miércoles, 29 de febrero de 2012

Salto de restricciones en el router D-Link DSL-2640B


Se ha publicado una vulnerabilidad que podría permitir a un atacante evadir restricciones y obtener credenciales de administrador en el router wireless D-Link DSL-2640B.

Existe un error a realizar la autenticación de acceso del router D-Link DSL-2640B. Un atacante podría acceder a la interfaz web de administración, (que por defecto es http://192.168.1.1), y ver la dirección MAC del administrador si éste ha iniciado sesión en esos momentos. A continuación podría realizar un salto de restricciones y conseguir acceso como administrador simplemente sustituyendo la MAC de su tarjeta de red por la del administrador.

El cambio de dirección MAC es trivial y existen múltiples aplicaciones que lo permiten. Para sistemas operativos GNU/Linux y OSX, se pueden utilizar los siguientes comandos:

 ifconfig eth0 down
 ifconfig eth0 hw ether XX:XX:XX:XX:XX:XX
 ifconfig eth0 up

Donde XX:XX:XX:XX:XX:XX es la nueva dirección MAC que queremos utilizar.

Esta vulnerabilidad ha sido descubierta por Ivano Binetti, y por el momento no existe solución. Aún no se le ha asignado ningún identificador CVE.

Más información:

D-Link DSL-2640B Authentication Bypass

Exploit-DB: D-Link DSL-2640B Authentication Bypass


Juan José Ruiz


martes, 28 de febrero de 2012

Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)


Desde hace unas semanas veníamos observando que las visitas y comentarios en una noticia sobre un troyano de junio de 2011, aumentaban. Los usuarios buscaban información en Google, acababan en el artículo, y preguntaban. Las menciones en medios generalistas lo confirmaban: el troyano se pone de moda y afecta a muchos usuarios. Veamos cómo protegerse de verdad.

ACTUALIZACIÓN: La herramienta WinLockLless de Hispasec ayuda a prevenir el bloqueo.

En junio de 2011 publicábamos esta noticia: "Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico". Incluía un vídeo demostración del troyano. Bloqueaba el sistema con la siguiente excusa:

En nombre de la policía nacional, le acusa de: "Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."

El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Al parecer, hay gente que incluso los ha pagado: "Pagan una multa policialfalsa por ver porno en sus ordenadores"

Resulta cuando menos curioso que casi nueve meses después de ser "descubierto", el troyano protagonice titulares en medios generalistas, y la infección llegue a tantos usuarios. Sobre todo, porque no es especialmente sofisticado. Incluso, es bastante detectado por los sistemas antivirus, y no existen demasiadas variantes en nuestra bases de datos (o sea, que parece ser que viene siendo exactamente el mismo fichero que en junio de 2011 el que está infectando a tanta gente).

Cómo protegerse

Puesto que estamos recibiendo numerosas consultas sobre el asunto, vamos a ofrecer una solución real contra este y cualquier otro tipo de troyano parecido que aparezca en el futuro. Por supuesto, la prevención pasa por evitar ejecutar archivos desconocidos, y actualizar el software para que no contenga vulnerabilidades. Si aun así, no nos fiamos de nosotros mismos, la buena noticia es que es posible impedir que este, y todos los troyanos que estén por venir y se comporten igual, consigan secuestrar nuestro sistema.

El proceso que sigue el troyano para secuestrar el ordenador es modificar un par de ramas del registro. La misma que lanza "explorer.exe" cuando se arranca el sistema. Explorer.exe es el proceso que se encarga de "pintar" el escritorio: los iconos y la barra de herramientas y de sistema. Existen al menos dos lugares en el registro donde es posible lanzar lo que Windows llama una "shell" (explorer.exe): uno específico para el usuario, y otro para el sistema completo.

Simplemente, hay que restringir los permisos e impedir que podamos modificar esas ramas. Para el uso cotidiano del sistema, no es necesario disfrutar de los privilegios de modificación de esas ramas. Una vez más, la solución más efectiva no está en los antivirus, sino en las herramientas integradas del propio Windows.

En XP, la rama del registro que modifica es:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:

Shell=Explorer.exe, troyano.exe

Así se lanzan los dos cuando se inicia el sistema. Si, con el botón derecho, eliminamos los permisos de escritura en esa rama para los administradores, nos estaremos protegiendo. Cuidado: si se elimina el permiso a SYSTEM, el sistema quedará inestable. Sólo hay que eliminar el permiso de escritura a los administradores, nada más.

En Windows Vista y 7 tiene un comportamiento diferente (del que parece que muy pocos medios han hablado). El troyano modifica otra rama específica del usuario.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Aquí crea otra directiva llamada shell, con la ruta del troyano.


En esta rama tienen permiso de escritura los administradores y usuarios por defecto. Pero normalmente no es un permiso necesario (a no ser que un software legítimo necesite modificarlos), así que en principio no hay ningún problema en quitárselos.

Para eliminar los permisos de las ramas del registro, primero hay que "desheredar" los permisos de las ramas superiores, eliminando la casilla "Incluir todos los permisos heredables del objeto primario de este objeto", y copiándolos.


Luego eliminamos los permisos de escritura, para administradores y usuarios.


Si se quiere ser más específico, se puede eliminar solamente el permiso de "Crear subclave".


Con este cambio, el troyano mostrará su mensaje cuando nos infectemos, pero no podrá perpetuarlo en el arranque, con lo que la infección no se repetirá en el siguiente reinicio. Por supuesto, no nos responsabilizamos de cualquier uso indebido del registro, o consecuencias indeseadas en el sistema a causa de esta modificación.

Más información:

Máxima seguridad en Windows
http://unaaldia.hispasec.com/2011/09/libro-seguridad-en-windows-secretos.html

Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional
acusando al usuario de terrorista zoofílico

Una estafa informática te acusa de descargar pornografía y exige 100
euros para solucionarlo

"Pagan una multa policial falsa por ver porno en sus ordenadores"




Sergio de los Santos
Twitter: @ssantosv


lunes, 27 de febrero de 2012

"Ping de la muerte" en IBM AIX


Se ha desvelado una vulnerabilidad en la implementación de ICMP de IBM AIX que podría causar una denegación de servicio. Se trata, sencillamente, de un "ping de la muerte" que puede hacer que el servidor deje de responder con solo enviarle un paquete ICMP.

IBM ha anunciado una vulnerabilidad que afecta al sistema operativo AIX (Advanced Interactive eXecutive) 5, 6, y 7 que corren sus servidores IBM eServers pSeries. Este fallo sale a la luz solo unas semanas después de que a principios de febrero, se anunciara otro problema en el procesado de paquetes TCP en AIX, que podía provocar un "kernel panic" ante cierto tráfico de red.

La vulnerabilidad está causada por un error al procesar paquetes del protocolo ICMP (Internet Control Message Protocol). Un atacante remoto podría aprovechar la vulnerabilidad para provocar una denegación de servicio enviando un paquete ICMP 'echo reply' con el campo 'Identifier' establecido a 1.

"Ping de la muerte" fue como se dio en llamar a un simple ataque muy popular a mediados de los noventa, que consistía simplemente en enviar a la víctima un paquete ping de más de 65.535 bytes. Al intentar procesarlo y responder, el sistema dejaba de responder. Durante esos años afectó a la mayoría de sistemas operativos del momento, de una u otra forma. Fue corregido por casi todos en 1997.

Esta vulnerabilidad tiene asignado el identificador CVE-2011-1385, y una puntuación CVSS base de 7.8  dado que la complejidad para su explotación es baja y puede llevarse a cabo de forma remota.

Los equipos afectados son aquellos que corren los sistemas operativos IBM AIX 5.3.12, 6.1.5, 6.1.6, 6.1.7, 7.1.0 y 7.1.1. Es posible determinar si un sistema es vulnerable ejecutando el siguiente comando para conocer la versión:

lslpp -L bos.net.tcp.client

IBM ha publicado los parches correspondientes para solucionar la vulnerabilidad. Estos pueden descargarse desde la página oficial o a través de su FTP:

Más información:

Vulnerability in ICMP packet handling

"Kernel panic" en IBM AIX con solo enviar paquetes TCP


Sergio de los Santos
Twitter: @ssantosv


Juan José Ruiz

domingo, 26 de febrero de 2012

Reseña del libro "Fraude online: abierto 24 horas"


Mikel Gastesi y Dani Creus han escrito un libro sobre todo lo relacionado con el fraude online: malware, estafas, industria... Puesto que se aproxima bastante a nuestra línea de trabajo, hemos decidido dedicarle esta pequeña reseña.

El libro trata sobre los sistemas actuales de crimen en la red: cómo se organizan las estafas, qué herramientas se utilizan y cuáles son los mecanismos existentes para conseguir monetizar todo ese mundo de malware, estafas, páginas, SEO, publicidad y malas artes que encontramos en la red de hoy. Lo primero que hay que advertir es que no se trata de un libro técnico. Realmente puede ser leído por cualquier internauta al que le preocupe su seguridad.

Durante los dos primeros capítulos introduce al lector en la visión global del fraude, y explica sus motivaciones. En el capítulo tres habla de la industria del malware y del fraude: cómo está organizada y qué perfiles abarca (desde el creador del malware hasta las mulas). En el capítulo cinco habla, sobre todo, del carding (robo de datos de tarjetas de crédito): desde los métodos físicos en cajeros automáticos hasta decenas de anécdotas ocurridas en los últimos años. Los dos últimos capítulos están dedicados principalmente a describir cómo funcionan (esta vez con algún detalle técnico) los troyanos DIY más usados hoy en día: Zeus, Spyeye... incluyendo sus últimas novedades de "man-in-the-mobile", por ejemplo.

La ventaja del libro es que aglutina en un solo volumen una descripción detallada del estado de la industria del malware y del crimen en la red. Aunque se esté familiarizado con este tipo de noticias y "anécdotas" (por ejemplo los lectores de una-al-día), sirve como referencia para describir qué ha pasado en los últimos años y hasta dónde se ha llegado. Utilizan un tono y una temática muy parecida a la que podemos encontrar en los blogs de Brian Krebs (krebsonsecurity.com), Dancho Danchev (ddanchev.blogspot.com) y similares.

Como nota negativa, solo decir que a título personal, echo en falta entrar en detalles en algunas explicaciones que, bien por la redacción bien por el espacio dedicado, quedan un poco en el aire siendo bastante interesantes. Sin embargo, la visión global que queda al concluir el libro es más que explícita y suficiente.

Un libro para los internautas preocupados por su seguridad, y para los profesionales de la informática que todavía no están tanto de los peligros de hoy en día. O para los que piensan que todavía se puede hablar del malware como "virus" y "gusanos" que ralentizan el ordenador o se van con un formateo.

Más información en:


Sergio de los Santos
Twitter: @ssantosv

sábado, 25 de febrero de 2012

Denegación de servicio en Symantec pcAnywhere

Se ha anunciado una vulnerabilidad en Symantec pcAnywhere, que puede ser empleada por un atacante para provocar condiciones de denegación de servicio.

PCAnywhere es una popular aplicación comercial de control remoto creada por la empresa Symantec que permite a los usuarios administrar un ordenador a distancia. Esto es especialmente útil para situaciones donde el acceso físico no sea posible, para tareas de soporte en remoto, etc., por lo que suele estar accesible en redes abiertas. En el servidor, el proceso escucha por defecto en el puerto TCP 5631.

La vulnerabilidad reside en un error en el servicio awhost32 al tratar determinadas peticiones. Un atacante puede aprovechar este problema para evitar nuevas conexiones mediante el envío de paquetes específicamente manipulados al puerto TCP 5631.

Existe un exploit público para versiones 12.5.0 (build 463).

Hay que señalar que es la segunda ocasión en menos de un mes que se encuentra una vulnerabilidad sobre el mismo componente de pcAnywhere. Symantec ha publicado una nueva actualización del mismo hotfix, con la identificación TECH180472 (que actualiza a la buid 483).

Más información:

PCAnywhere 12.5.0 build 463 Denial of Service

Security Advisories Relating to Symantec Products - Symantec pcAnywhere Multiple Security Updates

pcAnywhere TECH180472 hotfix


Antonio Ropero
Twitter: @aropero

viernes, 24 de febrero de 2012

DNSChanger, una moda... ¿de 2008?


Es inevitable. De vez en cuando, alguien lanza la voz de alarma, y se pone de "moda" alguna familia de malware, independientemente de su peligrosidad. Leemos en titulares lo que parece el apocalipsis del malware. Lo peor es sospechar que la moda es en realidad de 2008.

Con titulares como "Llega un virus alta peligrosidad "DNS Changer"" y frases como "diversos organismos de seguridad en Internet a nivel mundial han alertado de la peligrosidad del virus DNS Changer, [...] de difícil erradicación en los ordenadores afectados." Desinforman y meten el miedo en el cuerpo, alejando al usuario de otros peligros mucho más reales y complejos. Veamos qué está pasando realmente.

Lo que llega a VirusTotal

Entendemos que lo que llega a VirusTotal es un buen indicador de qué está pasando ahí fuera. Así que buscamos por "Dnschanger" en la base de datos. Esto siempre tiene sus riesgos, puesto que la nomenclatura actual de las firmas es un absoluto desastre, y pocas veces se ponen de acuerdo. Aun así los resultados, ordenados por las veces que han llegado, son de las últimas dos semanas.



Comprobamos que unos pocos bichos de 2008-2009 han "vuelto" y han sido muy enviados en las últimas semanas. El primero, con 1.282 envíos, ni siquiera es un DNSChanger, sino un keygen para piratear un programa comercial. Así que tenemos muy pocas muestras de 2012 catalogadas más o menos de forma unánime como DNSChanger, pero sí algunas que, desde 2008, han vuelto a la "brecha" volviendo a ser muy enviadas a VirusTotal. Vamos a analizarlas un poco.

¿Se ha puesto de moda malware de 2008?

Pues eso parece. Leyendo las características de ese DNSChanger, vemos que su principal objetivo es modificar los servidores DNS en local de la máquina hacia estos rangos:

85.255.112.0 hasta 85.255.127.255
67.210.0.0 hasta 67.210.15.255
93.188.160.0 hasta 93.188.167.255
77.67.83.0 hasta 77.67.83.255
213.109.64.0 hasta 213.109.79.255
64.28.176.0 hasta 64.28.191.255

Efectivamente, analizando la muestra que más veces ha llegado en las últimas dos semanas, vemos que, tras un menú que simula ser un programa de codecs.


Termina cambiando los DNS. El programa hace poco más (crea ficheros con nombres como freebsd.exe y notepad.exe en el temporal, no sabemos bien por qué).


Ahora, con estos DNS, Google no va donde debería, por ejemplo:



Analizando estos troyanos, hemos recordado anuncios anteriores en UAD, por ejemplo
Donde se hablaba de mejoras en este malware. Curiosamente, el rango de direcciones IP de los DNS falsos sigue siendo el mismo. Tras varias muestras, consigo extraer estos DNS falsos:

85.255.113.205, 85.255.112.144, 85.255.114.75, 85.255.112.212, 85.255.116.71 y 85.255.112.63.

Efectivamente, en el rango anunciado.

¿Es un "revival" de un malware antiguo?

Tampoco podemos asegurarlo totalmente, pero todo indica que más o menos es así. Buscamos en la base de datos de VirusTotal y encontramos sobre todo muestras de este tipo que modifiquen los servidores DNS de la manera que indican... así que todo apunta a que es esto lo que está ocurriendo. Aunque también puede ser que estemos hablando de malware que no está en VirusTotal, o que no hemos sabido encontrar por ese nombre... quién sabe.

Desde luego, si es el caso, este malware no es en absoluto de "difícil erradicación"... basta con cambiar los DNS locales de la máquina. Y su peligrosidad es muy limitada comparada con la sofisticación que podemos encontrar ahí fuera.

Otras curiosidades

Comprobando esto, hemos acudido a la página http://dnschanger.eu/, un servicio gratuito para comprobar si se están usando servidores DNS "rogue" o falsos. Gracias a mi compañero David García, hemos descubierto algo interesante. En principio nos parecía mala idea usar un dominio para comprobar si se están usando en el sistema DNS falsos. El operador de estos servidores DNS que ha infectado tu máquina, solo tendría que redirigir, bloquear o cambiar la IP del dominio para engañar al usuario, y este nunca sabría realmente si sus DNS son los buenos o no. Es lo de siempre: no puedes realizar operaciones concluyentes sobre si un sistema está infectado... operando desde el propio sistema.

Intentando averiguar cómo hace la página para saber si el visitante cuenta con DNS maliciosos o no, hemos descubierto que dnschagner.eu utiliza el dominio dns-ok.de. Muchos de estos DNS "malos", devuelven una resolución diferente a la de los "buenos" de este dominio, y ese es el criterio que parece seguir. Los DNS "buenos" resuelven a 85.214.11.195 y los malos a 85.214.11.194. El método parece consistir en conseguir la imagen alojada en dns-ok.de/images/t2logo.gif.


Así, si puedes descargar esta imagen: http://85.214.11.194/images/t2logo.gif (pero resolviendo el dominio) es que estás infectado. Si no, es que en realidad estás acudiendo a http://85.214.11.194/images/t2logo.gif y por tanto no estás infectado.

Es un método curioso (y con flecos), del que todavía quedaría por averiguar los detalles. Parece que se debe "condenar" a los servidores que se saben "rogue" a resolver de forma controlada hacia otra IP... He llamado a la OSI (Oficina de Seguridad del Internauta) para ver si nos lo pueden aclarar, y estamos esperando respuesta.

Protegerse de verdad

Como siempre que hay una alerta mediática, aparecen métodos y herramientas para protegerse. En realidad el método más eficaz para evitar que algo o alguien te modifique los DNS ya está inventado: son los permisos nativos de Windows. Los datos de las interfaces de red se almacenan en el registro.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces

Si somos usuarios, no podremos cambiarlo. Si somos administradores... debemos impedirnos a nosotros mismos y a todo lo que ejecutemos que pueda modificar sus valores. Con el botón derecho sobre esa rama, cambiamos los permisos y eliminamos el "control total" sobre los administradores. Ya nadie podrá cambiar las propiedades de nuestras interfaces de red. Esto es lo más efectivo (siempre que recuerdes que lo has cambiado y reviertas la configuración cuando sea necesario).



Más información:

Llega un virus alta peligrosidad "DNS Changer"

Troyano DNS-Changer redirige a páginas maliciosas


Sergio de los Santos
Twitter: @ssantosv

jueves, 23 de febrero de 2012

Denegación de servicio en Switches Cisco Nexus


El software NX-OS de Cisco se ve afectado por una vulnerabilidad de denegación de servicio que podría afecta a switches Cisco Nexus Serie 1000v, 5000 y 7000.

La vulnerabilidad, con CVE-2012-0352, ocurre cuando el dispositivo intenta obtener datos de la Capa 4 (como UDP, TCP) de un paquete IP específicamente creado. Un usuario remoto puede enviar un paquete IP manipulado de tal forma que provoque el reinicio del dispositivo, un ataque continuado daría lugar a la condición de denegación de servicio.

Cisco ha publicado versiones de software actualizadas, para la serie 1000v: 4.2(1)SV1(5.1); para la serie 5000: 5.0(2)N1(1); y para dispositivos Nexus serie 7000: 4.2.8, 5.0.5, 5.1.1.

Más información:

Cisco NX-OS Malformed IP Packet Denial of Service Vulnerability


Antonio Ropero
Twitter: @aropero

miércoles, 22 de febrero de 2012

Elevación de privilegios en la tableta BlackBerry PlayBook


Se ha anunciado una vulnerabilidad en Samba que afecta a la tableta BlackBerry PlayBook y que podría permitir a un atacante remoto elevar privilegios.

La tableta de RIM, BlackBerry PlayBook, incorpora el sistema operativo BlackBerry Tablet OS en el que se incluye el software de código abierto Samba, para compartir archivos entre la tableta y otros  dispositivos.

Se ha encontrado una vulnerabilidad en Samba que podría causar un desbordamiento de memoria intermedia basada en heap. Un atacante remoto podría aprovechar esta vulnerabilidad para lanzar un exploit en  una red Wi-Fi o incluso usar el acceso físico mediante USB a la tableta, y elevar privilegios. Una vez obtenido acceso como root, podría instalar programas, ver, modificar y eliminar cualquier fichero, etc.

Esta vulnerabilidad tiene asignado el identificador CVE-2012-0870, y una valoración CVSS (Common Vulnerability Scoring System) de 8.3.

RIM ha publicado una actualización de BlackBerry Tablet OS a la versión 2.0.0.7971 que soluciona esta vulnerabilidad.

Más información:

BSRT-2012-001 Vulnerability in Samba service impacts BlackBerry PlayBook tablet file sharing



Juan José Ruiz


martes, 21 de febrero de 2012

Múltiples vulnerabilidades en SAP NetWeaver 7


Se han publicado varias vulnerabilidades que afectan a SAP NetWeaver 7 y que podrían permitir a un atacante remoto revelar información sensible, elevar privilegios y llevar a cabo ataques de Cross-Site Scripting (XSS).

NetWeaver es una plataforma tecnológica compuesta por diferentes productos SAP cuyos objetivos son lograr una mejor integración con las aplicaciones, utilizar estándares para asegurar la interoperabilidad, aportar flexibilidad, y reducir costes. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.

La primera de las vulnerabilidades de SAP NetWeaver ha sido descubierta por Dmitriy Chastukhin de Digital Security Research Groups. Está causada por la falta de comprobación del parámetro de entrada "logfilename", utilizado por "b2b/admin/log_view.jsp" y "b2b/admin/log.jsp" en el módulo "Internet Sales" (crm.b2b) y en el módulo "Application Administration" (com.sap.ipc.webapp.ipc). Esta vulnerabilidad podría ser explotada por un atacante remoto autentificado para revelar información sensible modificando la ruta pasada en el parámetro "logfilename", tal y como se muestra en los ejemplos siguientes:


La segunda vulnerabilidad, descubierta también por Dmitriy Chastukhin, está provocada por una falta de comprobación de parámetros de entrada pasados a 'container.jsp' en el módulo "Internet Sales" (crm.b2b). Un atacante remoto podría aprovechar esta vulnerabilidad para realizar un ataque Cross-Site Scripting (XSS) inyectando código javascript en la URL. A continuación se muestra un ejemplo:



La última vulnerabilidad ha sido descubierta por Nico Leidecker de Context Information Security Ltd. Está causada por una falta de comprobación de límites, en el servicio SAPHostControl, al manejar determinados comandos envueltos en mensajes SOAP, que podría causar un desbordamiento de memoria intermedia basada en pila. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario con privilegios de administrador a través del envío de mensajes SOAP especialmente manipulados.

Estas vulnerabilidades no tienen asignado identificador CVE.

Se encuentran disponibles para su descarga en la página oficial, los parches 1585527, 1583300, y 1638811 que, respectivamente, solucionan las vulnerabilidades expuestas anteriormente.

Más información:

[DSECRG-12-012] SAP NetWeaver Internet Sales - local file read

[DSECRG-12-013] SAP Application Administration - local file read
           
[DSECRG-12-014] SAP NetWeaver Internet Sales - XSS

SAP AG Netweaver 7.02 Remote Code Execution

SAP release a patch for the issue ref: 1585527.

SAP release a patch for the issue ref: 1583300.

SAP release a patch for the issue ref: 1638811.



Juan José Ruiz

lunes, 20 de febrero de 2012

Solucionadas múltiples vulnerabilidades críticas en Oracle Java SE


Oracle Corporation hizo públicas nuevas versiones de Java Platform Standard Edition (Java SE) que solucionaban un total de catorce vulnerabilidades, relacionadas con la posibilidad de  ejecutar código de manera remota o de provocar denegaciones de servicio.

Comentamos de manera resumida los diferentes impactos descritos:

  • Seis vulnerabilidades críticas (puntuación CVSS 10.0 - 9.3) por las cuales un atacante remoto tendría la posibilidad de ejecutar código arbitrario a través de applets o aplicaciones Java Web Start especialmente manipuladas, que afectarían a los componentes 2D, Deployment, Install y JavaFX: CVE-2012-0497, CVE-2012-0498, CVE-2012-0499, CVE-2012-0500, CVE-2012-0504, CVE-2012-0508.
     
  • Tres vulnerabilidades de nivel importante (CVSS 7.5) capaces de generar una denegación de servicio a través de los anteriores vectores, afectando a Concurrenct, I18n y Serialization: CVE-2012-0503, CVE-2012-0505, CVE-2012-0507.
     
  • Cuatro vulnerabilidades de nivel medio (CVSS 6.4 – 5.0) capaces también de interrumpir los servicios, relacionadas con los componentes AWT, Sound, Lightweight HTTP Server y JRE: CVE-2012-0501, CVE-2012-0502, CVE-2011-5035, CVE-2011-3563.
     
  • Una vulnerabilidad (CVSS 4.3) que afectaría la integridad del sistema permitiendo la manipulación de los datos, relacionada con el módulo CORBA: CVE-2012-0506.

Los productos afectados con sus versiones son los siguientes:
  • JDK y JRE 7 Update 2 y anteriores
  • JDK y JRE 6 Update 30 y anteriores
  • JDK y JRE 5.0 Update 33 y anteriores
  • SDK y JRE 1.4.2_35 y anteriores
  • JavaFX 2.0.2 y anteriores

Recomendamos aplicar las actualizaciones pertinentes en los sistemas afectados dada la gravedad crítica de algunas de las vulnerabilidades.

Los desarrolladores pueden descargar las versiones más recientes desde:

Y los usuarios normales pueden descargar Java RE (Runtime Edition) para sus sistemas desde: http://java.com/

Más información:

Oracle Java SE Critical Patch Update Advisory - February 2012


José Mesa Orihuela


domingo, 19 de febrero de 2012

Otra actualización urgente (tercera en dos semanas) para productos Mozilla


La fundación Mozilla ha publicado una nueva versión de sus productos para corregir un problema de ejecución de código descubierto por Jueri Aedla en la librería libpng. Puesto que este componente se encuentra en los productos Firefox, Thunderbird y Seamonkey, todos se ven afectados por este grave problema.

El fallo se trata de un desbordamiento de enteros en la función png_decompress_chunk del fichero pngrutil.c de la librería. A la hora de descomprimir ciertas imágenes especialmente manipuladas, se podría producir un desbordamiento de memoria intermedia basado en heap.

Si un usuario abre un fichero PNG (por ejemplo al visitar una web) especialmente manipulado, se podría llegar a ejecutar código arbitrario.

Esta vulnerabilidad ha recibido el CVE-2011-3026 como referencia.

El boletín que recoge este fallo, MFSA2012-11, aparece sólo 6 días después del anterior, que corregía un grave fallo en nsXBLDocumentInfo::ReadPrototypeBindings. A su vez, este aparecía apenas 10 días después del lote anterior de nueve boletines publicado por la fundación el 31 de enero.

Mozilla ha publicado nuevas versiones de sus productos que corrigen esta vulnerabilidad: Firefox 10.0.2, Firefox ESR 10.0.2, Firefox 3.6.27, Thunderbird 10.0.2, Thunderbird ESR 10.0.2, Thunderbird 3.1.19 y Seamonkey 2.7.2

Más información:

Mozilla Foundation Security Advisory 2012-11


Borja Luaces

sábado, 18 de febrero de 2012

Múltiples actualizaciones para Red Hat Enterprise Server


La firma Red Hat ha publicado cuatro boletines de seguridad que corrigen problemas de seguridad en glibc para las versiones 4 y 5, vulnerabilidades del paquete mysql para la versión 5 y actualizaciones de httpd para la versión 6.

A continuación procedemos a realizar un pequeño resumen de cada uno de los identificadores.

  • RHSA-2012:0125-1 y RHSA-2012:0126-1: La instalación de esta actualización corrige varias vulnerabilidades de glibc en sistemas Red Hat Enterprise Linux 4 y 5 respectivamente. A pesar de haber sido clasificada como de un impacto moderado por parte del equipo de Red Hat, algunas de las vulnerabilidades corregidas permitirían la ejecución de código remoto. Algunos fallos datan de hasta 2009.
     
  • RHSA-2012:0127-1: Esta actualización corrige siete vulnerabilidades de mysql en los sistemas Red Hat Enterprise Linux 5. La mayoría podrían permitir provocar denegaciones de servicio.
     
  • RHSA-2012:0128-1: Se corrigen cinco vulnerabilidades en httpd (Apache) para Red Hat Enterprise Linux 6. Tres de ellas son fallos publicados en 2011.

Más información:

RHSA-2012:0125-1

RHSA-2012:0126-1

RHSA-2012:0127-1

RHSA-2012:0128-1


Borja Luaces

viernes, 17 de febrero de 2012

Actualización de seguridad de Google Chrome

Google ha publicado una nueva versión (17.0.963.56) destinada a corregir trece vulnerabilidades para las plataformas Microsoft Windows, Macintosh y Linux de su navegador webChrome.

Con este nuevo reparto económico de recompensas, Google acumula más de 400.000 dólares en premios entre los investigadores que encuentran fallos de seguridad en sus aplicaciones, repartidos en un año.

Las vulnerabilidades corregidas en esta nueva versión serían las siguientes:

Con gravedad alta:

  • CVE-2011-3015: Error de desbordamiento de entero a través de los codecs PDF, descubierto por el equipo de seguridad de Google chrome.
     
  • CVE-2011-3017: Error de "use-after-free" al procesar bases de datos, descubierto por miaubiz y recompensado con 1.000 dólares.
     
  • CVE-2011-3018: Error de desbordamiento de heap en el renderizado de rutas descubierto por Aki Helin y recompensado con 1.000 dólares.
      
  • CVE-2011-3019: Error de desbordamiento de heap al procesar ficheros MKV, descubierto por el equipo de seguridad de Google Chrome y nuestro antiguo compañero Mateusz Jurczyk.
     
  • CVE-2011-3021: Error "use-after-free" en la carga de subframes reportado por Arthur Gerkis y recompensado con 1.000 dólares.
     
  • CVE-2011-3026: Error de desbordamiento de entorno en libpng, descubierto por Jüri Aedia y recompensado con 1.337 dólares.

Con gravedad media:

  • CVE-2011-3016: error de "read-after-free" en el contador de nodos, descubierto por miaubiz y recompensado con 500 dólares.
     
  • CVE-2011-3020: Error de validación en el cliente nativo, descubierto por Nick Bray. 
     
  • CVE-2011-3022: Error de uso en el script de traducción para http, descubierto por Jorge Obes del equipo de seguridad de Google.
     
  • CVE-2011-3023: Erro de "use-after-free" al emplear el arrastrar y soltar reportado por pa_kt y recompensado con 500 dólares.
     
  • CVE-2011-3025: error de lectura fuera de límites parseado de h.264, descubierto por Slawomir Blazek y recompensado con 500 dólares.

Con prioridad baja:

  • CVE-2011-3024: Denegación de servicio  al procesar un certificado x509 vacío, reportado por chrometot.

Junto con esta nueva versión de Google Chrome se actualiza también Flash Player, con el que se corregirían los fallos recientemente descubiertos.

Más información:

Chrome Stable Update

Celebrating one year of web vulnerability research


Borja Luaces



jueves, 16 de febrero de 2012

Actualización de seguridad para Adobe Flash Player


Adobe ha publicado una actualización de seguridad (con identificación es APSB12-03) destinada a corregir siete vulnerabilidades críticas en Adobe Flash Player versión 11.1.102.55 (y anteriores) para Windows, Macintosh, Linux y Solaris; Adobe Flash Player 11.1.112.61 (y anteriores) para Android 4.x; y Adobe Flash Player 11.1.111.5 (y versiones anteriores) para Android 3.x y 2.x.

Las vulnerabilidades con identificadores CVE-2012-0751, CVE-2012-0752, CVE-2012-0753, CVE-2012-0754, CVE-2012-0755 y CVE-2012-0756, pueden permitir a un atacante provocar la caída del sistema e incluso llegar a tomar el control de los sistemas afectados. Estas vulnerabilidades están relacionadas con diversos problemas de corrupción de memoria, en el control ActiveX para Windows, en el tratamiento de MP4 y evasión de controles de seguridad.

Esta actualización también resuelve una vulnerabilidad de cross-site scripting, con CVE-2012-0767, que en la actualidad está siendo explotada de forma activa en ataques dirigidos, diseñados para engañar al usuario para acceder a un enlace malicioso a través de mensajes de correo (solo en Internet Explorer sobre Windows).

Adobe recomienda a los usuarios de Adobe Flash Player 11.1.102.55 (y anteriores) para Windows, Macintosh, Linux y Solaris la actualización a la versión 11.1.102.62 disponible en http://get.adobe.com/flashplayer/ o desde la opción de actualización automática.
Para los usuarios que no puedan actualizar a Flash Player 11.1.102.62, Adobe ha desarrollado una versión parcheada de Flash Player 10.x, (Flash Player 10.3.183.15), que puede descargarse desde http://kb2.adobe.com/cps/142/tn_14266.html.

A los usuarios de Adobe Flash Player 11.1.112.61 (y anteriores) para Android 4.x actualizar a la versión 11.1.115.6 y los usuarios de Adobe Flash Player 11.1.111.5 y versiones anteriores para Android 3.x deben actualizar a Flash Player 11.1.111.6, desde Android Market:

Más información:

Security update available for Adobe Flash Player



Antonio Ropero