiza una validación suficiente de los índices de array al cargar archivos Excel en memoria. Un atacante podría aprovechar este fallo para ejecutar código arbitrario con los permisos del usuario.

El tercero de los problemas corregidos está causado porque Excel no realiza una validación suficiente al procesar los valores de archivos cuando se carga un archivo Excel en memoria. Un atacante podría aprovechar este fallo para ejecutar código arbitrario con los permisos del usuario.

Por último, la cuarta vulnerabilidad está causada porque Microsoft Excel no borra de forma adecuada la cadena de la contraseña cuando el archivo .xlsx está configurado para no guardar las contraseñas de sesiones remotas. Un atacante podría aprovechar este fallo para acceder a las contraseñas protegidas pudiendo acceder a los datos guardados de forma remota.

Se recomienda instalar la actualización a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de las actualizaciones.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS08-043 – Crítico
Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código http://www.microsoft.com/spain/technet/security/bulletin/ms08-043.mspx

domingo, 17 de agosto de 2008

Detalles sobre el troyano multimedia GetCodec

Andrea se conecta ansiosa al eMule para descargar el último capítulo de Prison Break que se estrenó hace una hora en Estados Unidos. "¡Perfecto! ¡Un usuario conectado compartiendo el archivo!". La descarga se completa y se dispone a verlo sin más dilación… "qué extraño, Windows Media Player solicita la descarga de un codec, bueno, estará codificado con algo nuevo, no pasa nada, aceptar". A las pocas semanas Andrea se encuentra en una comisaría poniendo una denuncia porque le han sacado todos los ahorros de su cuenta bancaria.

¿Has reproducido con Windows Media Player algún archivo de audio o video últimamente? Podrías estar infectado.

A finales de Julio hubo bastante revuelo con la aparición de un nuevo troyano que afectaba a archivos multimedia. Este malware, que muchas casas antivirus han denominado GetCodec, emplea una técnica de infección que no había sido vista hasta el momento.

El troyano se ha detectado propagándose encubierto como cracks en páginas de warez y cracks. Es totalmente silencioso, lo cual induce a pensar que tan sólo se trata de otro crack corrupto más. Tras su
ejecución, el troyano busca todos aquellos archivos con extensiones .MP2 .MP3 .WMA .WMV .ASF. El formato ASF es un formato propietario de Microsoft empleado por Windows Media Player que permite introducir secuencias ejecutables en flujos de audio/video. El troyano aprovecha esta propiedad para introducir en los archivos multimedia de la víctima una secuencia que solicita la descarga de un codec falso desde un Sitio Web. Éste codec es a su vez otro troyano, aunque la técnica podría emplearse para servir cualquier tipo de contenido.

Este método de infección también funciona con los archivos MPx porque el troyano los convierte primero a formato ASF para después inyectarles el código malicioso. De forma que un archivo con extensión
.MP3 puede estar infectado.

El espécimen modifica la configuración del usuario de tal forma que este nunca llega a notar que sus archivos multimedia han cambiado, sin embargo, todo aquel que no esté infectado e intente reproducirlos sí
notará el cambio. Cuando se reproduce un archivo multimedia infectado, en una máquina limpia, Windows Media Player despliega una ventana solicitando la descarga de un codec falso. Este codec puede ser
cualquier otro tipo de malware. Al aceptar la descarga se produce la infección.

Tal y como se puede intuir, estas características lo hacen ideal para la propagación vía redes P2P, unidades compartidas e intercambio de medios de almacenamiento. Tomando como ejemplo las redes P2P, cualquier usuario infectado estará actuando como servidor del malware. Otro usuario que descargue sus archivos multimedia se verá infectado si no es lo suficientemente cuidadoso.

Desde Hispasec, nuestro compañero Marcin Noga ha realizado un análisis de ingeniería inversa del troyano con el fin de detallar su mecanismo de infección. El documento se puede encontrar en las siguientes URLs:

(Español) http://www.hispasec.com/laboratorio/AnalisisGetCodec.pdf
(Inglés) http://www.hispasec.com/laboratorio/GetCodecAnalysis.pdf

De igual forma, Marcin ha desarrollado una herramienta para limpiar la infección en todas aquellas máquinas que se han visto afectadas, eliminando el código malicioso de los archivos multimedia infectados.
La herramienta puede ser descargada desde:

http://www.hispasec.com/laboratorio/MulTrojDisinfector.exe

Hashes
MD5...: 914adbbfaae6f87a6f758bf4ba1efd6d
SHA1..: 0861ed42ffc175c668f53050e22baa38d2c5ba04

Hasta el momento los archivos de audio y video habían sido relativamente inofensivos a no ser que estuvieran intencionadamente malformados para causar la explotación de un reproductor vulnerable. Los usuarios de a pie parecen seguir teniendo la idea equivocada de que tan sólo los archivos ejecutables son peligrosos, como siempre, todo se resume a una cuestión de concienciación. Esperamos que los documentos producidos por el laboratorio de Hispasec ayuden en esta labor de concienciación y
educación.


Emiliano Martínez Contreras
emartinez@hispasec.com



sábado, 16 de agosto de 2008

Vulnerabilidades en los filtros de Microsoft Office

Dentro del conjunto de boletines de seguridad de agosto publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-044) de una actualización crítica para evitar cinco vulnerabilidades en los filtros de imágenes de Microsoft Office.

* La primera vulnerabilidad está causada por un fallo en el filtro EPS (Encapsulated PostScript) al manejar la longitud de las imágenes EPS. El problema tiene lugar cuando Microsoft Office abre un archivo que contenga una imagen EPS especialmente manipulada, lo que causaría una corrupción de memoria de tal forma que podría ser aprovechada para ejecutar código arbitrario. Un atacante que se aprovechase de la vulnerabilidad podría tomar control total sobre un sistema afectado.

* La segunda vulnerabilidad está causada por un fallo en el filtro PICT al manejar la longitud de las imágenes PICT. El problema tiene lugar cuando Microsoft Office abre un archivo de imagen PICT especialmente manipulada, lo que causaría una corrupción de memoria de tal forma que podría ser aprovechada para ejecutar código arbitrario.

* La tercera vulnerabilidad está causada por un fallo en el filtro PICT al procesar el campo 'bits_per_pixel' de las imágenes PICT. El problema tiene lugar cuando Microsoft Office abre un archivo de imagen PICT especialmente manipulada, lo que causaría una corrupción de memoria heap de tal forma que podría ser aprovechada para ejecutar código arbitrario.

* La cuarta vulnerabilidad está causada por un fallo en el módulo BMPIMP32.FL del filtro BMP al manejar la longitud de las imágenes BMP. El problema tiene lugar cuando Microsoft Office abre un archivo de imagen BMP especialmente manipulado con un gran número de colores en la cabecera, lo que causaría una corrupción de memoria de tal forma que podría ser aprovechada para ejecutar código arbitrario.

* La última vulnerabilidad está causada por un error de límites en el módulo WPGIMP32.FLT del filtro WPG (WordPerfect Graphics) al manejar la longitud de las imágenes WPG. El problema tiene lugar cuando Microsoft Office abre un archivo de imagen WPG o un documento WordPerfect especialmente manipulado, lo que causaría un desbordamiento de búfer basado en heap de tal forma que podría ser aprovechado para ejecutar código arbitrario.

Este parche sustituye al parche anterior (MS06-039) en Microsoft Office 2000 Service Pack 3, Microsoft Office XP Service Pack 3, Microsoft Office 2003 Service Pack 2 y Microsoft Office Project 2002 Service Pack 1.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS08-044 – Crítico
Las vulnerabilidades en los filtros de Microsoft Office podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/ms08-044.mspx

viernes, 15 de agosto de 2008

Acceso remoto a Zona Global a través de Trusted Extensions de Solaris 10

Se ha encontrado una vulnerabilidad en Solaris Trusted Extensions de Solaris 10 que podría ser explotada por un atacante remoto para saltarse restricciones de seguridad y acceder la zona administrativa.

La vulnerabilidad está causada por un fallo en la red etiquetada de Solaris Trusted Extensions que podría permitir que un atacante remoto saltarse restricciones de seguridad, (violando la política de acceso MAC (Mandatory access control)) consiguiendo acceso a la zona global de un sistema atacado si conociese un usuario y contraseña validos para un sistema de la zona.

Se recomienda actualizar las siguientes versiones con sus parches:
* Solaris 10 para SPARC y x86: instalar parche 125101-08.
* OpenSolaris para SPARC y x86: actualizar a compilación snv_68 o superior


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in Solaris Trusted Extensions Labeled Networking may lead to remote unauthorized access to the Global Zone (zones(5)) of the System
http://sunsolve.sun.com/search/document.do?assetkey=1-66-240099-1

jueves, 14 de agosto de 2008

Actualización acumulativa para Microsoft Internet Explorer

Dentro del conjunto de boletines de seguridad de julio publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-045) de una actualización acumulativa para Internet Explorer; que además solventa cinco nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.

Los nuevos problemas corregidos son:

* Tres de los problemas se producen cuando Internet Explorer intenta acceder, en ciertas circunstancias, a memoria no inicializada. Esto puede provocar una corrupción de memoria que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

* Otro problema reside en que el navegador intenta acceder a un objeto que ha sido borrado o que no está inicializado, provocando una corrupción de memoria que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario con los permisos del usuario, por medio de una página web especialmente manipulada.

* Por último, un problema de seguridad causado por un error al validar los argumentos cuando Internet Explorer intenta procesar la previsualización de un archivo a imprimir. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

Éste parche de seguridad reemplaza a otro previo (MS08-031) para todas las plataformas.

Se recomienda instalar la actualización a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de las actualizaciones.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS08-045
Actualización de seguridad acumulativa para Internet Explorer (953838)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-045.mspx

Microsoft Internet Explorer XHTML Rendering Memory Corruption Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-08-050/

Microsoft Internet Explorer Table Layout Memory Corruption Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-08-051/

miércoles, 13 de agosto de 2008

La versión 4.4.9 de PHP solventa múltiples vulnerabilidades

Han sido descubiertas varias vulnerabilidades en PHP 4.4.x que podrían permitir a un atacante remoto acceder a información sensible, causar una denegación de servicio o comprometer un sistema vulnerable.

PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida.

A continuación se detallan los problemas de seguridad corregidos en la última versión:

* La primera vulnerabilidad consiste en múltiples errores en la librería PCRE (Perl Compatible Regular Expressions) que podrían ser aprovechados para acceder a información sensible, causar una denegación de servicio o comprometer un sistema vulnerable.

* La segunda vulnerabilidad está causada por un error no especificado en la función "imageloadfont". Un atacante remoto podría provocar que el sistema dejase de responder mediante el uso de una fuente no válida.

* La tercera vulnerabilidad consiste en un error no especificado en la extensión "curl" relacionado con el manejo de la función "open_basedir".

* La última vulnerabilidad está causada por un fallo de desbordamiento en la función "memnstr" que podría ser aprovechado por un atacante para ejecutar código arbitrario.

Las vulnerabilidades están confirmadas para la versión 4.4.8 y todas las anteriores.

Se recomienda actualizar a la versión 4.4.9 o superior, disponible desde:
http://www.php.net/downloads.php


Pablo Molina
pmolina@hispasec.com



martes, 12 de agosto de 2008

Boletines de seguridad de Microsoft en agosto

Tal y como adelantamos, este martes Microsoft ha publicado los boletines de seguridad correspondientes a su ciclo habitual de actualizaciones. Finalmente han sido once los boletines publicados (del MS08-041 al MS08-051) en vez de los doce anunciados. En total se corrigen 25 vulnerabilidades. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "crítico" mientras que los cinco restantes, tienen un nivel "importante".

Los boletines "críticos" son:

* MS08-041: Actualización que resuelve una vulnerabilidad en el control ActiveX del visor de instantáneas (Snapshot Viewer)de Microsoft Access, que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

* MS08-043: Actualización para Microsoft Office Excel que corrige cuatro vulnerabilidades que pueden permitir la ejecución remota de código arbitrario, si un usuario abre un archivo Excel específicamente manipulado.

* MS08-044: Actualización para solucionar cinco vulnerabilidades en los filtros de Office que pueden permitir la ejecución remota de código si un usuario visualiza con la suite de Microsoft una imagen maliciosamente creada.

* MS08-045: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cinco nuevas vulnerabilidades que podría permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS08-046: Corrige una vulnerabilidad en el sistema de administración de colores de imagen (Image Color Management, ICM) de Microsoft que podría permitir a un atacante remoto ejecutar código arbitrario en el contexto del usuario que inició la sesión.

* MS08-051: Esta actualización de seguridad resuelve tres vulnerabilidades en Microsoft Office PowerPoint y PowerPoint Viewer que pueden permitir la ejecución remota de código si el usuario atacado abre un archivo PowerPoint específicamente creado.

Los boletines clasificados como "importantes" son:

* MS08-042: En este boletín se ofrece una actualización para resolver una vulnerabilidad en Microsoft Word que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

* MS08-047: Actualización para corregir una vulnerabilidad en el procesamiento de la directiva IPsec que podría provocar que determinados sistemas ignoren las directivas IPsec y transmitan el tráfico de red sin cifrar.

* MS08-048: Actualización para resolver una vulnerabilidad en Outlook Express y Windows Mail que podría permitir la divulgación de información si un usuario visita una página web especialmente diseñada mediante Internet Explorer.

* MS08-049: Actualización destinada a corregir dos vulnerabilidades en el sistema de eventos de Microsoft Windows que podrían permitir la ejecución remota de código. Afecta Windows 2000, XP, Vista y Windows Server 2003 y 2008.

* MS08-050: Corrige una vulnerabilidad en Windows Messenger, por la que la automatización del control ActiveX Messenger.UIAutomation.1 podría llegar a permitir la divulgación de información en el contexto del usuario que inició la sesión.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de agosto de 2008
http://www.microsoft.com/spain/technet/security/bulletin/ms08-aug.mspx

Boletín de seguridad de Microsoft MS08-041
Una vulnerabilidad en el control ActiveX del Visor de instantáneas de Microsoft Access podría permitir la ejecución remota de código (955617)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-041.mspx

Boletín de seguridad de Microsoft MS08-042
Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código (955048)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-042.mspx

Boletín de seguridad de Microsoft MS08-043
Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código (954066)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-043.mspx

Boletín de seguridad de Microsoft MS08-044
Las vulnerabilidades en los filtros de Microsoft Office podrían permitir la ejecución remota de código (924090)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-044.mspx

Boletín de seguridad de Microsoft MS08-045
Actualización de seguridad acumulativa para Internet Explorer (953838)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-045.mspx

Boletín de seguridad de Microsoft MS08-046
Una vulnerabilidad en el sistema de administración de colores de imagen de Microsoft Windows podría permitir la ejecución remota de código (952954)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-046.mspx

Boletín de seguridad de Microsoft MS08-047
Una vulnerabilidad en el procesamiento de la directiva IPsec podría permitir la divulgación de información (953733)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-047.mspx

Boletín de seguridad de Microsoft MS08-048
Actualización de seguridad acumulativa para Outlook Express y Windows Mail (951066)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-048.mspx

Boletín de seguridad de Microsoft MS08-049
Una vulnerabilidad en el sistema de eventos podría permitir la ejecución remota de código (950974)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-049.mspx

Boletín de seguridad de Microsoft MS08-050
Una vulnerabilidad en Windows Messenger podría permitir la divulgación de información (955702)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-050.mspx

Boletín de seguridad de Microsoft MS08-051
Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código (949785)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-051.mspx

lunes, 11 de agosto de 2008

La última versión de Ruby corrige múltiples fallos de seguridad

Han sido descubiertas varias vulnerabilidades en Ruby 1.8 y 1.9 que podrían permitir a un atacante remoto saltarse restricciones de seguridad, envenenar la caché DNS o causar una denegación de servicio.

Ruby es un lenguaje de programación interpretado y reflexivo que combina una sintaxis inspirada en Python y Perl con características de programación orientada a objetos similares a Smalltalk. Ruby interpreta el código en una sola pasada y su implementación oficial es distribuida bajo una licencia de software libre.

Los problemas de seguridad corregidos en la última versión son los siguientes:

* La primera vulnerabilidad consiste en varios errores al implementar ciertas restricciones correspondientes a los de niveles de seguridad. Esto podría ser aprovechado para llamar a la función untrace_var, realizar operaciones con los logs del sistema o modificar "$PROGRAM_NAME" desde el nivel de seguridad 4; O para llamar a otras funciones no seguras desde los niveles 1, 2 y 3.

* La segunda vulnerabilidad está causada por un error en la función WEBrick::HTTPUtils.split_header_value al usar expresiones regulares. Un atacante remoto podría provocar un consumo excesivo de recursos de la CPU mediante una petición HTTP especialmente manipulada, causando una denegación se servicio.

* Existe un error en DL (librería para Ruby que provee un interfaz para dynamic linker) que podría ser aprovechado por un atacante remoto para saltarse restricciones de seguridad y llamar a funciones potencialmente peligrosas.

* La cuarta vulnerabilidad está causada porque resolv.rb no aplica suficiente entropía a la hora de elegir los números de puerto usados en consultas DNS, lo que podría ser aprovechado por un atacante remoto para envenenar la caché DNS. El parche se encarga de implementar una de las contramedidas recomendadas para el problema descubierto por Kaminsky, añadiendo mayor aleatoriedad a la elección de los puertos para hacer mas difícil un posible ataque.

Todas las vulnerabilidades están confirmadas para las versiones 1.8.5, 1.8.6-p286,1.8.7-p71, 1.9 r18423 y para las versiones anteriores.

Se recomienda actualizar a las siguientes versiones no vulnerables:

Para la rama 1.8.6 actualizar a la versión 1.8.6-p287, disponible desde:
ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p287.tar.gz

Para la rama 1.8.7 actualizar a la versión 1.8.7-p72, disponible desde:
ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p72.tar.gz

Para la rama 1.9 la última revisión está disponible a través del repositorio SVN.


Pablo Molina
pmolina@hispasec.com



domingo, 10 de agosto de 2008

Ejecución remota de código a través de snoop en Solaris 8, 9 y 10

Sun ha anunciado un fallo en la utilidad de red snoop que podría permitir a un atacante remoto ejecutar código arbitrario en Solaris 8, 9 y 10.

El fallo se produce durante la captura de trafico SMB (Server Message Block) y podría permitir a un atacante remoto ejecutar código arbitrario si envía tráfico especialmente manipulado. El código se ejecutaría con los permisos del usuario que corre snoop o con nobody en el caso de que lo ejecute root.

La vulnerabilidad sólo se produce si no se usa el parámetro -o.

Según versión y plataforma, se recomienda instalar los siguientes parches:

Para plataforma Sparc:

Solaris 10 instalar parche 138083-01 o superior.
Solaris 9 instalar parche 112915-05 o superior.
Solaris 8 instalar parche 108964-11 o superior.
OpenSolaris actualizar a compilación snv_96 o superior.

Para plataforma x86:

Solaris 10 instalar parche138084-01 o superior.
Solaris 9 instalar parche 114262-04 o superior.
Solaris 8 instalar parche 108965-11 o superior.
OpenSolaris actualizar a compilación snv_96 o superior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in Solaris snoop(1M) when Displaying SMB Traffic
http://sunsolve.sun.com/search/document.do?assetkey=1-66-240101-1

sábado, 9 de agosto de 2008

Actualización de múltiples paquetes para SuSE Linux 10 y 11

SuSE ha publicado actualizaciones para múltiples paquetes que corrigen diferentes problemas de seguridad.

Los problemas corregidos son:

* Problemas de cross-site scripting y cross-site request forgery para moodle.

* Fallos de manejo de memoria en Opera, que podrían permitir la ejecución de JavaScript.

* Un problema con el manejo de algoritmos de cifrado en libxcrypt.

* Denegación de servicio a través de acroread.

* Desbordamiento de enteros a través de archivos XLS en gnumeric.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2008:016
http://lists.opensuse.org/opensuse-security-announce/2008-08/msg00001.html

viernes, 8 de agosto de 2008

Microsoft publicará doce boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan doce boletines de seguridad, cinco dedicados a Office y siete a Windows.

Si en julio fueron cuatro boletines de seguridad los que salieron a la luz, este mes Microsoft prevé publicar doce actualizaciones el martes doce de agosto. Siete de ellas alcanzan la categoría de "críticas" (ejecución remota de código) otras cinco son "importantes" para Microsoft.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Uno de los boletines estará dedicado a Internet Explorer, hecho mas que previsible puesto que existen un mínimo de cinco vulnerabilidades confirmadas, y además el mes anterior no fue publicada ninguna actualización para el navegador de Microsoft. Por otro lado, una de las actualizaciones críticas viene a solventar una o varias vulnerabilidades en Windows Media Player que podría permitir la ejecución de código arbitrario. Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad.

Cabe recordar que la tanda de parches de seguridad del pasado mes de julio fue un tanto atípica, únicamente se publicaron cuatro parches, todos de categoría "importante", y dos de ellos afectaban a productos que no suelen recibir actualizaciones (SQL Server y Exchange), por lo tanto es razonable que ahora se publiquen hasta siete parches de seguridad para vulnerabilidades críticas.

A modo de curiosidad podemos recordar que en los últimos años las actualizaciones de agosto siempre han deparado un gran número de boletines. El año pasado se distribuyeron nueve actualizaciones, mientras que en el 2006 también fueron doce los boletines publicados.

En otro orden de cosas, Microsoft ha anunciado que a partir de octubre compartirá ciertos detalles sobre sus vulnerabilidades con algunas de las mayores empresas de seguridad (compañías antivirus, de detención de intrusos, de seguridad en redes corporativas...) El nuevo Programa de Protección Activa de Microsoft (Microsoft Active Protections Program) pretende que sus clientes estén más protegidos ante posibles amenazas, suministrando, uno o varios días antes de la publicación de los parches, información útil para la creación de firmas o la actualización de métodos de detección. Además supone una ventaja a la hora de luchar contra los exploits que se lanzan horas después de la publicación de los parches, y que suponen un riesgo para aquellos sistemas que no sean actualizados de forma inmediata

Junto con MAPP, Microsoft ha anunciado que para octubre habrá disponible un índice de explotabilidad (Exploitability Index), que dará información sobre los exploits desarrollados para las vulnerabilidades parcheadas por Microsoft en sus boletines de seguridad. Este índice estará basado en el feedback de los clientes y su finalidad es aportar una mayor información para aquellos que quieran dar prioridad a la instalación de ciertos parches sobre otros.

Hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Pablo Molina
pmolina@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for August 2008
http://www.microsoft.com/technet/security/bulletin/ms08-aug.mspx

Microsoft Offers Customers and Partners an Edge in Online Security With New Information-Sharing Programs
http://www.microsoft.com/presspass/press/2008/aug08/05-08BlackHat08PR.mspx

04/07/2008 Microsoft publicará cuatro boletines el próximo martes en una tanda de parches "fuera de lo común"
http://www.hispasec.com/unaaldia/3541

14/08/2007 Boletines de seguridad de Microsoft en agosto
http://www.hispasec.com/unaaldia/3216

09/08/2006 Doce boletines de seguridad de Microsoft en agosto
http://www.hispasec.com/unaaldia/2846

jueves, 7 de agosto de 2008

Escalada de privilegios en Sun xVM VirtualBox para Windows

Ha sido descubierta una vulnerabilidad en Sun xVM VirtualBox para Windows que podría ser aprovechada por un atacante local para causar una denegación de servicio o escalar privilegios en el sistema anfitrión.

Sun xVM VirtualBox es un software de virtualización para arquitecturas x86 que fue desarrollado originalmente por la empresa alemana Innotek GmbH, pero que pasó a ser propiedad de Sun Microsystems en febrero de 2008 cuando ésta compró a Innotek. Actualmente existe la versión privada, VirtualBox, que es gratuita únicamente bajo uso personal o de evaluación, y la versión Open Source, VirtualBox OSE, que es software libre, sujeta a la licencia GPL.

Las tecnologías de virtualización permiten instalar sistemas operativos adicionales "invitados" dentro de un mismo sistema operativo "anfitrión", cada uno en su propia máquina virtual y compartiendo el hardware del sistema.

El fallo está causado por un error en el driver VboxDrv.sys (componente instalado por Vbox para controlar la virtualización de los SO invitados) al validar las entradas de ciertos IOCTLs (controles de entrada/salida). El problema reside en que VboxDrv.sys hace uso del método METHOD_NEITHER sin ningún tipo de validación para manejar las peticiones de comunicación IOCTLs. Aprovechándose de la vulnerabilidad, un atacante local sin privilegios podría causar una denegación de servicio o ejecutar código arbitrario escribiendo en direcciones de memoria con los privilegios del kernel.

La vulnerabilidad está confirmada para las versiones 1.6.0 y 1.6.2 de Sun xVM VirtualBox para Windows, aunque todas las versiones anteriores podrían también verse afectadas. Además los investigadores que han descubierto el fallo, pertenecientes a Core Security Technologies, han publicado una prueba de concepto que provocaría que el sistema dejase de responder, mostrando la famosa pantalla azul de Windows.

Se recomienda actualizar a la versión 1.6.4 de Sun xVM VirtualBox para Windows, que está disponible para su descarga desde:
https://cds.sun.com/is-bin/INTERSHOP.enfinity/WFS/CDS-CDS_SMI-Site/en_US/-/USD/ViewProductDetail-Start?ProductRef=innotek-1.6-G-F@CDS-CDS_SMI


Pablo Molina
pmolina@hispasec.com



miércoles, 6 de agosto de 2008

Detalles sobre la macroactualización de seguridad para Apple Mac OS X

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo OS X que solventa un total de 17 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto para falsificar la resolución de dominios, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio o ejecutar código arbitrario en un sistema vulnerable.

Dentro del paquete Security Update 2008-005 se incluyen parches para los siguientes componentes: Open Scripting Architecture, CarbonCore, CoreGraphics, Data Detectors Engine, Disk Utility, OpenLDAP, OpenSSL, PHP, QuickLook, Rsync y también para la vulnerabilidad de falsificación de DNS en BIND.

Como ya se informó, ésta actualización incluye un parche para BIND destinado a mitigar los efectos de la vulnerabilidad de falsificación de DNS descubierta por Kaminsky. Por otra parte, los clientes DNS de Apple siguen sin implementar la contramedida recomendada, que consiste en introducir más aleatoriedad en los puertos de origen de las peticiones. El resto de grandes fabricantes de sistemas operativos sí que han implementado dicha contramedida en sus parches, disponibles desde el pasado 8 de julio.

El resto de vulnerabilidades corregidas, que afectarían a Mac OS X 10.4.11 y Mac OS X 10.5.4, son las siguientes:

* Una vulnerabilidad en CarbonCore al procesar nombres de archivos demasiado largos que podría causar una desbordamiento de pila que permitiría la ejecución de código arbitrario.

* Múltiples errores de corrupción de memoria en CoreGraphics que podrían causar que la aplicación dejase de responder y permitir la ejecución de código.

* Un error en CoreGraphics al procesar archivos PDF que contengan la fuentes "Type 1" podría permitir la ejecución de código arbitrario.

* Múltiples errores en QuickLook al descargar archivos de Microsoft Office. Un atacante podría corromper la memoria pudiendo ejecutar código arbitrario.

* Un error en el motor Data Detectors al visualizar un mensaje especialmente manipulado podría causar el consumo de grandes cantidades de memoria y provocar el cierre de la aplicación.

* Un error en Disk Utility permitiría que un usuario local escalase privilegios.

* Un error en OpenLDAP al procesar paquetes codificados con ASN.1 BER podría causar una denegación de servicio.

* Un error de límites en la función SSL_get_shared_ciphers en OpenSSL podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario.

* Múltiples vulnerabilidades en PHP 5.2.5 que podrían ser aprovechadas para saltarse restricciones de seguridad, causar una denegación de servicio o ejecutar código arbitrario.

* Escalada de privilegios a través de las librerías de Open Scripting Architecture.

* Dos errores en Rsync al manejar vínculos simbólicos podrían ser aprovechados para saltarse restricciones de seguridad.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde los siguientes enlaces:

Security Update 2008-005 Server (PPC):
http://www.apple.com/support/downloads/securityupdate2008005serverppc.html

Security Update 2008-005 Server (Intel):
http://www.apple.com/support/downloads/securityupdate2008005serverintel.html

Security Update 2008-005 (PPC):
http://www.apple.com/support/downloads/securityupdate2008005ppc.html

Security Update 2008-005 (Intel):
http://www.apple.com/support/downloads/securityupdate2008005intel.html

Security Update 2008-005 (Leopard):
http://www.apple.com/support/downloads/securityupdate2008005leopard.html


Pablo Molina
pmolina@hispasec.com



martes, 5 de agosto de 2008

Nuevos contenidos en la Red Temática CriptoRed (julio de 2008)

Breve resumen de las novedades producidas durante el mes de julio de 2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED Y LA CÁTEDRA UPM APPLUS+

* ¿ISO 20000 o ISO 27000? (Alejandro Corletti, artículo pdf, 3 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m292o.htm

* Métricas de Seguridad, Indicadores y Cuadro de Mando (Alejandro Corletti, artículo pdf, 4 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m292p.htm

* ISO–27001 ¿y las AA.PP.? (Alejandro Corletti, artículo pdf, 3 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m292q.htm

* UNE–ISO/IEC 27001:2005 y LOPD (Alejandro Corletti, artículo pdf, 4 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m292r.htm

* ISO/IEC 27001:2005 y LOPD II (Alejandro Corletti, artículo pdf, 4 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m292s.htm

* Vídeo Seminario CAPSDESI Mayores y Acceso Seguro a la Sociedad de la Información (Cátedra UPM Applus+, 250 minutos, España)
http://www.criptored.upm.es/paginas/docencia.htm#catedraSEMASSI

* 321 documentos para su libre descarga
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Junio de 2008 (España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200806.pdf

* Métricas de Inseguridad de la Información (Jeimy Cano, Colombia)
http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450009875&random=9025

* Errores, Fallas y Vulnerabilidades: Reflexiones sobre la Inseguridad en las Aplicaciones (Jeimy Cano, Colombia)
http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450011111&random=9352

* Sexto Volumen Revista Data Protection Review (Agencia de Protección de Datos de Madrid, España)
http://www.dataprotectionreview.eu/

* Número 105 de la Revista Sistemas Dedicada a la Gestión de la Inseguridad Informática (ACIS, Colombia)
http://www.acis.org.co/index.php?id=1140

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Agosto 17 al 20 de 2008: Latin América CACS 2008 (Santiago - Chile)
http://www.isaca.org/latincacs

* Septiembre 2 al 5 de 2008: X Reunión Española de Criptología y Seguridad de la Información RECSI 2008 (Salamanca - España)
http://www.usal.es/~xrecsi/

* Septiembre 10 al 12 de 2008: EATIS 2008 Euro American Conference on Telematics and Information Systems (Aracajú - Brasil)
http://eatis.org/eatis2008/

* Septiembre 15 al 19 de 2008: 2nd International Castle Meeting on Coding Theory and Applications (Medina del Campo - Valladolid - España)
http://wmatem.eis.uva.es/2icmcta/

* Septiembre 22 al 24 de 2008: XXIII Simposio Nacional de la Unión Científica Internacional de Radio (Madrid - España)
http://gass.ucm.es/URSI2008/

* Septiembre 22 al 26 de 2008: International School on Mathematical Cryptology 2008: Mathematical Foundations of Cryptology (Barcelona - España)
http://www-ma4.upc.edu/mak/ismc2008/

* Octubre 6 al 8 de 2008: 13th European Symposium on Research in Computer Security ESORICS 2008 (Málaga - España)
http://www.isac.uma.es/esorics08/

* Octubre 6 al 10 de 2008: XV Congreso CCBol 2008 (Sucre - Bolivia)
http://www.usfx.edu.bo/WebCCbol2008/

* Octubre 18 al 19 de 2008: NSS 2008 IFIP International Workshop on Network and System Security (Shanghai- China)
http://nss.cqu.edu.au/

* Octubre 22 al 25 de 2008: Second Workshop on Mathematical Cryptology en UNICAN (Santander - España)
http://grupos.unican.es/amac/wmc-2008/index.html

* Octubre 27 al 31 de 2008: 2nd MICAI Workshop in Computer Security en el Tecnológico de Monterrey (México DF - México)
http://homepage.cem.itesm.mx/raulm/ws/security/

* Octubre 29 al 31 de 2008: 15th International Congress on Computer Science Research (Aguascalientes - México)
http://www.ciicc.ita.mx/

* Noviembre 5 al 7 de 2008: 7th International Information and Telecommunication Technologies Symposium (Foz do Iguaçu - Brasil)
http://www.i2ts.org

* Diciembre 1 al 5 de 20908: V Congreso Internacional de Telemática y Telecomunicaciones CITTEL 08 (Cuba).
http://www.cujae.edu.cu/eventos/convencion/cittel

* Diciembre 3 al 5 de 2008: International Conference E-Activity and Leading Technologies (Madrid, España)
http://www.iask-web.org/e-alt08/e-alt2008.html

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE JULIO DE 2008
Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#jul08

* Celebración del Latin América CACS 2008 en Santiago de Chile del 17 al 20 de agosto de 2008 (Chile)
http://www.isaca.org/latincacs

* XII Edición de los Premios Protección de Datos 2008 de la AGPD (España)
https://www.agpd.es/portalweb/revista_prensa/revista_prensa/2008/notas_prensa/common/junio/260608_premios_agpd_2008.pdf

* CFP 7th International Information and Telecommunication Technologies Symposium del 5 al 7 de noviembre de 2008 (Brasil)
http://www.i2ts.org

* Seminario Gratuito Asegúr@IT III de Septiembre en la Universidad de Deusto en Bilbao el 25 de septiembre (España)
http://elladodelmal.blogspot.com/2008/07/asegrit-iii-la-previa.html

* CFP 2nd MICAI Workshop in Computer Security en el Tecnológico de Monterrey DF del 27 al 31 de octubre de 2008 (México)
http://homepage.cem.itesm.mx/raulm/ws/security/

* CFP International Conference E-Activity and Leading Technologies del 3 al 5 de diciembre de 2008 (España)
http://www.iask-web.org/e-alt08/e-alt2008.html

* Alta Oficial en la Red del Ministerio de Educación Superior (Cuba)
http://www.criptored.upm.es/paginas/instituciones.htm

* Curso de la AEPD Empresa y Protección de Datos Un Reto Estratégico en Valencia del 6 al 8 de octubre (España)
http://www.uimp.es/uimp/home/homeUIMPdina.php?jcj=ACADEMICAS_FICHA&juj=2003&jpj=IdActividad=7870338&pg=2&orden=6

* Seminarios Hands On Lab sobre Técnicas de Análisis Forense en Madrid en septiembre (España)
http://www.microsoft.es/Holsistemas

* Webcast TechNet: Los Delitos Informáticos el 23 de septiembre (España)
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032383537&EventCategory=4&culture=es-ES&CountryCode=ES

* VI Seminario de Pruebas Electrónicas en Madrid del 6 al 8 de octubre en Madrid (España)
http://www.comunicacioniberoamericana.com/html/archivos/Programa_Seminario_Pruebas_Electronicas.pdf

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 725
(198 universidades y 270 empresas representadas)
http://www.criptored.upm.es/paginas/particulares.htm


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

julio de 2008
http://www.criptored.upm.es/paginas/historico2008.htm#jul08

lunes, 4 de agosto de 2008

Actualización del kernel para Red Hat Enterprise Linux 5

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 5 y Enterprise Linux Desktop 5, que corrige tres vulnerabilidades que podrían permitir a un atacante local efectuar una denegación de servicio o saltarse restricciones de seguridad.

* Posible fuga de memoria en la implementación INET6 de Simple
Internet Transition (SIT) en el kernel, lo que podría ser aprovechado por un atacante local para causar una denegación de servicio.

* Existe un error en la llamada a sistema setrlimit al establecer ciertos valores a RLIMIT_CPU, lo que podría permitir a un atacante local saltarse el límite de tiempo de la cpu.

* Se ha corregido un fallo que impedía chequear punteros nulos en el proceso de validación de terminales. Esto podría ser aprovechado por un atacante local para efectuar una denegación de servicio a través de vectores no especificados.

Además se han corregido otros fallos de menor importancia.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2008-0612.html

domingo, 3 de agosto de 2008

Múltiples vulnerabilidades en Python 2.x

Se han encontrado múltiples vulnerabilidades en python causadas por desbordamientos de búfer que podrían ser explotadas por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

Python es un lenguaje de programación sencillo pero extremadamente potente y versátil, cuya popularidad crece día a día.

Las vulnerabilidades están causadas por diversos desbordamientos de búfer que pueden ser aprovechados exitosamente para ejecutar código arbitrario en el contexto de las aplicaciones que hagan uso de ls librerías vulnerables. Si se explotan exitosamente puede dar lugar al compromiso del sistema, los intentos fallidos pueden provocar condiciones de denegación de servicio.

La vulnerabilidades están confirmadas para las versiones anteriores a la 2.5.2-r6.
Se recomienda actualizar a la versión 2.5.2-r6 o superior de python, disponible desde la web del fabricante:
http://www.python.org/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Python Multiple Buffer Overflow Vulnerabilities
http://www.securityfocus.com/bid/30491/discuss

sábado, 2 de agosto de 2008

Dos vulnerabilidades en Apache Tomcat 4.x, 5.x y 6.x

Se han encontrado dos vulnerabilidades en Apache Tomcat que podrían ser explotadas por un atacante remoto para perpetrar ataques de cross-site scripting o revelar información sensible.

Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

* La primera vulnerabilidad está causada por un fallo en RequestDispatcher, lo que podría ser explotado por un atacante remoto por medio de una petición que incluyera un parámetro especialmente manipulado para acceder a contenido protegido (revelación de información).

* La segunda vulnerabilidad está causada porque el argumento de la llamada a HttpServletResponse.sendError() se muestra en la página de error y también en la respuesta HTTP. Éste argumento podría contener caracteres ilegales para la cabecera HTTP lo que podría permitir la inyección de código script en la respuesta HTTP.

Se recomienda actualizar a las últimas versiones no vulnerables, disponibles desde la web de Apache Tomcat:
http://tomcat.apache.org/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

CVE-2008-1232: Apache Tomcat XSS vulnerability
http://www.securityfocus.com/archive/1/495021

CVE-2008-2370: Apache Tomcat information disclosure vulnerability
http://www.securityfocus.com/archive/1/495022

viernes, 1 de agosto de 2008

Apple, último en publicar parche para la grave vulnerabilidad DNS

Apple ha sido el último gran fabricante en publicar un parche para la grave vulnerabilidad en el protocolo DNS descubierta recientemente por Kaminsky. Todos los grandes (Microsoft, Cisco, BIND...) sacaron el 8 de julio una solución coordinada a un problema que se había mantenido en secreto desde principios de año. Pero Apple no. Dejó a los usuarios de Mac OS X sin solución hasta casi tres semanas después, en un incomprensible movimiento que sigue arrojando serias dudas sobre la capacidad de gestión de seguridad de Apple.

Apple ha publicado un parche acumulativo de seguridad que soluciona 17 fallos. Es el quinto de este año y por fin, contiene el parche (o más bien implementa la contramedida oficial) para sus DNS. El 8 de julio se publicó una actualización masiva para la mayoría de los dispositivos en Internet que utilizan DNS. Se ha descubierto una vulnerabilidad que permite falsificar las respuestas DNS, y por tanto redireccionar el tráfico. Casi todos los grandes y pequeños fabricantes y programadores actualizaron sus sistemas. Finalmente, dos semanas después, se conocerían los detalles. Varios exploits no han tardado en aparecer. Apple no parcheó, y ha necesitado tres semanas más que cualquier otro para hacerlo. No es la única, la mayoría de los grandes ISP que ofrecen conexión a Internet siguen sin solucionar el problema en sus servidores públicos.

Y no han tenido solo tres semanas. Apple está al tanto del problema desde hace meses, al igual que otros grandes fabricantes que sí han publicado puntualmente el parche a principios de julio. Son muchas las "pruebas" de seguridad a las que se ha sometido a la compañía. Cuando en enero de 2007 Apple sufrió la moda de "el mes de los fallos en" se descubrieron 31 errores que tardaron bastantes semanas en ser solucionados. En el CanSecWest de 2008, Mac OS X fue el primer sistema operativo en el concurso en que se evaluaba qué sistema podía ser comprometido más rápidamente... Cada dos meses aproximadamente, soluciona decenas de vulnerabilidades en un bloque... a principios de 2008 parcheó más de 90 en un solo paquete. En el caso de la vulnerabilidad compartida entre Safari y Microsoft de junio de este año, tardó en reconocer que el comportamiento de su navegador era peligroso. Estos no son ejemplos que certifiquen que Apple es inseguro, ni mucho menos. Sólo recuerdan que Apple no es ninguna excepción en el mundo de los sistemas operativos y que sufre de problemas de seguridad (como todo software) que deben ser corregidos a través de una política seria y acorde al nivel de la compañía.

Apple no tiene un parque de servidores especialmente numeroso, pero eso no es excusa para no proporcionar soluciones a sus clientes. Mac OS X está sufriendo importantes problemas de seguridad últimamente, que son solucionados con mastodónticos parches que se publican de forma periódica, pero no siempre a tiempo. La fama de la empresa en cuestión de seguridad queda en entredicho. Hasta ahora no ha sido objetivo preferente de la industria del malware, pero ya se han observado varias campañas específicamente diseñadas para este sistema operativo que hacen pensar que podrían tenerlo en cuenta en cuestión de tiempo.

Apple arrastra a una legión de seguidores que deben comprender que ni Mac OS X (ni ningún otro sistema operativo) es infalible, y que proporcionar parches de seguridad a tiempo es una obligación de los fabricantes. Deben gestionar la seguridad de una manera más eficiente, porque si Apple consigue llamar la atención de los atacantes, puede que no esté preparada para recibir un potencial embiste. Sólo hay que fijarse en el ejemplo más significativo: Microsoft no tuvo en cuenta la seguridad durante mucho tiempo. En 2002 se propuso solucionar esta carencia y priorizó la seguridad en todos sus productos. Todavía hoy se está resintiendo de ese retraso y aunque con grandes avances, la fama de inseguro y muchos sistemas heredados vulnerables en producción les persigue. ¿Caerá Apple en el mismo error?


Sergio de los Santos
ssantos@hispasec.com


Más información:

22/02/2006 Manzanas y gusanos
http://www.hispasec.com/unaaldia/2678

20/03/2008 Apple Mac OS X soluciona más de 90 vulnerabilidades en su último paquete
http://www.hispasec.com/unaaldia/3435

22/11/2007 El malware en forma de supuesto codec parece "consolidadarse" contra usuarios de Mac
http://www.hispasec.com/unaaldia/3316

19/07/2007 Un investigador anónimo dice haber programado un gusano para Apple
http://www.hispasec.com/unaaldia/3190

26/11/2006 Se descubre adware para Mac que se instala sin necesidad de privilegios
http://www.hispasec.com/unaaldia/2955

01/02/2007 Termina el mes de los fallos en Apple
http://www.hispasec.com/unaaldia/3022

04/06/2008 Ejecución remota de código por medio de Safari en Windows Vista y XP
http://www.hispasec.com/unaaldia/3511