domingo, 31 de octubre de 2010

Actualización del kernel para OpenSUSE

Se ha publicado la actualización del kernel para OpenSUSE 11.2 y 11.3, en la que se corrigen dos vulnerabilidades locales de elevación de privilegios.

Los problemas corregidos están relacionados con los sockets RDS y con el tratamiento de video4linux de dispositivos de vídeo en sistemas x86_64. Ambas vulnerabilidades podrían permitir a usuarios locales conseguir privilegios de root.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST Online Update (YOU).


Antonio Ropero
antonior@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2010:053)
http://lists.opensuse.org/opensuse-security-announce/2010-10/msg00008.html

sábado, 30 de octubre de 2010

Desbordamiento de búfer en CiscoWorks Common Services

Cisco ha confirmado la existencia de una vulnerabilidad en CiscoWorks Common Services para Oracle Solaris y Microsoft Windows, que podría permitir la ejecución de código arbitrario a atacantes remotos sin autenticar.

El problema afecta a múltiples productos:
CiscoWorks Common Services versiones 3.0.5 a 3.3.0
CiscoWorks QoS Policy Manager versión 4.0
CiscoWorks QoS Policy Manager versión 4.0.1
CiscoWorks QoS Policy Manager versión 4.0.2
CiscoWorks LAN Management Solution versión 2.6 Update
CiscoWorks LAN Management Solution versión 3.0
CiscoWorks LAN Management Solution versión 3.0 (Update Diciembre 2007)
CiscoWorks LAN Management Solution versión 3.2
Cisco Unified Operations Manager versión 2.0.1
Cisco Unified Operations Manager versión 2.0.2
Cisco Unified Operations Manager versión 2.0.3
Cisco Unified Service Monitor versión 2.0.1
Cisco Security Manager versión 3.0.2
Cisco Security Manager versión 3.1
Cisco Security Manager versión 3.1.1
Cisco Security Manager versión 3.2
Cisco TelePresence Readiness Assessment Manager versión 1.0

CiscoWorks Common Services es un conjunto de servicios de administración compartidos por las aplicaciones de gestión de redes de Cisco.

Se ha encontrado un desbordamiento de búfer explotable de forma remota en el código de autenticación del módulo de servidor web de CiscoWorks Common Services. Esto podría permitir a un atacante remoto sin autenticar la ejecución de código arbitrario de forma remota con privilegios de administrador.

Cisco ha publicado actualizaciones para evitar esta vulnerabilidad, que queda corregida en CiscoWorks Common Services versión 4.0 y con los siguientes parches:

cwcs33-sol-CSCti41352.tar – para Oracle Solaris
cwcs33-win-CSCti41352.zip - para Microsoft Windows
Que pueden descargarse desde:
http://tools.cisco.com/support/downloads/pub/Redirect.x?mdfid=268439477
(En "Routing and Switching Management > CiscoWorks LAN Management Solution Products > CiscoWorks Common Services Software > CiscoWorks Common Services Software 3.3")


Antonio Ropero
antonior@hispasec.com


Más información:

CiscoWorks Common Services Arbitrary Code Execution Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20101027-cs.shtml

viernes, 29 de octubre de 2010

Conferencia Secure 2010

Los pasados días 25, 26 y 27 de octubre de 2010 se ha celebrado la 14 edición de la conferencia Secure en Varsovia, Polonia. Es la conferencia sobre seguridad informática con más solera de dicho país, e Hispasec fue invitada a participar en ella para hablar en profundidad sobre VirusTotal.

Organizada por NASK y CERT.pl, Secure 2010 ha acogido una serie de interesantes charlas sobre distintos aspectos de la seguridad informática, aunque en general se ha hablado bastante del factor humano en dicho contexto, además de la cada vez más acuciante preocupación por temas de privacidad.

Lance Spitzner (SANS Institute), comenzó las charlas precisamente hablando de la importancia extrema del factor humano en un contexto en el que solemos centrarnos en la aplicación de medidas tecnológicas para mitigar en lo posible amenazas complejas. Los usuarios finales deben ser parte activa del proceso de la seguridad, y enseñarle incluso unas mínimas pautas sobre seguridad puede significar un gran cambio a la hora de responder ante problemas como el phishing, ciertos tipos de malware, etc. Anna Rywczyńska (NASK) habló de SaferInternet.pl, una iniciativa para la protección infantil en la gran red. Ryan McGeehan (Facebook) habló de distintos aspectos de la seguridad que se gestionan en la conocida red social, como la lucha contra el robo de identidades, determinados tipos de malware orientados a dicha plataforma, o el spam. Arkadiusz Lach (UMK w Toruniu) habló por su parte de medidas para mitigar en lo posible el riesgo de robo de identidad, y para reforzar en general la protección de datos personales.

También se habló sobre otros temas en boga como el Cloud Computing, con Sławomir Górniak (ENISA) explicando las iniciativas de esta agencia de la UE para que se cree algún entorno de trabajo, de tal manera que la adopción de este tipo de servicios sea basada en datos más objetivos, además de reforzar aspectos como la privacidad o la mejora del panorama en caso de que se quiera cambiar de proveedor. La virtualización también se cubrió en el evento, con Krysztof Stryjek (NASK) hablando sobre consideraciones generales de seguridad en este tipo de soluciones que normalmente suelen ser más sabrosas para el público por cuestiones de ahorro económico o facilidad de administración.

Por supuesto, también se habló de forma extensa sobre malware. Mikko Hypponen (F-Secure) habló de la evolución de las amenazas del malware en los últimos años, comentando casos específicos como Stuxnet entre otros. Tomasz Bukowski (CERT Polska) habló de la familia Zeus, de la que ya hemos hablado en alguna ocasión en una-al-día, Elżbieta Zielińska (NASK) habló del malware que usa Flash como plataforma para infectar a los usuarios y Wojciech Dworakowski se centró en el tema de los troyanos bancarios. Por nuestra parte, el que suscribe habló sobre VirusTotal centrándome en comentar algunas de las funcionalidades más útiles, además de las que recientemente se han introducido en el servicio como el análisis de URLs, la API o la comunidad VT.

Hubo muchos más ponentes, además de una interesante y muy constructiva sesión de una hora de charlas relámpago de 5 minutos en las que se presentaron y discutieron temas de lo más variopinto.

Julio Canto
jcanto@hispasec.com


Más información:

SECURE 2010
http://secure.edu.pl/en/index.html

NASK
http://www.nask.pl/nask_en/

CERT Polska
http://www.cert.pl/

ENISA
http://www.enisa.europa.eu/

jueves, 28 de octubre de 2010

Adobe publica aviso de seguridad para Flash Player, Reader y Acrobat

Adobe ha publicado el aviso de seguridad APSA10-05, para informar de una vulnerabilidad crítica en Flash Player, Reader y Acrobat, que podría permitir a un atacante remoto tomar el control de los sistemas afectados. Adobe confirma que se está explotando de forma activa en Adobe Reader y Acrobat 9.x.

Se ven afectadas las versiones de Adobe Flash Player 10.1.85.3 (y versiones anteriores) para Windows, Macintosh, Linux y Solaris; Adobe Flash Player 10.1.95.2 (y versiones anteriores) para Android; y el componente authplay.dll incluido en Adobe Reader 9.4 (y versiones 9 anteriores) para Windows, Macintosh y UNIX, y Adobe Acrobat 9.4 (y versiones 9 anteriores) para Windows y Macintosh.

Adobe no ha facilitado detalles del problema, ya que por el momento confirma que está trabajando en el desarrollo de una actualización para corregir este problema. Para Flash Player 10.x para Windows, Macintosh, Linux, y Android espera ofrecer esta corrección el 9 de noviembre mientras que los usuarios de Adobe Reader y Acrobat deberán esperar a la semana del 15 de noviembre.

En el aviso de seguridad Adobe confirma que un atacante remoto podría tomar el control de los sistemas afectados y que en la actualidad se están registrando ataques exitosos contra Adobe Reader y Acrobat 9.x. Sin embargo, aunque la actualización para Flash Player se publicará antes, por el momento no se conocen ataques contra el reproductor Flash.

Para evitar los efectos de la vulnerabilidad, Adobe publica en su boletín una serie de contramedidas, que pasan por eliminar, renombrar o impedir el acceso a authplay.
Para Windows basta con cambiar el archivo authplay.dll localizado en C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll for o C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll.
Se recomienda consultar el boletín donde se explican detalladamente los procesos a seguir para cada sistema operativo afectado.
http://www.adobe.com/support/security/advisories/apsa10-05.html


Antonio Ropero
antonior@hispasec.com


Más información:

Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa10-05.html

miércoles, 27 de octubre de 2010

0-day en el navegador Mozilla Firefox explotado activamente

Se ha detectado la explotación activa de una vulnerabilidad desconocida que afecta al navegador Mozilla Firefox en las versiones 3.5 y 3.6.

El 0-day fue descubierto por el equipo de Trend-Micro, el cual informó que el sitio web oficial de los Premios Nobel había sido comprometido y que los atacantes habrían insertado un script PHP malicioso, denominado "JS_NINDYA.A", con objeto de propagar malware.

El script determina si va a explotar o no la vulnerabilidad a través de la lectura del campo User-agent, del cual extrae la información sobre el navegador y versión, además del sistema operativo. En caso de explotarla exitosamente procede a descargar el troyano BKDR_NINDYA.A al ordenador de la víctima.

Dicho script explota la mencionada vulnerabilidad y aunque afecta al navegador Firefox en las versiones 3.5 y 3.6, tan solo intenta su explotación en la versión 3.6 sobre Windows en versiones anteriores a Vista.

Mozilla está trabajando en una solución para esta vulnerabilidad, por lo que en breve podría estar disponible una nueva versión del navegador. Recomiendan, mientras tanto, el uso de la extensión NoScript para mitigar el riesgo de exposición hasta que la solución vea la luz.


David García
dgarcia@hispasec.com


Más información:

Firefox Zero-Day Found in Compromised Nobel Peace Prize Website
http://blog.trendmicro.com/firefox-zero-day-found-in-compromised-nobel-peace-prize-website

martes, 26 de octubre de 2010

Actualización para IBM WebSphere Application Server

Se ha publicado una actualización de IBM WebSphere Application Server (versiones anteriores a 7.0 Fix Pack 13) destinada a corregir cuatro vulnerabilidades que podrían permitir la realización de ataques de cross site scripting y cross site request forgery.

El primer problema está provocado por errores de validación de entradas en la consola Integrated Solution Console, que podría permitir la construcción de ataques de cross-site scripting y de inyección de URL. Otras dos vulnerabilidades se deben a un errores de validación de entradas en la consola administrativa, que podrían permitir llevar a cabo ataques de cross-site scripting y cross site request forgery.

Una última vulnerabilidad reside en un error no detallado el componente de Seguridad y podría permitir llevar a cabo ataques de cross-site scripting.

Se recomienda la actualización a IBM WebSphere Application Server version 7.0 Fix Pack 13 (7.0.0.13):
http://www.ibm.com/support/docview.wss?uid=swg24027977


Antonio Ropero
antonior@hispasec.com


Más información:

7.0.0.13: WebSphere Application Server V7.0 Fix Pack 13
ttp://www-01.ibm.com/support/docview.wss?rs=180&uid=swg27014463

lunes, 25 de octubre de 2010

Éxitos y fracasos de Stuxnet (y III)

Después de reflexionar sobre las características de este malware, hemos consultado nuestra base de datos en VirusTotal, buscando referencias sobre Stuxnet para comprobar su evolución. Nos hemos llevado algunas sorpresas.

Por ejemplo, según nuestra base de datos de Virustotal, la primera referencia a Stuxnet viene el 1 de julio de 2009. Sí, 2009 (Stuxnet saltó a los medios en julio de 2010). Pero no es el troyano como tal. Lo que encontramos entonces son las primeras referencias a malware que aprovecha una vulnerabilidad por entonces llamada simplemente por algunos antivirus "Autorun". Solo era detectado por 6 motores. Lo que no sabían, es que esta sería la vulnerabilidad que más tarde (un año más tarde) se calificaría como CVE-2010-2568, y que permitía a Stuxnet la ejecución de código a través de enlaces LNK. En pocas palabras: esta vulnerabilidad (que obligó a Microsoft a publicar un parche de emergencia por su gravedad) era conocida desde hacía más de un año y, aunque algunos motores la detectaban entonces, no descubrieron que era "nueva". La metieron en el saco de malware genérico que se ejecutaba a través del Autorun. Tuvo que entrar en escena Stuxnet para que se analizase, saliera a la luz y fuera corregida.

Las primeras muestras en aprovechar este fallo vienen desde Vietnam, China y una casa antivirus en el Reino unido en julio de 2009. Se siguen recibiendo muestras, pocas, durante todo 2009 y 2010, y no es hasta julio de 2010 que es ampliamente reconocida como lo que realmente es. Una muestra real de Stuxnet en nuestra base de datos la encontramos por primera vez el 16 de mayo de 2010. Se trata de un driver (archivo .sys que contiene la funcionalidad de rootkit de Stuxnet) que no era detectado entonces por ningún motor. Sigue pasando relativamente desapercibido hasta el 7 de julio, cuando un antivirus lo bautiza como Stuxnet. A partir de ahí, recibimos muchas muestras, pero no es hasta finales de julio que es detectado por la mayoría.

El primer ejecutable Stuxnet del que tenemos noticia, se remonta también al 16 de mayo de 2010 y sigue una trayectoria muy similar al driver en nivel de detección.

Durante los últimos 30 días, hemos recibido más de 300 muestras calificadas como Stuxnet, y son detectadas por una media de 31 motores antivirus (casi el 80% de detección). Esto no quiere decir que se trate del propio Stuxnet que ataca a plantas nucleares. A partir del descubrimiento de la vulnerabilidad en archivos LNK en julio, muchos otros troyanos comenzaron a incorporar esta vulnerabilidad como método de difusión. Ante la confusión inicial, las casas antivirus comenzaron a llamar Stuxnet a cualquier malware que la explotara, por tanto, podemos encontrar referencias a Stuxnet en archivos de apenas 100 bytes y en otros de hasta 5 megabytes.

Como siempre, creemos que es probable que existan otros "Stuxnet" ahora mismo ocultos en sistema críticos, que compartan las virtudes de este troyano... y todavía no hayan salido a la luz.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Éxitos y fracasos de Stuxnet (I)
http://www.hispasec.com/unaaldia/4382

Éxitos y fracasos de Stuxnet (II)
http://www.hispasec.com/unaaldia/4383

domingo, 24 de octubre de 2010

Éxitos y fracasos de Stuxnet (II)

Stuxnet ha marcado un antes y un después en la mitología del malware, acaparando titulares y una buena parte de las últimas noticias mediáticas sobre malware. Seguimos repasando algunas de sus virtudes y errores y comentaremos la evolución de algunas muestras en VirusTotal.

Objetivos concretos

Otra de sus virtudes es que dentro de su código contenía la contraseña por defecto "2WSXcder" para la base de datos central del producto SCADA WinCC de Siemens. El troyano conseguía acceso de administración de la base de datos. Los sistemas "Supervisory Control and Data Acquisition (SCADA)" son programas críticos de producción industrial: toman datos muy sensibles de sensores de una fábrica, por ejemplo, y los envían a un sistema central para ser controlados. Se usan en grandes plantas de tratamiento de aguas, control eléctrico, de tráfico... Por tanto, se trata de un malware destinado a un perfil muy diferente del usuario "medio". En otras palabras, malware para al espionaje industrial. Se encontró sobre todo en Indonesia, India, Irán y China. Esto, unido a las cualidades anteriormente mencionadas, permitía llegar a su objetivo de forma silenciosa y eficaz.

Todas estas cualidades hacen pensar que el troyano ha sido concebido no solo por una mafia organizada como la que sostiene la industria antivirus actual, sino que va más allá: forma parte de un entramado que parece tocar altas esferas. Descubrir cuatro vulnerabilidades potentes y desconocidas en Windows y crear exploits eficaces para ellas requiere tiempo y mucho conocimiento... o en su defecto, del dinero para comprarlo. El supuesto robo físico de certificados, el objetivo Iraní... los involucrados han ido mucho más allá de la simple creación de laboratorio y buscaban algo más que limpiar las cuentas de unos cuantos infectados.

El punto débil

El punto débil (siempre desde el punto de vista de Stuxnet y sus creadores) ha sido solo uno: ¿por qué un gusano que se autorreplica indiscriminadamente? ¿Qué necesidad de infectar más allá de los sistemas objetivo? Esto ha facilitado su difusión, sin duda, pero también que escape del círculo cerrado que se supone eran sus objetivos primarios y, por tanto, que sea conocido, reconocido y detectado por las casas antivirus. No había ninguna necesidad de salir de los entornos SCADA, puesto que su "payload" solo era válido contra estas infraestructuras; en una máquina de usuario, resulta relativamente "inocuo".

La "fama" del troyano también ha permitido que las vulnerabilidades hayan sido eliminadas rápidamente: todavía queda una de elevación de privilegios por parchear, pero Microsoft ha solucionado tres de ellas en los últimos tres meses. Además ha provocado que los certificados sean revocados... en resumen, que su salida a los medios eche a perder el trabajo y Stuxnet no siga siendo tan eficaz. El troyano debería, o bien no replicarse indiscriminadamente, o bien controlar sobre qué sistemas lo hace para evitar los que escapen a su objetivo.

En la siguiente entrega veremos algunos datos curiosos sobre este
troyano que hemos recopilado en Virustotal.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Éxitos y fracasos de Stuxnet (I)
http://www.hispasec.com/unaaldia/4382

sábado, 23 de octubre de 2010

Éxitos y fracasos de Stuxnet (I)

Stuxnet ha marcado un antes y un después en la mitología del malware, acaparando titulares y una buena parte de las últimas noticias mediáticas sobre malware. Hay quien dice que asistimos al nacimiento "de un nuevo mundo". No es para menos, sus virtudes no son pocas. Pero también ha cometido un error.

Eugene Kaspersky considera que Stuxnet (diseñado y financiado supuestamente por algún gobierno para atacar el plan nuclear Iraní) es "el prototipo funcional de una ciber-arma, que dará el pistoletazo de salida a una ciber-guerra en el mundo". Según Eugene, "este programa no ha sido diseñado para robar dinero, enviar spam o acceder a datos personales: ha sido diseñado para sabotear plantas y causar daños en entornos industriales. Me temo que es el principio de un nuevo mundo. Los 90 fueron la década de los ciber-vándalos, la década del 2000 fue la de los ciber-criminales, y me temo que ahora es la nueva era de las ciber-guerras y el ciber-terrorismo".

Al margen de los hitos establecidos, veamos algunos de los puntos fuertes de Stuxnet.

El uso de vulnerabilidades desconocidas hasta el momento para difundirse

Stuxnet ha usado hasta cuatro vulnerabilidades desconocidas hasta el momento para ejecutar código en las máquinas infectadas. Esto lo hacía 100% eficaz contra cualquier Windows, desde 2000 hasta 7. Solo los administradores que hubiesen tomado las máximas precauciones (evitar la ejecución de programas no conocidos, limitar al máximo los privilegios u otras medidas similares) se habrían podido librar de la menaza.

El uso combinado e inteligente de estas vulnerabilidades

De las cuatro vulnerabilidades desconocidas, una permitía la ejecución de código aunque el AutoPlay y AutoRun se encuentrasen desactivados. A efectos prácticos, implica que se había descubierto una forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. Esto ayudaba a su máxima difusión a través de dispositivos USB y del propio explorador de Windows. Fue parcheada por Microsoft en agosto, en un boletín de emergencia.

La segunda permitía la ejecución de código a través del servicio de impresión (spooler) de cualquier Windows. En impresoras compartidas por red, el troyano podía enviar una petición al servicio y colocar archivos en rutas de sistema. Esto permitía su máxima difusión dentro de una red interna, por ejemplo. Fue parcheada en septiembre.

Las otras dos, permitían la elevación de privilegios. Esto cerraba el círculo: si los administradores habían tomado la precaución de limitar los permisos de los usuarios, el troyano podía conseguir ser administrador a través de estos fallos. No había escapatoria, puesto que podía ejecutar código tanto en red como a través de dispositivos extraíbles, y una vez ahí, obtener todos los privilegios.

Uso de certificados válidos

Los drivers de Stuxnet utilizados como rootkit estaban firmados digitalmente por la empresa china Realtek. Esto significa que, en principio, solo Realtek puede ser responsable de ese código... excepto que su clave privada haya sido comprometida de alguna forma, cosa que no se ha confirmado todavía. En cualquier caso, Microsoft trabajó con Verisign para revocar en sus sistemas los certificados (con el apoyo de Realtek también). Los atacantes reaccionaron firmando su troyano de nuevo con un certificado válido de otra empresa Taiwanesa dedicada también a crear controladores, llamada JMicron. El caso es que el uso de certificados válidos les permitía instalarse sin advertencias en los sistemas de 64 bits, por ejemplo, que requieren controladores firmados.

En una segunda entrega repasaremos otras cualidades.

Sergio de los Santos
ssantos@hispasec.com


Más información:

Kaspersky Lab provides its insights on Stuxnet worm
http://www.kaspersky.com/news?id=207576183

Interesante (y peligroso) troyano que aprovecha un interesante (y
peligroso) 0 day en Microsoft Windows
http://www.hispasec.com/unaaldia/4283

La nueva variante del Stuxnet vuelve a estar firmada con un certificado
válido
http://www.hispasec.com/unaaldia/4288

viernes, 22 de octubre de 2010

Los nuevos Mac no vendrán con Flash Player preinstalado

Como ya ocurriese con Vista, el nuevo MacBook Air de Apple no contará con Flash instalado de serie. La seguridad es la excusa (y en realidad es una buena razón) pero en este caso, los motivos quizás vayan un poco más allá.

El nuevo sistema operativo de Apple soportará Flash, solo que no lo traerá de serie. No solo eso, sino que Apple no publicará actualizaciones por su cuenta. Hasta ahora, Mac OS X venía con una versión de Flash preinstalada. Teniendo en cuenta el historial de graves fallos de seguridad de Adobe, en cuanto el sistema estaba en la calle, ya estaba anticuado y requería una actualización. Apple, que acostumbra a emitir megaparches de seguridad cada cierto (mucho) tiempo se encargaba entonces de incluir las nuevas versiones de Adobe en su propio actualizador en forma de paquetería propia.

Pero esto se ha acabado y Apple ha decidido que sea el propio usuario el que se encargue de instalar por primera vez Flash y actualizarlo él mismo desde entonces. ¿Es una buena idea?

XP venía con una versión de Flash por defecto. Por entonces, en 2001, los tiempos eran otros (todavía Flash era de Macromedia). A partir de Vista, Microsoft dejó de incluir una versión de Flash en su sistema operativo. Pero en Windows, Adobe ha trabajado duro para intentar proteger a sus usuarios. Su mayor logro en los últimos tiempos es el actualizador automático, intentar organizar las actualizaciones, incorporar el ciclo de desarrollo seguro de software, colaborar estrechamente con Microsoft (experiencia no le falta...) para mejorar la seguridad, etc.

Pero en Mac es diferente. La versión de Flash de este sistema todavía no cuenta con un sistema de actualización automático todavía, por tanto, toda la responsabilidad recae en el usuario. En cualquier caso, Adobe ha contado otras ayudas como la Firefox y Chrome que desde hace algunas versiones, se encargan de comprobar el estado de actualización de sus plugins en cualquier plataforma.

Apple alega que así, el usuario podrá siempre estar al día. El razonamiento no es del todo adecuado. Apple publica en su canal de actualización oficial muchos parches de programas de terceros que incluye en su sistema operativo. Los suele publicar meses después de la publicación del parche oficial y mucho más tarde que el resto de distribuciones. Si el usuario realizara la actualización del programa vulnerable a mano, probablemente estaría protegido mucho antes que si confiara en el actualizador del sistema operativo. Por tanto, si realmente Apple se preocupa por el usuario, debería dejar de crear paquetes de actualización propios de todos esos programas y no solo de Flash.

En realidad, los motivos para esta decisión pueden encontrarse en la particular guerra entre Apple y Adobe que se ha agravado en los últimos tiempos. No es un secreto que Apple (en boca de Steve Jobs) rechaza abiertamente Flash. Además de no incluirlo en sus dispositivos móviles (iPod Touch, iPad e iPhone), aboga por el inminente HTML5 que, en sus funciones multimedia, puede mellar en la hegemonía de Flash y de paso, no tener que pagar licencias.


Sergio de los Santos
ssantos@hispasec.com


Más información:
Apple dumps Flash from Mac OS X
http://www.computerworld.com/s/article/9192699/Apple_dumps_Flash_from_Mac_OS_X

jueves, 21 de octubre de 2010

Actualizaciones de seguridad de Java para Apple Mac OS X

Apple ha lanzado nuevas actualizaciones de seguridad de Java para su sistema operativo Mac OS X versiones 10.5 y 10.6 que solventan diversas vulnerabilidades que podrían ser aprovechadas con diversos efectos.

Esta es la octava actualización de Java para Mac OS X 10.5 y la tercera para MAC OS X 10.6. Se han corregido diversos problemas en Java, que podrían llegar a permitir a un atacante evitar restricciones de seguridad, provocar denegaciones de servicio o comprometer los sistemas afectados.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
http://support.apple.com/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

About the security content of Java for Mac OS X 10.6 Update 3
http://support.apple.com/kb/HT4417

About the security content of Java for Mac OS X 10.5 Update 8
http://support.apple.com/kb/HT4418

miércoles, 20 de octubre de 2010

Boletines de seguridad de la Fundación Mozilla

La Fundación Mozilla ha publicado nueve boletines de seguridad (del MFSA2010-64 al MFSA2010-72) para solucionar 12 vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey). Según la propia clasificación de Mozilla cinco de los boletines presentan un nivel de gravedad "crítico", dos son de carácter "alto", otro es "moderado" y un último considerado como "bajo".

Los boletines publicados son:

* MFSA 2010-64: Boletín crítico, que corrige tres problemas de seguridad de la memoria en el motor del navegador.

* MFSA 2010-65: Considerado crítico. Desbordamiento de búfer y corrupción de memoria al pasar cadenas de gran tamaño a document.write.

* MFSA 2010-66: Boletín crítico, por un error debido a la posibilidad de acceder a la propiedad locationbar de un objeto window después de que haya sido cerrado.

* MFSA 2010-67: Vulnerabilidad de tratamiento de punteros en LookupGetterOrSetter considerada crítica.

* MFSA 2010-68: Vulnerabilidad de gravedad alta por un cross site scripting en el parseador de Gopher, debido a que las funciones empleadas para convertir texto en etiquetas html podrían emplearse para convertir texto en JavaScript ejecutable.

* MFSA 2010-69: Vulnerabilidad de gravedad alta, por una divulgación de información de sitios cruzados por llamadas modales.

* MFSA 2010-70: Boletín de carácter moderado relacionado con la posibilidad de establecer conexiones SSL válidas con certificados SSL creados con un nombre que contenga un comodín seguido de una dirección IP parcial.

* MFSA 2010-71: Boletín que corrige dos vulnerabilidades críticas por la carga de librerías inseguras.

* MFSA 2010-72: Boletín de gravedad baja, en el que se trata un intercambio de claves Diffie-Hellman inseguro.

Se han publicado las versiones 3.6.11 y 3.5.14 del navegador Firefox, las versiones 3.1.5 y 3.0.9 de Thunderbird y la 2.0.9 de SeaMonkey; que corrigen todas estas vulnerabilidades, disponibles desde:
http://www.mozilla-europe.org/es/firefox/
http://www.mozillamessaging.com/es-ES/thunderbird/
http://www.seamonkey-project.org/


Antonio Ropero
antonior@hispasec.com


Más información:

MFSA 2010-72 Insecure Diffie-Hellman key Exchange
http://www.mozilla.org/security/announce/2010/mfsa2010-72.html

MFSA 2010-71 Unsafe library loading vulnerabilities
http://www.mozilla.org/security/announce/2010/mfsa2010-71.html

MFSA 2010-70 SSL wildcard certificate matching IP addresses
http://www.mozilla.org/security/announce/2010/mfsa2010-70.html

MFSA 2010-69 Cross-site information disclosure via modal calls
http://www.mozilla.org/security/announce/2010/mfsa2010-69.html

MFSA 2010-68 XSS in gopher parser when parsing hrefs
http://www.mozilla.org/security/announce/2010/mfsa2010-68.html

MFSA 2010-67 Dangling pointer vulnerability in LookupGetterOrSetter
http://www.mozilla.org/security/announce/2010/mfsa2010-67.html

MFSA 2010-66 Use-after-free error in nsBarProp
http://www.mozilla.org/security/announce/2010/mfsa2010-66.html

MFSA 2010-65 Buffer overflow and memory corruption using document.write
http://www.mozilla.org/security/announce/2010/mfsa2010-65.html

MFSA 2010-64 Miscellaneous memory safety hazards (rv:1.9.2.11/ 1.9.1.14)
http://www.mozilla.org/security/announce/2010/mfsa2010-64.html

martes, 19 de octubre de 2010

Múltiples vulnerabilidades en RealNetworks RealPlayer

Se han anunciado siete vulnerabilidades de ejecución remota de código en RealNetworks RealPlayer, que podrían permitir a un atacante comprometer los sistemas afectados.

El primero de los problemas reside en el tratamiento de archivos IVR específicamente construidos, mientras que un segundo problema se presenta al procesar URIs CDDA de gran longitud. Otra vulnerabilidad se encuentra en los plugins del navegador al procesar argumentos al método "RecordClip()".

Las cuatro últimas vulnerabilidades residen en desbordamientos de búfer, en "rjrmrpln.dll" al procesar elementos Name Value Property (NVP); el Control ActiveX RealPlayer al procesar argumentos de gran longitud finalizados con ".smil" mientras trata URIs "tfile", "pnmm", o "cdda"; al procesar contenido de audio QCP y por último en el componente RichFX.

Todos los problemas pueden explotarse directamente cuando un usuario visite una página web y afectan a RealPlayer SP versión 1.1.4 (y anteriores) y RealPlayer Enterprise 2.1.2 (y anteriores). Se recomienda actualizar a RealPlayer SP 1.1.5 o RealPlayer Enterprise 2.1.3 desde http://es.real.com/.


Antonio Ropero
antonior@hispasec.com


Más información:

RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables
http://service.real.com/realplayer/security/10152010_player/es/

lunes, 18 de octubre de 2010

Repunte de ataques contra Java, supera a los ataques contra Adobe

Se ha detectado un repunte de ataques contra Java SE Runtime Environment, que aprovechan vulnerabilidades de este software e instalan malware, ensombreciendo por aplastante mayoría a los ataques contra el Adobe Reader que últimamente parecía el preferido por los atacantes.

Venimos avisando desde hace algunos meses que los ataques contra Adobe Reader en forma de archivo PDF especialmente manipulado viene siendo la tónica habitual entre los atacantes. Desde el Microsoft Security Intelligence Report descubren que, desde el segundo trimestre de 2010, este tipo de ataques se ha visto totalmente ensombrecido por los ataques contra Java SE Runtime Environment (JRE), aprovechando sus numerosas vulnerabilidades.

Hace unos días Oracle, propietaria de los productos de Sun tras su compra, publicaba una actualización de la plataforma JRE que corregía 29 problemas de seguridad, la mayoría bastante graves. Esta es la tónica habitual en la JRE desde siempre. Ahora que Oracle se ocupa de sus actualizaciones, la situación parece haber empeorado. Oracle ha incluido el software en su ciclo trimestral de actualizaciones, lo que arrastra a la máquina virtual de Java en el desastre (y oscuridad) típica de Oracle en cuestión de gestión de fallos.

Los fallos que están siendo aprovechados en concreto son: CVE-2008-5353, con 3.560.669 ataques detectados, CVE-2009-3867 con 2.638.311 y CVE-2010-0094 con 213.502. Los ataques PDF apenas llegan a las decenas de miles.

¿Por qué los atacantes prefieren ahora atacar la Java? Siempre ha sido un objetivo muy apetitoso. A través de applets, los navegadores descargan código y lo ejecutan en local con la máquina virtual. Esto ya de por sí no es muy buena idea. Aunque la seguridad de Java esté diseñada desde un principio para (a través de varios niveles como la sandbox donde se supone que se "encierra" el código), limitar su impacto, las vulnerabilidades descubiertas permite eludir esta protección y ejecutar otros códigos.

Además JRE está muy presente en casi cualquier sistema operativo y arquitecturas, y esto ofrece mucha flexibilidad. Por ejemplo, a los creadores de kits de explotación: incluyendo el aprovechamiento de alguna de estas vulnerabilidades, podrían infectar por igual diferentes plataformas.

Otra de las razones se encuentra en la pésima idea de Sun de mantener las versiones antiguas en el sistema (por compatibilidad). Con la aparición del Update 10 a finales de 2008 decidió (por fin), modificar este comportamiento. Desde entonces, cuando se actualiza la JRE, el mismo instalador elimina la anterior. Pero históricamente, este perenne alojamiento de versiones ha inculcado a los usuarios que, además de que actualizar Java no sirve de mucho y es un proceso tedioso, consume importantes recursos en el sistema (cientos de megas por versión).

Se recomienda actualizar a la última versión, la Update 22, disponible desde
http://www.oracle.com/technetwork/java/javase/downloads/index.htm. Para los usuarios que no estén seguros de necesitar la máquina virtual en la web, podrían probar a, directamente, deshabilitarla en sus navegadores y habilitarlo sólo, a través de las zonas de Internet Explorer o de plugins específicos para Firefox, para las webs que lo necesiten (quizás se sorprendan al comprobar que no son tantas las páginas que lo usan).


Sergio de los Santos
ssantos@hispasec.com


Más información:

Have you checked the Java?
http://blogs.technet.com/b/mmpc/archive/2010/10/18/have-you-checked-the-java.aspx

Actualización para Java corrige 29 vulnerabilidades
http://www.hispasec.com/unaaldia/4375

Java (por fin) eliminará las versiones antiguas al actualizar
http://www.hispasec.com/unaaldia/3658

domingo, 17 de octubre de 2010

Zbot, añadido al Malicious Software Removal Tool, bate récord

Microsoft añadió la firma de Zbot a su MSRT (Malicious Software Removal Tool) el pasado martes. Los resultados publicados, confirman que Zbot (Zeus) sigue siendo la familia que más afecta a los Windows, encontrándose en 1 de cada 5 sistemas limpiados, según Microsoft.

El MSRT no es un antivirus "al uso". Es un sistema antivirus que viene con Windows por defecto y que solo detecta malware por firmas. Se actualiza una vez al mes (el segundo martes de cada mes, junto con los boletines de seguridad de Windows). En ese momento realiza un análisis y una limpieza del sistema en caso de que encuentre algún malware que coincida con sus firmas.

El usuario puede lanzar en la máquina su MSRT, simplemente ejecutando "mrt" (sin las comillas) en la línea de comando. Desde esa interfaz, se podrá realizar un análisis del sistema a demanda. También incluye opciones por línea de comando para poder programarlo cada cierto tiempo. Esta herramienta no está pensada para sustituir al antivirus tradicional (Microsoft se hubiese ganado muchos enemigos si hubiese actuado así), sino para complementarlo.

El pasado martes Microsoft incluyó las firmas de Zbot en su actualización. Desde entonces ha sido el troyano más eliminado, aunque esto es común cuando se añade una nueva firma. De hecho, la política de Microsoft es publicar firmas cuando el troyano en cuestión está muy extendido. Lo que no es tan común es que, del más del 1.300.000 de sistemas limpiados, se ha encontrado en 1 de cada 5. Y esto es un récord para los analistas de Microsoft, incluso cuando estos resultados son de apenas una semana de análisis. Se han eliminado tantos Zbot como de las dos otras familias más detectadas juntas: Vundo y Bubnix. Estos son los números tras, "sólo" 86 millones de análisis realizados.

Aunque pueden ser consideradas buenas noticias, puesto que añadir esta firma ayudará a erradicar la plaga, si por algo se caracteriza la familia Zbot es por su rentabilidad, su continua evolución y por su capacidad de adaptación al medio (su último logro es un ingenioso método para introducirse en los móviles de las víctimas y eludir los sistemas de doble factor de autenticación de los bancos). Así que, por desgracia, se espera que las nuevas variantes de Zbot sigan pasando desapercibidas para muchos antivirus y continúe su sofisticación.


Sergio de los Santos
ssantos@hispasec.com


Más información:

An Early Look at the Impact of MSRT on Zbot
http://blogs.technet.com/b/mmpc/archive/2010/10/17/an-early-look-at-the-impact-of-msrt-on-zbot.aspx

sábado, 16 de octubre de 2010

Actualización para Java corrige 29 vulnerabilidades

Oracle, propietaria de los productos de Sun tras su compra, ha publicado una actualización de la plataforma Java SE (Standard Edition) y Java For Business que corrige 29 problemas de seguridad.

Se ven afectados para Java SE: el JDK y JRE 6 Update 21 y anteriores para Windows, Solaris y Linux; el JDK 5.0 Update 25 y anteriores para Solaris y el SDK 1.4.2_27 y anteriores para Solaris. Para Java for Business: JDK y JRE 6 Update 21 y anteriores para Windows, Solaris y Linux; el JDK y JRE 5.0 Update 25 y anteriores para Windows, Solaris y Linux y el SDK y JRE 1.4.2_27 y anteriores para Windows, Solaris y Linux.

28 de las vulnerabilidades son explotables en remoto y sin necesidad de autenticación. 15 de ellas se consideran críticas al tener asignado un cvss de 10.

Los usuarios de Oracle Java SE pueden descargar la última versión desde http://java.com. La actualización de Java for Business desde http://www.oracle.com/us/technologies/java/java-for-business-071123.html
Los usuarios de la plataforma Windows pueden usar las actualizaciones automáticas para obtener la última actualización.


Antonio Ropero
antonior@hispasec.com



viernes, 15 de octubre de 2010

Grupo de parches de octubre para múltiples productos Oracle

Oracle ha publicado un conjunto de parches para diversos productos de la casa que solventan un total de 85 vulnerbailidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.

Los fallos se dan en varios componentes de los productos:
* Oracle Database 11g Release 2, versión 11.2.0.1
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3 y 10.2.0.4
* Oracle Database 10g, Release 1, versión 10.1.0.5
* Oracle Fusion Middleware, 11gR1, versiones 11.1.1.1.0 y 11.1.1.2.0
* Oracle Application Server, 10gR3, versión 10.1.3.5.0
* Oracle Application Server, 10gR2, versión 10.1.2.3.0
* Oracle BI Publisher, versiones 10.1.3.3.2, 10.1.3.4.0 y 10.1.3.4.1
* Oracle Identity Management 10g, versiones 10.1.4.0.1 y 10.1.4.3
* Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1 y 12.1.2
* Oracle E-Business Suite Release 11i, versiones 11.5.10 y 11.5.10.2
* Agile PLM versión 9.3.0.0
* Oracle Transportation Management versiones 5.5, 6.0 y 6.1
* PeopleSoft Enterprise CRM, FMS, HCM and SCM (Supply Chain), versiones 8.9, 9.0 y 9.1
* PeopleSoft Enterprise EPM, Campus Solutions, versiones 8.9, 9.0 y 9.1
* PeopleSoft Enterprise PeopleTools versiones 8.49 y 8.50
* Siebel Core versiones 7.7, 7.8, 8.0 y 8.1
* Primavera P6 Enterprise Project Portfolio Management, Versiones: 6.21.3.0 y 7.0.1.0
* Oracle Sun Product Suite
* Oracle VM versión 2.2.1

Hay que recordar que también se incluyen los parches para el sistema operativo Solaris. Tras la compra de Sun por parte de Oracle, las actualizaciones de Sun pasan a integrarse dentro del calendario de publicaciones trimestrales.

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas.

Nueve vulnerabilidades corregidas en Oracle Database. Dos de los problemas corregidos son explotables remotamente sin autenticación.

Otras nueve vulnerabilidades afectan a Oracle Fusion Middleware. Siete de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: EM Console, OID, BI Publisher, Cabo/UIX, Forms, BPEL Console yPerl.

Un parche afecta a Oracle Enterprise Manager Grid Control. La vulnerabilidad podría ser explotada por un atacante remoto sin autenticar. El componente afectado es la consola EM.

Seis vulnerabilidades afectan a Oracle Applications. Los componentes afectados son Oracle Applications Manager, Oracle Applications Technology Stack, Oracle E-Business Intelligence, Oracle Territory Management y Oracle iRecruitment. En total cinco vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar.

26 parches afectan a la suite de productos Oracle Sun. 11 de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Solaris, OpenSolaris, Oracle Communications Messaging Server (Sun Java System Messaging Server), Sun Convergence 1, Sun Java Communications Suite 7, Oracle iPlanet Web Server (Sun Java System Web Server), Sun Java System Identity Manager, Directory Server Enterprise Edition, Oracle iPlanet Web Server (Sun Java System Web Server) y Oracle Explorer (Sun Explorer).

También se han corregido dos vulnerabilidades en Oracle Supply Chain, 21 en Oracle PeopleSoft and JDEdwards Suite, cuatro en Oracle Siebel Suite, una en Oracle Primavera Products Suite, cinco en Oracle Open Office Suite y cuatro en Oracle VM.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

Oracle Critical Patch Update Advisory - October 2010
http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html


Antonio Ropero
antonior@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - October 2010
http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

jueves, 14 de octubre de 2010

Ejecución remota de código en BlackBerry Enterprise Server

Se ha anunciado una vulnerabilidad en BlackBerry Enterprise Server, que podría permitir a un atacante remoto ejecutar código arbitrario con enviar un archivo con un adjunto malicioso.

De nuevo el problema reside en el tratamiento de archivos pdf, algo que viene repitiéndose de forma habitual en los sistemas de Research In Motion (RIM), empresa responsable de BlackBerry.

Los fallos se dan en el servicio de archivos adjuntos de BlackBerry Enterprise Server 4.1.7, 5.0.0, 5.0.1 y 5.0.2. Un atacante podría, a través de un archivo PDF especialmente manipulado, enviado como adjunto en un mensaje de forma que al abrirlo en el dispositivo móvil, se ejecute el código malicioso en el servidor que aloja el servicio de adjuntos.

Se han publicado actualizaciones para corregir este problema. Dada la diversidad de versiones y sistemas de correo afectados (Microsoft Exchange, IBM Lotus Domino y Novell GroupWise), se recomienda consultar el aviso publicado en:
http://www.blackberry.com/btsc/search.do?cmd=displayKC&externalId=KB24547


Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerability in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
www.blackberry.com/btsc/search.do?cmd=displayKC&externalId=KB24547

miércoles, 13 de octubre de 2010

Desbordamientos de búfer en Winamp

Se han anunciado múltiples vulnerabilidades en Winamp (versiones 5.581 y anteriores). Un atacante remoto podría emplear estos problemas para comprometer los sistemas vulnerables.

Winamp es seguramente el reproductor de archivos multimedia más famoso para plataformas Windows. Entre sus cualidades está el soportar múltiples formatos, ser ligero, aceptar infinidad de plugins y la posibilidad de descarga de versiones gratuitas.

Los problemas residen en desbordamientos de búfer y enteros al procesar archivos MKV, hmp y MTM mal construidos. Los problemas corregidos residen en 'in_mkv', 'in_mod', 'in_nsv' y 'in_midi'. Un atacante podría provocar la ejecución de código arbitrario si un usuario abre un archivo especialmente manipulado.

Actualmente no hay corrección para este problema, por lo que se recomienda evitar reproducir cualquiera de los archivos afectados.


Antonio Ropero
antonior@hispasec.com


Más información:

Aviso Original
http://aluigi.altervista.org/adv/winamp_1-adv.txt

martes, 12 de octubre de 2010

Boletines de seguridad de Microsoft en octubre

Este martes Microsoft ha publicado 16 boletines de seguridad (del MS10-071 al MS10-086) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cuatro de los boletines presentan un nivel de gravedad "crítico", diez son clasificados como "importantes", mientras que los dos restantes son de grado "moderado". En total se han resuelto 49 vulnerabilidades.

Sin duda se trata de una actualización histórica, nunca Microsoft había publicado un grupo de boletines tan amplio ni se habían corregido tantas vulnerabilidades. Y a estás alturas, cuando aún quedan dos meses para finalizar el año, ya se ha superado el número de boletines publicados en años anteriores (nunca se había alcanzado la cifra de 80 boletines de seguridad).

Se ha publicado una actualización acumulativa (de carácter crítico) para Internet Explorer, que además resuelve siete nuevas vulnerabilidades. Otras actualizaciones críticas han afectado al servicio de uso compartido de red del reproductor Windows Media, al motor de fuentes OpenType y a .Net Framework. Todas las vulnerabilidades críticas resueltas podrían llegar a permitir la ejecución remota de código.

Por otra parte, los boletines clasificados como "importantes" afectan a SafeHTML, a los controladores en modo kernel de Windows, al controlador de formato de fuente OpenType (OTF), a la biblioteca de controles comunes de Windows, al Reproductor de Windows Media, a la validación COM en el shell de Windows y WordPad, a la llamada a procedimiento remoto de Windows, a SChannel y también se han corregido once vulnerabilidades en Microsoft Word y otras trece en Excel.

Por último las vulnerabilidades moderadas corregidas afectan a Microsoft Foundation Classes y a discos de clúster compartido de Windows.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antomio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de octubre de 2010 http://www.microsoft.com/spain/technet/security/bulletin/ms10-oct.mspx

Actualización de seguridad acumulativa para Internet Explorer (2360131)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-071.mspx

Una vulnerabilidad en el servicio de uso compartido de red del Reproductor de Windows Media podría permitir la ejecución remota de código (2281679)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-075.mspx

Una vulnerabilidad en el motor de fuentes OpenType insertadas podría permitir la ejecución remota de código (982132)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-076.mspx

Una vulnerabilidad en .NET Framework podría permitir la ejecución remota de código (2160841)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-077.mspx

Vulnerabilidades en SafeHTML podrían permitir la divulgación de información (2412048)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-072.mspx

Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (981957)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-073.mspx

Vulnerabilidades en el controlador de formato de fuente OpenType (OTF) podrían permitir la elevación de privilegios (2279986)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-078.mspx

Vulnerabilidades en Microsoft Word podrían permitir la ejecución remota de código (2293194)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-079.mspx

Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código (2293211)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-080.mspx

Una vulnerabilidad en la biblioteca de controles comunes de Windows podría permitir la ejecución remota de código (2296011)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-081.mspx

Una vulnerabilidad en el Reproductor de Windows Media podría permitir la ejecución remota de código (2378111)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-082.mspx


Una vulnerabilidad en la validación COM en el shell de Windows y WordPad podría permitir la ejecución remota de código (2405882)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-083.mspx

Una vulnerabilidad en la llamada a procedimiento remoto de Windows podría provocar la elevación de privilegios (2360937)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-084.mspx

Una vulnerabilidad en SChannel podría permitir la denegación de servicio (2207566)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-085.mspx

Una vulnerabilidad en Microsoft Foundation Classes podría permitir la ejecución remota de código (2387149)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-074.mspx

Una vulnerabilidad en discos de clúster compartido de Windows podría permitir la alteración de datos (2294255)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-086.mspx

lunes, 11 de octubre de 2010

Actualización de Moodle para Debian Linux

Debian ha publicado una actualización del paquete moodle que soluciona múltiples vulnerabilidades.

Moodle es un gestor de cursos educativos de aprendizaje en línea libre. Es modular y orientado a objetos, está escrito en el lenguaje PHP. Moodle fue creado por Martin Dougiamas, el cual trabajó como administrador de WebCT, plataforma educativa propietaria similar a Moodle.

Además de los fallos de seguridad se soluciona un error de regresión introducido en la actualización anterior. El error reside en la falta de inclusión de la dependencia del paquete wwwconfig-common.

Los fallos en orden de CVE corregidos son los siguientes:

CVE-2010-1613

Existe un error de comprobación de restricciones que podría permitir a un atacante remoto acceder a la plataforma a través del uso del ID de sesión del usuario objeto del ataque.

CVE-2010-1614

Existe un error de comprobación de restricciones que podría permitir a un atacante remoto inyectar código (html o javascript) a través de un ataque XSS.

CVE-2010-1615

Existen varios errores de comprobación de restricciones en 'mod/wiki/view.php' y en 'lib/form/selectgroups.php'. Esto podría ser aprovechado por un atacante remoto para ejecutar consultas SQL arbitrarias a través de una petición http especialmente manipulada.

CVE-2010-1616

Existe un error de comprobación de restricciones que permitiría a ciertos usuarios sin permisos 'moodle/user:create' crear nuevas cuentas a través de vectores no especificados.

CVE-2010-1617

Existe un error de comprobación de restricciones en 'user/view.php'. Esto podría permitir a un usuario autenticado revelar datos personales de otro usuario a través de la página 'perfil del curso'.

CVE-2010-1618

Existe un error al procesar ciertas urls en la librería 'phpCAS'. Esto podría ser aprovechado por un usuario remoto para inyectar código (HTML, javascript) a través de una url especialmente diseñada.

CVE-2010-1619

Existe un error de comprobación de restricciones en la función 'fix_non_standard_entities' de la librería 'weblib.php'. Esto podría permitir a un atacante remoto inyectar código (html, javascript) a través de una petición http especialmente diseñada

CVE-2010-2228
Existe un error de comprobación de restricciones en la interfaz de control de acceso 'MNET'. Esto podría ser aprovechado por un atacante remoto para inyectar código (html, javascript) a través del uso de caracteres extendidos en el nombre de usuario

CVE-2010-2229

Existe un error de comprobación de restricciones en 'blog/index.php' que podría permitir a un atacante remoto inyectar código (html, javascript) a través de vectores no especificados.

CVE-2010-2230

Existe un error de comprobación de restricciones al procesar urls vbscript en la librería 'lib/weblib.php'. Esto podría permitir a un atacante remoto inyectar código (html, javascript) a través de una entrada html especialmente diseñada.

CVE-2010-2231

Existe un error de comprobación de restricciones en 'report/overview/report.php'. Esto podría permitir a un atacante remoto eliminar información sobre el número de intentos de un test a través de un ataque CSRF.


Laboratorio Hispasec
laboratorio@hispasec.com



domingo, 10 de octubre de 2010

Denegación de servicio en HP Data Protector

Se ha anunciado una vulnerabilidad en HP Data Protector, que podría permitir a usuarios locales maliciosos provocar denegaciones de servicio.

La vulnerabilidad está provocada por una referencia a un puntero nulo en OmniInet.exe y podría permitir la detención del servicio a través de un paquete específicamente creado al puerto TCP 5555.

La vulnerabilidad se ha confirmado en la versión A.06.11.0000 y se ha publicado una prueba de concepto. Por el momento no hay actualización disponible, por lo que se recomienda restringir el acceso solo a usuarios confiables y desde sitios seguros.


Antonio Ropero
antonior@hispasec.com


Más información:

HP Data Protector Manager v6.11 / NULL Pointer Dereference Remote Denial of Service Vulnerabilities
http://seclists.org/bugtraq/2010/Oct/38

sábado, 9 de octubre de 2010

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen hasta 35 problemas de seguridad que podrían permitir la ejecución remota de código. Los problemas afectan a SuSE Linux Enterprise Server 9; SuSE Linux Enterprise 10-SP3, 11 y SLE11-SP1; openSUSE 11.1, 11.2 y 11.3.

De forma resumida, las vulnerabilidades son:

* Se ha corregido un desbordamiento de búfer en samba que podría ser aprovechado por un atacante remoto para conseguir ejecutar código arbitrario.

* Se han corregido fallos de desbordamiento de entero en el tratamiento de libgdiplus0 de imágenes tiff, bmp o jpeg específicamente manipuladas.

* Se ha actualizado el motor de navegación libwebkit a la versión 1.2.4 para corregir once problemas de diversa índole.

* Se ha corregido un fallo en bzip2 que podría permitir la ejecución de código arbitrario.

* PHP se ha actualizado a la versión 5.2.14 para corregir 20 vulnerabilidades en OpenSuSE 11.1.

* Por último, se ha corregido un desbordamiento de búfer en Okular al abrir archivos pdf específicamente creados.

Se recomienda actualizar a través de las herramientas automáticas YoU
(Yast Online Update).


Antonio Ropero
antonior@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2010:018
http://lists.opensuse.org/opensuse-security-announce/2010-10/msg00000.html

viernes, 8 de octubre de 2010

Nuevos contenidos en la Red Temática CriptoRed (septiembre de 2010)

Breve resumen de las novedades producidas durante el mes de septiembre de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y VÍDEOS PARA DESCARGA LIBRE DESDE CRIPTORED EN EL MES DE SEPTIEMBRE DE 2010
* Capítulo 4 Enumeración y Reconocimiento del Libro Electrónico El Atacante Informático (Jhon César Arango, 43 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m414a.htm
* Análisis evolutivo de los resultados del diagnóstico del Instituto Nacional de Tecnologías de la Comunicación INTECO sobre seguridad y e-confianza en los hogares españoles (Jorge Ramió, 20 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m001y.htm
* intypedia000es: Presentación del proyecto intypedia (Jorge Ramió, vídeo, 6 minutos)
http://www.youtube.com/watch?v=jwSe2fct_Q8
* intypedia001es: Historia de la criptografía y su desarrollo en Europa (Arturo Ribagorda, vídeo, 12 minutos)
http://www.youtube.com/watch?v=a99Qorfotv4

2. DOCUMENTOS Y SOFTWARE RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES EN SEPTIEMBRE DE 2010
* Informe de la Red de Sensores de INTECO del Mes de Agosto de 2010 (España)
https://ersi.inteco.es/informes/informe_mensual_201008.pdf
* Guía sobre Seguridad y Privacidad de la Tecnología RFID del Observatorio de INTECO (España)
http://www.inteco.es/Seguridad/Observatorio/Actualidad_Observatorio/noticia_guia_RFID
* Informe sobre las Implicaciones de Seguridad en la Implantación de IPv6 de INTECO CERT (España)
http://cert.inteco.es/cert/Notas_Actualidad/informe_sobre_implicaciones_seguridad_implantacion_ipv6_20100803?postAction=getLatestInfo
* Libro Microsoft SharePoint 2010: Seguridad (Rubén Alonso Cebrián, José María Alonso Cebrián, D. Juan Luis G. Rambla; informática64 España)
http://www.informatica64.com/libros.aspx?id=sharepoint
*Expectativas y Motivaciones de la Función de Seguridad de la Información en Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2010/08/expectativas-y-motivaciones-de-la.html
* Integrando la Seguridad de la Información en la Estrategia Empresarial en Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2010/09/integrando-la-seguridad-de-la.html
* Bases de Datos: ¿Inseguras? Algunas Reflexiones Básicas en Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2010/09/bases-de-datos-inseguras-algunas.html
* Prácticas de Seguridad de la Información: Reflexiones en la Web 2.0 en Número 116 Revista SISTEMAS (Jeimy Cano, Colombia)
http://www.acis.org.co/fileadmin/Revista_116/Uno.pdf
* Cómo Evaluar o Medir las Vulnerabilidades en el Blog Seguridad + Investigación (Gaspar Modelo, Panamá)
http://iobses.blogspot.com/2010/08/como-evaluarmedir-las-vulnerabilidades.html
* Cómo ser un Científico de Datos en Seguridad Informática en el Blog Seguridad + Investigación (Gaspar Modelo, Panamá)
http://iobses.blogspot.com/2010/09/como-ser-un-cientifico-de-datos-en.html
* Presentaciones del IX Seminario Tendencias Tecnología en Seguridad Informática 2010 CYBSEC (Argentina)
http://www.cybsec.com/ES/articulos/default.php
* Temas de Seguridad en No 4 de la Revista de Derecho, Comunicaciones y Nuevas Tecnologías (varios autores, Colombia)
http://derechoytics.uniandes.edu.co
* Disponible para su Libre Descarga Versión 1.4.30 en Español e Inglés del Software de Laboratorio CrypTool (Bernhard Esslinger; Equipo CrypTool)
http://www.cryptool.de/index.php/es/download-topmenu-63.html

3. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Octubre 18 al 22 de 2010: Workshop Arquitectura, Redes y Sistemas Operativos en XVI congreso CACIC 2010 (Buenos Aires - Argentina)
* Octubre 27 al 29 de 2010: Mexican Meeting on Informatics Security M2IS (Guadalajara - México)
* Noviembre 8 al 10 de 2010: International Conference E-Activity and Leading Technologies 2010 (Oviedo - España)
* Noviembre 11 al 12 de 2010: Congreso Computational Intelligence in Security for Information Systems CISIS'10 (León - España)
* Noviembre 29 a Diciembre 3 de 2010: VI Congreso Internacional de Telemática y Telecomunicaciones (La Habana - Cuba)
* Febrero 7 al 11 de 2011: X Seminario Iberoamericano de Seguridad en las Tecnologías de la Información (La Habana - Cuba)
* Marzo 2 al 5 de 2011: Rooted CON 2011 (Madrid, España)
* Marzo 11 al 13 de 2011: IADIS International Conference Iinformation Systems 2011 (Ávila, España)
* Junio 7 al 10 de 2011: 9th International Conference on Applied Cryptography and Network Security ACNS '11 (Nerja, Málaga, España)
* Julio 18 al 21 de 2011: International Conference on Security and Cryptography SECRYPT 2011 (Sevilla, España)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. FUE NOTICIA EN LA RED TEMÁTICA DURANTE EL MES DE SEPTIEMBRE DE 2010
* Charlas sobre Criptografía y la Privacidad Online en la Semana de la Computación en la UBA (Argentina)
* Celebración de Ekoparty 2010 Electronic Knock Out Party Security Conference en Buenos Aires (Argentina)
* Quinto Taller Regional de Entrenamiento para Técnicos en Seguridad Informática en Santiago del 4 al 7 de octubre (Chile)
* Página Web Criptografía para Principiantes de José de Jesús Angel Angel (México)
* IX Seminario Anual Tendencias de la Tecnología en Seguridad Informática (Argentina)
* El Canal Twitter de Criptored Alcanza los 100 Seguidores en Seis Meses
* Celebración de Asegúr@IT Camp 2 en un Camping de El Escorial del 22 al 24 de octubre (Madrid, España)
* Segunda Edición del Curso Online El Derecho a la Protección de Datos Personales de la AEPD del 25 oct al 19 dic (España)
* Congreso SOURCE en Barcelona el 21 y 22 de Septiembre (España)
* III Sesión Anual Abierta y Gratuita de la Agencia Española de Protección de Datos el 20 de octubre en Madrid (España)
* Comienzan los Cambios en CRIPTORED con un Nuevo Nombre y un Nuevo Logo
* Nace Intypedia la Enciclopedia Visual de la Seguridad de la Información dentro de CRIPTORED (España)
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2010.htm#sep10

5. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 831 (219 universidades y 309 empresas)
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 33.030 visitas, con 107.125 páginas solicitadas y 34,31 GigaBytes servidos en septiembre de 2010
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Director de CRIPTORED
http://www.criptored.upm.es/



jueves, 7 de octubre de 2010

Actualización de ISC BIND 9.7

ISC (Internet System Consortium) ha publicado una actualización para BIND que corregir dos problemas en la versión 9.7, que podrían permitir provocar denegaciones de servicio o acceder a información de la caché.

BIND 9 es el servidor DNS más extendido en Internet. Creado originalmente por cuatro estudiantes de la universidad de Berkeley (California), en los años 80, actualmente es mantenido por el consorcio ISC. El código de BIND se reescribió desde cero en parte debido a las numerosas vulnerabilidades que fueron apareciendo y la dificultad para implementar mejoras con la base de código anterior. BIND 8 fue descontinuado en 2007. Contuvo numerosos problemas de seguridad que fueron aprovechados durante toda la década de los 90.

Un primer problema se presenta en los servidores configurados para validación DNSSEC al procesar peticiones que contengan una firma errónea. Un atacante podría emplear este fallo para causar una denegación de servicio a través de peticiones especialmente manipuladas.

Otro problema reside en la forma en que se aplican las ACL (Listas de Control de Acceso). Esto podría permitir a un atacante remoto acceder a información sensible de la caché a través de peticiones especialmente manipuladas (incluso aunque las ACL lo impidan).

Además se han corregido otra serie de problemas y añadido nuevas funcionalidades. Se recomienda actualizar a ISC Bind 9.7.2-P2:
http://www.isc.org/software/bind/972-p2


Antonio Ropero
Antonior@hispasec.com


Más información:

BIND 9.7.2-P2 is a maintenance release for BIND 9.7.
http://ftp.isc.org/isc/bind9/9.7.2-P2/RELEASE-NOTES-BIND-9.7.2-P2.html

miércoles, 6 de octubre de 2010

Actualizaciones de seguridad para Adobe Reader y Acrobat

Adobe ha publicado una actualización para corregir 23 vulnerabilidades en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante ejecutar código con los permisos con los que se lance la aplicación afectada.

Las versiones afectadas son Adobe Reader 9.3.4 (y anteriores) para Windows, Macintosh y UNIX; Adobe Acrobat 9.3.4 (y anteriores) para Windows y Macintosh; y Adobe Reader 8.2.4 (y anteriores) y Adobe Acrobat 8.2.4 (y anteriores) para Windows y Macintosh.

Las vulnerabilidades anunciadas residen en 23 problemas diferentes, la mayoría de ellos críticos que residen en corrupción de memoria, tratamiento de imágenes o tratamiento de entradas que pueden dar lugar a ejecución de código arbitrario.

Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/ o http://get.adobe.com/es/reader/


Antonio Ropero
Antonior@hispasec.com


Más información:

Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-21.html

martes, 5 de octubre de 2010

Se populariza el spam en formato HTML

Probablemente ya lo hayan notado, pero últimamente se está recibiendo en mayor medida correo basura con HTMLs adjuntos. Los atacantes están usando este formato para robar datos y redirigir a las víctimas a otras web. Es la nueva "moda" del spam.

El correo siempre ha sido el método de distribución predilecto del spam y malware. Desde hace muchos años, los atacantes han adjuntado al correo ejecutables de todo tipo (exe, cmd, pif, bat, vbs... y todas las combinaciones de dobles extensiones posibles) en un intento de infectar sistemas. Esto hace tiempo que está superado por los filtros y normalmente son bloqueados a nivel de perímetro, pero existen otros formatos menos populares que se utilizan a menudo.

Aproximadamente en 2002, se hicieron muy populares los correos basura que solo contenían imágenes. Con esto, los atacantes conseguían eludir los filtros por palabras (primera reacción obvia contra el spam). Como respuesta a las imágenes, los filtros antispam comenzaron a utilizar plugins OCR (software de reconocimiento óptico de caracteres), capaz de interpretar el texto en los gráficos. A continuación les tocó mover ficha a los spammers, y comenzaron a introducir "ruido" en las imágenes para dificultar el reconocimiento automático por este tipo de software.

En junio de 2007, sufrimos una verdadera avalancha de spam en formato PDF. Aprovechando que casi todos los sistemas cuentan con un lector, los atacantes incrustaron la publicidad en un PDF, o incluso en una imagen dentro del PDF. La campaña de envío fue masiva y los filtros no funcionaron los primeros días, pero muy pronto los programadores se pusieron a trabajar y comenzaron a mirar dentro de estos archivos (aunque demostraron no estar preparados para el primer golpe, dado el éxito del que disfrutaron los atacantes las primeras horas). Luego el formato PDF se usaría más para infectar con malware... pero en esto tiene mucho más que decir Adobe que los creadores de filtros de correo basura.

Ahora, parece que los atacantes están usando archivos HTML adjuntos para distribuir basura e incluso infectar a sistemas. Los utilizan de dos formas:

* En vez de colgar un phishing en una web, lo incluyen todo en ese HTML. La víctima lo abre en local, ve una web muy parecida a la de un banco u otra entidad, introduce los datos y son enviados al estafador. Así, los atacantes consiguen no tener que preocuparse por mantener un phishing colgado en algún ISP que en cualquier momento podría eliminarlo, e incluso evadir los filtros antiphishing basados en listas negras, puesto que una dirección "local" no aparecería nunca en ellos.

* Los HTML contienen redirectores (código JavaScript o HTML convenientemente ofuscado) que enlaza a otra web. Al abrir ese HTML adjunto, el usuario es redirigido y puede esperarle un phishing o un intento de infección. Con esto consiguen eludir filtros antispam basados en la detección del método "clásico" de incrustar directamente URLs en el cuerpo de un correo fraudulento.

A partir de ahí, las combinaciones son varias: imágenes dentro del HTML, ofuscación de texto... Con este nuevo método, están consiguiendo eludir algunos filtros antispam y confundir a las víctimas menos avezadas. Aunque obtienen algunas ventajas y están consiguiendo llegar a las bandejas de entrada, en realidad los filtros antispam están haciendo un buen trabajo contra este método desde un primer momento (no como ocurrió en 2007con los PDF) y en general, la mayoría acaban en el correo basura. Aun así, está siendo bastante usado y conviene tenerlo en cuenta.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Se populariza el spam en formato PDF
http://www.hispasec.com/unaaldia/3167

lunes, 4 de octubre de 2010

Actualización de MySQL por múltiples vulnerabilidades

Se ha publicado la versión 5.1.51 de MySQL destinada a corregir múltiples vulnerabilidades en MySQL, que podrían permitir a un atacante provocar condiciones de denegación de servicio o lograr ejecutar comandos con privilegios elevados.

Existe un problema en el tratamiento de comentarios de versión en MySQL que podría permitir a un atacante remoto ejecutar sentencias SQL con privilegios de superusuario.

Otros problemas de denegación de servicio residen en la evaluación de argumentos de funciones como "LEAST()" y "GREATEST()", en la re-evaluación de valores provenientes de tablas auxiliares, en el tratamiento de la la sentencia 'GROUP_CONCAT' en combinación con 'WITH ROLLUP', en el tratamiento de funciones como "GREATEST()" o "LEAST()", en la ejecución de sentencias que utilizan tablas temporales, al procesar sentencias "join" anidadas en procedimientos almacenados o un error cuando se pre-evalúan argumentos "LIKE" durante la preparación de la vista.

Se recomienda la actualización a MySQL versión 5.1.51 :
http://dev.mysql.com/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

Changes in MySQL 5.1.51 (10 September 2010)
http://dev.mysql.com/doc/refman/5.1/en/news-5-1-51.html

domingo, 3 de octubre de 2010

Desbordamiento de búfer en IBM DB2 Administration Server

Se ha anunciado una vulnerabilidad en IBM DB2 (versiones anteriores a 9.5 Fix Pack 6a), que podría permitir a un atacante remoto conseguir comprometer los sistemas afectados.

El problema reside en un desbordamiento de búfer en el servidor de administración al procesar peticiones específicamente construidas. Un atacante remoto podría provocar la caída del servidor afectado o conseguir la ejecución de código arbitrario.

Se recomienda actualizar a IBM DB2 versión 9.5 Fix Pack 6a:
http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053


Antonio Ropero
antonior@hispasec.com


Más información:

Fix List for DB2 Version 9.5 for Linux, UNIX and Windows
http://www-01.ibm.com/support/docview.wss?rs=71&uid=swg21293566#6a

sábado, 2 de octubre de 2010

Actualización de FreeType para Solaris 9, 10 y OpenSolaris

Se ha anunciado una vulnerabilidad de seguridad en Solaris 9 y 10 (y OpenSolaris), que podría permitir a un atacante remoto lograr la ejecución de código arbitrario.

La vulnerabilidad reside en un error en la forma en la que el motor de renderizado de fuentes Freetype procesa ciertos códigos CFF. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio y potencialmente ejecutar código arbitrario mediante un fichero de fuentes especialmente manipulado.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 9: Instalar parche 112908-38 o posterior desde http://sunsolve.sun.com/patchfinder/?uiForm=N&patchId=116105-11

Solaris 10:
Instalar parche 141500-07 o posterior desde http://sunsolve.sun.com/patchfinder/?uiForm=N&patchId=119812-09

Para x86:

Solaris 9:
Instalar parche 1115168-24 o posterior desde http://sunsolve.sun.com/patchfinder/?uiForm=N&patchId=116106-10

Solaris 10:
Instalar parche 141501-08 o posterior desde http://sunsolve.sun.com/patchfinder/?uiForm=N&patchId=119813-11

Para Opensolaris:
Solucionado en sistemas basados en snv_111b o posterior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

CVE-2010-1797 Buffer Overflow Vulnerability in FreeType
http://blogs.sun.com/security/entry/cve_2010_1797_buffer_overflow

viernes, 1 de octubre de 2010

Firefox el navegador más seguro contra el fraude

Un estudio realizado con 20.263 webs maliciosas revela que Firefox, en comparación con Chrome, Internet Explorer y Opera, es el navegador que bloquea de forma más efectiva los intentos de fraude.

De un tiempo a esta parte los navegadores incluyen, entre sus mecanismos de protección, filtros para evitar que los usuarios visiten páginas webs peligrosas para su seguridad. Básicamente se trata de listas negras confeccionadas a partir de distintas fuentes que clasifican las páginas de phishing, scam, distribución de malware, exploits, etc. Si el usuario intenta navegar por alguna de esas páginas, reconocidas por el navegador como peligrosas, la bloquea y avisa al usuario.

El estudio ha evaluado el grado de protección que ofrecen los distintos navegadores al visitar las páginas webs clasificadas como maliciosas y recopiladas desde diferentes fuentes, destacando la extracción de links de los mensajes de spam y arañas webs.

De las 20.263 páginas webs maliciosas, los distintos navegadores protegieron al usuario en los siguientes casos:

* Chrome: 6.639 (32,76%)
* Firefox: 7.108 (35,08%)
* Internet Explorer: 5.114 (25,39%)
* Opera: 1.690 (8,34%)

De los resultados se extrae que Firefox es el navegador que logra un mayor número de bloqueos, seguido de cerca por Chrome, Internet Explorer en tercer lugar y por último, a una considerable distancia, Opera.

También destaca el bajo porcentaje de protección en general, aunque es comprensible ya que en un alto grado estos filtros son en su mayoría reactivos. Es decir, son más débiles en las primeras horas tras la activación y publicación de las webs maliciosas, precisamente cuando los atacantes logran un mayor número de víctimas.

Algunas notas sobre el origen del estudio y la metodología

* El estudio ha sido llevado a cabo por el laboratorio de Hispasec de forma independiente. No ha sido elaborado a demanda, no está patrocinado, e Hispasec no mantiene relación comercial alguna con las empresas desarrolladoras de los navegadores evaluados.

* Todas las URLs utilizadas han sido detectadas como maliciosas por alguno de los navegadores evaluados y/o filtros de URLs de similares características (de soluciones de seguridad).

* Los resultados obtenidos son aplicables a las últimas versiones de los navegadores disponibles y en muchos casos a versiones anteriores, ya que comparten el mismo mecanismo de filtrado de URLs.

* En el caso de Internet Explorer que utiliza Microsoft SmartScreen, un protocolo y servicio propietario y registrado cuyo copyright impide su emulación, la automatización es igualmente posible mediante el uso directo del navegador vía COM.

* Aunque Firefox utiliza el servicio Google Safebrowsing, al igual que Chrome, se pueden observar resultados diferentes. Esto es debido a que, si bien utilizan el mismo protocolo, la respuesta del servicio es distinta en función del ID del navegador. Consultado a Google este comportamiento confirmaron nuestras hipótesis, y nos informaron que mantienen distintos acuerdos y fuentes de listas negras según el producto final.

Conclusiones

Los filtros de URLs son mecanismos que aumentan la protección de los usuarios y, por tanto, es de agradecer a las empresas desarrolladoras de navegadores que incluyan esta funcionalidad por defecto.

Como puede observarse en los resultados, siempre existe un porcentaje elevado de casos donde el filtro del navegador no bloqueará automáticamente el sitio web malicioso, especialmente durante las primeras horas del ataque. Por tanto es fundamental concienciar a los usuarios sobre ciertas prácticas de "higiene" y seguridad básica en Internet.

Existe un grado de complementariedad muy alto entre los filtros de los distintos navegadores. Las páginas webs detectadas por Firefox no son en muchos casos detectadas por Internet Explorer y viceversa. Por lo tanto existe una área de oportunidad muy interesante en la compartición de las fuentes de datos en pro de la seguridad global. Aunque somos conscientes de que la competencia e intereses comerciales no favorecen este tipo de colaboración, la propia industria de la seguridad nos ha demostrado que es posible y beneficioso.

Dado los bajos porcentajes de bloqueo obtenidos, cobra sentido el instalar soluciones de seguridad adicionales con funciones similares, basadas en el filtrado de URLs, ya que actuarán de forma complementaria para aumentar el grado de protección que logran los navegadores.


Bernardo Quintero
bernardo@hispasec.com