miércoles, 30 de abril de 2014

Mozilla publica Firefox 29 y corrige 15 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 29 de Firefox, junto con 14 boletines de seguridad destinados a solucionar 15 nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.

Firefox 29 destaca por incluir una nueva interfaz de usuario, conocida como Australis, en el que destaca la simplificación y un renovado cambio de imagen. También incluye novedades en Firefox Sync, al introducir las cuentas Firefox ("Firefox Accounts"), que mediante una dirección de correo y contraseña, permitirá sincronizar el historial, marcadores, contraseñas, etc. en múltiples dispositivos.

Por otra parte, se han publicado 14 boletines de seguridad (cinco de ellos considerados críticos) que corrigen 15 nuevas vulnerabilidades en los diferentes productos Mozilla.

MFSA 2014-34: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-1518 y CVE-2014-1519).

MFSA 2014-35: Soluciona una vulnerabilidad de gravedad alta que solo afecta a sistemas Windows al permitir  una escalada de privilegios a través del instalador Mozilla Maintenance Service (CVE-2014-1520).

MFSA 2014-36: Boletín de carácter alto, corrige un problema de lectura fuera de límites en Web Audio (CVE-2014-1522).

MFSA 2014-37: Soluciona una vulnerabilidad considerada moderada por una lectura fuera de límites al tratar imágenes JPG con un formato específico (CVE-2014-1523).

MFSA 2014-38: Corrige una vulnerabilidad de gravedad alta debida a un desbordamiento de búfer cuando un script usa un objeto no-XBL como objeto XBL (CVE-2014-1524).

MFSA 2014-39: Boletín de carácter alto por un uso después de liberar en Text Track Manager al procesar vídeo HTML (CVE-2014-1525).

MFSA 2014-40: Soluciona un problema de impacto moderado, en Firefox for Android, que podría permitir a un atacante la falsificación de la barra de direcciones y posibilitar la realización de ataques de phishing (CVE-2014-1527).

MFSA 2014-41: Destinado a corregir una vulnerabilidad de gravedad alta por una lectura fuera de límites en Cairo (CVE-2014-1528).

MFSA 2014-42: Soluciona una vulnerabilidad crítica por una escalada de privilegios a través de Web Notification API (CVE-2014-1529).

MFSA 2014-43: Soluciona un problema de impacto alto por un cross-site scripting en el uso de los historiales de navegación (CVE-2014-1530).

MFSA 2014-44: Soluciona una vulnerabilidad crítica por un uso después de liberar en imgLoader cuando una imagen es redimensionada (CVE-2014-1531).

MFSA 2014-45: Destinado a corregir una vulnerabilidad de gravedad de carácter moderado debido a que no se tratan adecuadamente los prefijos de dominios IDNA (CVE-2014-1492).

MFSA 2014-46: Soluciona una vulnerabilidad crítica por un uso después de liberar en nsHostResolver (CVE-2014-1532).

MFSA 2014-47: Destinado a corregir una vulnerabilidad de gravedad alta por una lectura fuera de límites en Cairo (CVE-2014-1528).

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Más información:

MFSA 2014-47 Debugger can bypass XrayWrappers with JavaScript

MFSA 2014-46 Use-after-free in nsHostResolve

MFSA 2014-45 Incorrect IDNA domain name matching for wildcard certificates

MFSA 2014-44 Use-after-free in imgLoader while resizing images

MFSA 2014-43 Cross-site scripting (XSS) using history navigations

MFSA 2014-42 Privilege escalation through Web Notification API

MFSA 2014-41 Out-of-bounds write in Cairo

MFSA 2014-40 Firefox for Android addressbar suppression

MFSA 2014-39 Use-after-free in the Text Track Manager for HTML video

MFSA 2014-38 Buffer overflow when using non-XBL object as XBL

MFSA 2014-37 Out of bounds read while decoding JPG images

MFSA 2014-36 Web Audio memory corruption issues

MFSA 2014-35 Privilege escalation through Mozilla Maintenance Service Installer

MFSA 2014-34 Miscellaneous memory safety hazards (rv:29.0 / rv:24.5)


Antonio Ropero

Twitter: @aropero

martes, 29 de abril de 2014

Actualización de Adobe Flash Player para evitar un 0-day

Adobe ha publicado una actualización para Adobe Flash Player para evitar una nueva vulnerabilidad 0-day que está explotándose en la actualidad y que afecta al popular reproductor. Esta vulnerabilidad podría permitir a un atacante tomar el control de los sistemas afectados.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 13.0.0.182 (y anteriores) para Windows, Adobe Flash Player 13.0.0.201 (y anteriores) para Macintosh, Adobe Flash Player 11.2.202.350 (y anteriores) para Linux y las vesiones de Adobe Flash para navegadores Google Chrome e Internet Explorer 10 y 11.

Esta actualización, publicada bajo el boletín APSB14-13, resuelve una vulnerabilidad de desbordamiento de búfer (CVE-2014-0515) que podría permitir la ejecución remota de código arbitrario. El ataque fue reportado por los Laboratorios Kaspersky al detectarlo mediante firmas genéricas heurísticas en un archivo de vídeo flash.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Adobe Flash Player 13.0.0.206 para Windows y Macintosh.
  • Adobe Flash Player 11.7.700.279 para Windows y Macintosh.
  • Adobe Flash Player 11.2.202.356 para Linux.
  • AIR 13.0.0.83

Igualmente se ha publicado la versión Flash Player 13.0.0.206 para Internet Explorer 10, 11 y Chrome para Windows.

Adobe también recuerda que el próximo 13 de mayo Adobe Flash Player dejará de dar soporte a las versiones 11.7 de Flash para Mac y Windows, que será reemplazada por la versión 13. Se recomienda a todos los usuarios actualizar a la nueva versión para continuar recibiendo actualizaciones de seguridad.


Más información:

Security updates available for Adobe Flash Player

New Flash Player 0-day (CVE-2014-0515) used in watering-hole attacks

Upcoming changes to Flash Player’s extended support release


Antonio Ropero
Twitter: @aropero

lunes, 28 de abril de 2014

Ejecución remota de código en Internet Explorer

Microsoft ha publicado un boletín de seguridad para alertar de una vulnerabilidad sin parche en Internet Explorer que podría permitir la ejecución remota de código.

El boletín, publicado el sábado 26 de Abril, expone una vulnerabilidad en el navegador web de Microsoft. Se debe a un error al intentar acceder a un objeto en la memoria que no se ha asignado correctamente o se ha eliminado previamente. Esto podría corromper la memoria y permitir a un atacante remoto ejecutar código arbitrario con los permisos del usuario actual de Internet Explorer.

Para explotar este error de seguridad bastaría convencer a un usuario para que visite, a través del navegador Internet Explorer, un sitio web especialmente diseñado por el atacante.

La vulnerabilidad ha sido identificada como CVE-2014-1776 y afectada a todas las versiones del navegador Internet Explorer desde la 6 hasta la 11.

Microsoft afirma haber detectado que la vulnerabilidad está siendo explotada, sin embargo continúa estudiando el problema y liberará los parches en la próxima actualización mensual del martes 13 de Mayo o en una actualización fuera de ciclo, en función de la gravedad del mismo.

Más información:

Microsoft Security Advisory 2963983


Juan José Ruiz

domingo, 27 de abril de 2014

Revelación de credenciales en productos Websense

Se ha anunciado una vulnerabilidad en diversos productos Websense que podría permitir a un atacante obtener las credenciales del resto de usuarios en texto plano.

  • Web Security Gateway Anywhere v7.7.3 Hotfix 31
  • Web Security Gateway v7.7.3 Hotfix 31
  • Websense Web Security v7.7.3 Hotfix 31
  • Websense Web Filter v7.7.3 Hotfix 31
  • Windows and Websense V-Series appliances

El problema (con CVE-2014-0347)  reside en que al autenticarse en el servicio con cualquier nivel de permisos, es posible consultar las opciones "Log Database" o "User Directories" del módulo "Settings". En cualquier sección es posible emplear un navegador para "Inspect Elements" en la página.

Los bloques de passwords están inicialmente ocultos en la página con el siguiente campo de formulario:
<input type="password" id="logDatabaseSettings:password" name ="logDatabaseSettings:password" maxlength="50" size="21">

Sin embargo, debido a la inadecuada construcción de la página y de la ocultación de codificación de credenciales es posible cambiar la entrada por lo siguiente y recargar la página:
<input type="text" id="logDatabaseSettings:password" name ="logDatabaseSettings:password" maxlength="50" size="21">

Lo que permitirá que las contraseñas se muestren en texto plano, junto con el nombre de usuario asociado.

Websense ha publicado versiones actualizadas de los productos afectados:

Más información:

Vulnerability Note VU#568252
Websense Triton Unified Security Center 7.7.3 information disclosure vulnerability

Websense V7.7.3 HF31 Manager Password Vulnerability issue



Antonio Ropero
Twitter: @aropero

sábado, 26 de abril de 2014

Actualización de seguridad para Apache Struts

Apache ha confirmado que un problema solucionado de forma incompleta en el proyecto Apache Struts podría seguir aprovechándose para ejecutar código remoto en el servidor. 

Struts es un entorno de trabajo de código abierto para el desarrollo de aplicaciones web en Java EE bajo el patrón MVC (Modelo Vista Controlador). Desarrollado por la Apache Software Foundation, en un primer momento formaba parte del proyecto Jakarta, convirtiéndose en proyecto independiente en 2005. En la actualidad la versión 2 es la única soportada.

Con la versión Struts 2.3.16.1, se solucionó, aparentemente, un problema (con CVE-2014-0094) que permitía la manipulación de ClassLoader a través de parámetros. Sin embargo la corrección fue insuficiente. Se ha confirmado que un usuario remoto puede proporcionar ciertos valores específicos del parámetro 'class', que van hacia la clase ParametersInterceptor, para de esta forma evadir el filtrado y proporcionar al cargador de clases ClassLoader una clase arbitraría y ejecutar código arbitrario a través de sus métodos.

Apache está trabajando en un parche para solucionar este nuevo problema, por el momento ha publicado las posibles contramedidas a aplicar para evitar posibles ataques. Disponibles en:
Se espera que la solución definitiva esté disponible en los próximos dos días.

Más información:

24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation



Antonio Ropero
Twitter: @aropero


viernes, 25 de abril de 2014

INTECO publica el documento "Ciber-Resiliencia: Aproximación a un marco de medición"

El Centro de Respuestas a Incidentes de Seguridad CERT de INTECO (Intituto Nacional de Tecnologías de la Telecomunicación), ha publicado el documento "Ciber-Resiliencia: Aproximación a un marco de medición". La ciber-resiliencia, es la capacidad para resistir, proteger y defender el uso del ciberespacio de los atacantes.

En este documento INTECO propone un marco de medición de indicadores dirigido a medir la capacidad de las organizaciones ante distintos ataques, amenazas o incidentes que puedan sufrir.

Las organizaciones de todos los tamaños y sectores, están expuestas a sufrir ataques cada vez más sofisticados y en constante evolución, dirigidos hacia los servicios y sistemas de información que tienen expuestos en las redes.

Las empresas, en general están poco preparadas para resistir frente a este tipo de ataques, debido principalmente a:
  • Falta de medidas técnicas para mitigarlos.
  • Poca preparación de los sistemas para detener este tipo de ataques.
  • Falta de formación o de recursos para hacerles frente.
  • Falta de pruebas para evaluar la capacidad real de la organización ante cualquier tipo de ataque externo.

Las organizaciones deben estar preparadas para dar respuestas rápidas a este tipo de ataques, y a su vez, permitir que los servicios que prestan no se vean interrumpidos. Todo ello sin dejar de fortalecer sus capacidades de identificación, detección, prevención, contención, recuperación, cooperación y mejora continua contra las ciberamenazas.

En este documento se propone una aproximación a la construcción de un posible marco integral de medición de indicadores de ciber-resiliencia para las organizaciones. Se basa en varias capas que recogen la gobernanza de la ciber-resiliencia. Todo ello a través de un modelo de indicadores basado en un conjunto de dominios funcionales, hasta llegar a un cuadro de mando de indicadores que plasman un esquema de madurez del modelo. Lo que puede permitir su mejora, mantenimiento y su comparación en el tiempo o con otras organizaciones que lo apliquen.

Para proponer esta aproximación al marco integral de medición de indicadores, se ha realizado una revisión a nivel internacional de las principales Estrategias de Ciberseguridad Nacionales, los principales estándares de ciberseguridad y los estándares en métricas e indicadores. En el documento, se analizan las diferentes propuestas para medir la ciber-resiliencia en organizaciones y detectar sus carencias, con el objeto de complementar y completar las mismas.

Ejemplo de Framework de indicadores. Fuente: INTECO
La aproximación realizada desde el CERT de Seguridad e Industria español _operado por INTECO_ al modelo y cuadro de mando de indicadores, va desde la definición de los dominios funcionales y el mapeo contra los controles contemplados en las distintas metodologías de referencia, hasta los indicadores propuestos para medir la ciber-resiliencia. Los cuales están explicados mediante ejemplos, indicando cuestiones como método de cálculo, umbrales, tipo de dato, muestras y reporte.

Esta aproximación a un marco de medición de indicadores, es el punto de partida para enriquecer el Esquema de Seguridad Nacional, en su vertiente de Ciberseguridad. De forma que la aplicación de estándares de manera específica permitan medir la ciber-resiliencia dentro de las organizaciones y completar coordinadamente su establecimiento guiado por las autoridades competentes en la materia. Todo ello con el objetivo de mejorar de la ciber-resiliencia en las organizaciones.

El documento está disponible en el siguiente enlace:

Más información:

Ciber-Resiliencia: Aproximación a un marco de medición


Inteco-CERT

jueves, 24 de abril de 2014

Apple publica actualización de seguridad para OS X Mavericks

Apple ha publicado una actualización para sus sistemas operativos OS X (que afecta a las versiones OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks 10.9.2), que corrige 13 problemas de seguridad. Esta actualización, incluye Safari 7.0.3 que solucionaba otras 27 vulnerabilidades y aportaba mejoras de compatibilidad y estabilidad.

Los problemas corregidos residen en el tratamiento de las cabeceras http set-cookie (CVE-2014-1296) que podría permitir a un atacante obtener el valor de la cookie, ejecución de código arbitrario a través de archivos pdf maliciosos (CVE-2013-5170), denegación de servicio en el tratamiento de datos ASN.1 (CVE-2014-1316), ejecución de código al visualizar archivos jpeg maliciosos (CVE-2014-1319), un problema de validación en el tratamiento de punteros fuera del espacio de usuario (CVE-2014-1318).

Otros problemas podrían permitir a un usuario local leer punteros del kernel y saltar el ASLR del kernel (CVE-2014-1320 y CVE-2014-1322), que la pantalla no se bloquee (CVE-2014-1321), ejecución de código a través de scripts Ruby(CVE-2013-6393 y CVE-2013-4164), capturar datos o cambiar las operaciones realizadas en sesiones protegidas con SSL (CVE-2014-1295) y ejecutar código malicioso fuera de la sandbox (CVE-2014-1314).

La actualización de seguridad 2014-2 Mavericks está disponible desde:

Más información:

Security Update 2014-002

Security Update 2014-002 Mavericks

una-al-dia (01/04/2014) Apple publica actualización para Safari y soluciona 27 vulnerabilidades



Antonio Ropero
Twitter: @aropero


miércoles, 23 de abril de 2014

Proyecto Thoth Píldoras Formativas en Seguridad de la Información

Hoy 23 de abril, Día Internacional del Libro, ha sido el día elegido para presentar el proyecto Thoth, píldoras formativas en seguridad de la información que publicará de manera periódica estos complementos formativos basados en el concepto de píldoras de aprendizaje sobre temas muy específicos, con una duración en torno a los tres minutos. 

Web Thoth, proyecto con el patrocinio de Talentum Startups y bajo la dirección del Dr. Jorge Ramió y del Dr. Alfonso Muñoz

Píldora 1: ¿Seguridad informática o seguridad de la información?

Píldora 2: ¿Qué es la criptografía?



Jorge Ramió

martes, 22 de abril de 2014

Importante actualización para IBM Notes y Domino soluciona más de 80 vulnerabilidades

IBM ha publicado la versión IBM Notes y Domino 9.0.1 Fix Pack 1 que soluciona un total de 88 vulnerabilidades.

Esta actualización incluye las actualizaciones de Oracle Java de octubre de 2013 y enero 2014. La actualización de octubre incluye 51 nuevos parches de seguridad para Java en Notes y Domino, 50 de ellas podrían ser aprovechadas de forma remota sin autenticación. Por otra parte, la actualización de enero contiene la corrección de 36 nuevas vulnerabilidades, 34 de ellas explotables de forma remota sin autenticación.

Es conveniente señalar que mientras esta actualización incluye la actualización de Oracle Java de octubre 2013 y enero 2014, sin embargo Oracle publicó la semana pasada una nueva actualización evidentemente no incluida en esta nueva versión de Notes y Domino.

Por otra parte esta nueva actualización también incluye la corrección de otra vulnerabilidad (con CVE-2014-0892) que podría permitir la ejecución de código en IBM Notes y Domino únicamente en plataformas Linux 32 bits.

IBM Notes y Domino 9.0.1 Fix Pack 1 está disponible para descarga desde:

Estos parches también están planeados para ser incluidos en Notes y Domino 8.5.3 Fix Pack 6 Interim Fix 3.

Más información:

Security Bulletin: IBM Notes & Domino fixes for multiple vulnerabilities (CVE-2014-0892 and Oracle Java Critical Patch Updates for Oct 2013, Jan 2014)

Download Options for Notes & Domino 9.0.1 Fix Packs

una-al-dia (16/04/2014) Oracle corrige 104 vulnerabilidades en su actualización de seguridad de abril


Antonio Ropero
Twitter: @aropero

lunes, 21 de abril de 2014

Apple publica iOS 7.1.1 y soluciona 19 vulnerabilidades

Apple ha liberado la versión iOS 7.1.1 de su sistema operativo para dispositivos móviles. Dicha versión, además de incluir nuevas funcionalidades y mejoras, contiene 19parches a vulnerabilidades, algunas de ellas podrían permitir ejecutar código arbitrario.

Las mejoras incluidas incluyen la implementación de más mejoras en el sistema de reconocimiento de huellas digitales TouchID, la solución de un problema que afectaba a la capacidad de respuesta de los teclados y la corrección de un problema relacionado con el uso de teclados Bluetooth con VoiceOver activado.

Esta nueva versión está disponible para los dispositivos Apple iPhone 4 y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación.

Por otra parte, el primero de los problemas corregidos (CVE-2014-1296) reside en el tratamiento de las cabeceras http set-cookie que podría permitir a un atacante obtener el valor de la cookie. Un segundo problema (CVE-2014-1320) podría permitir a un usuario local leer punteros del kernel, lo que podría permitir saltar el ASLR (Address Space Layout Randomization) del kernel. Un tercer problema (CVE-2014-1295) podría permitir a un atacante capturar datos o cambiar las operaciones realizadas en sesiones protegidas con SSL. Los 16 problemas restantes residen en WebKit y podrían permitir la ejecución de código arbitrario si un usuario visita una página web maliciosa.

La actualización está disponible a través de iTunes o  del propio dispositivo (en Ajustes/General/Actualización de software).

Más información:

APPLE-SA-2014-04-22-2 iOS 7.1.1


Antonio Ropero
Twitter: @aropero

domingo, 20 de abril de 2014

Vulnerabilidad Cross-Site Request Forgery en Bugzilla

Se ha anunciado una vulnerabilidad en Bugzilla (versiones 2.0 a 4.4.2 y 4.5.1 a 4.5.2) que podría permitir a un atacante remoto la realización de ataques cross-site request forgery. También existe otro problema al permitir la inserción de caracteres de control.

Bugzilla es una herramienta de seguimiento de errores de código abierto, basada en web, y muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallos y vulnerabilidades, también permite determinar la prioridad y severidad de los mismos, agregar comentarios y propuestas de solución, designar responsables para cada uno de ellos, enviar mensajes de correo para informar de un error, etc.

El formulario de autenticación no tiene los adecuados controles para la protección Cross-Site Request Forgery (CVE-2014-1517). Este tipo de vulnerabilidad permite a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. De esta forma un atacante podría tener acceso a los reportes del usuario atacado.

Por otra parte Bugzilla permite la inserción de caracteres de control peligrosos, especialmente en comentarios. Si ese texto, que puede parecer seguro, se copia a un terminal (como xterm o gnome-terminal) se puede provocar la ejecución de comandos.

Las correcciones para estos problemas se encuentran incluidas en las versiones 4.0.12, 4.2.8, 4.4.3 y 4.5.3, disponibles desde:

Más información:

4.5.3, 4.4.3, 4.2.8, and 4.0.12 Security Advisory


Antonio Ropero

Twitter: @aropero

sábado, 19 de abril de 2014

Vulnerabilidad en HP Network Node Manager I

Se ha anunciado una vulnerabilidad en HP Network Node Manager i (NNMi) versiones 9.0x, 9.1x y 9.2x (para HP-UX, Linux, Solaris y Windows) que podría permitir a un atacante remoto conseguir acceso a los sistemas afectados o ejecutar código arbitrario. 

HP Openview Network Node Manager (NNM) es la herramienta que dio origen a la familia productos HP Openview. Se trata de un conjunto de herramientas para la administración de redes. Posee funciones de monitorización de dispositivos, recolección, almacenamiento y tratamiento de información SNMP.

La vulnerabilidad, con CVE-2013-6218, tiene un CVSS de 10 lo que indica su gravedad. HP no ha facilitado detalles sobre la causa del problema, aunque ha informado que podría permitir a un atacante remoto acceder a los sistemas así como lograr la ejecución de código arbitrario.

HP ha publicado las actualizaciones necesarias para solucionar esta vulnerabilidad.

Más información:

HPSBMU02996 rev.1 - HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access, Execution of Arbitrary Code


Antonio Ropero

Twitter: @aropero

viernes, 18 de abril de 2014

Actualiza a Windows 8.1 Update o no tendrás actualizaciones de seguridad

Recientemente Microsoft ha publicado una actualización importante para Windows 8.1, conocida como Windows 8.1 Update. En un movimiento que pretende conseguir que el mayor número de usuarios se actualicen a la última versión, ha anunciado que dejará de ofrecer actualizaciones de seguridad para sistemas Windows 8.1 que no tengan esta actualización.

Microsoft está dispuesta a que todos los usuarios tengan siempre las últimas versiones de sus sistemas operativos, aunque tiene problemas para conseguirlo, incluso cuando las actualizaciones son gratuitas. Aun en la actualidad hay más sistemas con Windows 8 instalado que con Windows 8.1.

Las actualizaciones Windows 8.1 Update y Windows RT 8.1 Update están disponibles de forma gratuita en Windows Update para los usuarios de Windows 8.1 o Windows RT 8.1. Pero según ha informado Microsoft esta actualización se convierte en una nueva línea base de servicio y soporte. Esto significa que los usuarios que instalen las actualizaciones de forma manual, tendrán 30 días para instalar Windows 8.1 Update. Tras ese periodo de 30 días, y comenzando el martes 13 de mayo (martes de actualizaciones), los dispositivos Windows 8.1 (sin Update) no recibirán actualizaciones de seguridad.

Más información:

Windows 8.1 Update y Windows RT 8.1 Update están disponibles de forma gratuita en Windows Update.

Information Regarding the Latest Update for Windows 8.1


Antonio Ropero
Twitter: @aropero

jueves, 17 de abril de 2014

Ejecución de código en Adobe Reader para Android

Siguen los problemas para Adobe. En esta ocasión es Adobe Reader Mobile el producto afectado. La aplicación de Adobe para lectura de documentos pdf en dispositivos Android también se ve afectada por una grave vulnerabilidad.

Reader 11.2 para Android. Fuente: Securify
Adobe ha publicado el boletín APSB14-12 que corrige una vulnerabilidad (con CVE-2014-0514) en Adobe Reader Mobile (versiones 11.1.3 y anteriores) para sistemas Android que permitiría la ejecución de código remoto debido a un fallo en la implementación de las APIs JavaScript. Según Google Play la aplicación está instalada en más de 100 millones de dispositivos.

En concreto el problema reside en que Adobe Reader para Android expone múltiples interfaces Javascript inseguras. Las siguientes clases exponen una o más interfaces Javascript: ARJavaScript, ARCloudPrintActivity y ARCreatePDFWebView. Esto podría permitir que al abrir un pdf malicioso un atacante remoto podrá lograr la ejecución de código Java arbitrario. El fallo fue reportado por la firma Securify de los Países Bajos, que ofrece mayor información del problema y hasta una prueba de concepto.

Adobe ha publicado la versión 11.2 de Adobe Reader Mobile disponible en Google Play, o desde este enlace.

Más información:

Security update available for Adobe Reader Mobile

Adobe Reader for Android exposes insecure Javascript interfaces



Antonio Ropero
Twitter: @aropero

miércoles, 16 de abril de 2014

Oracle corrige 104 vulnerabilidades en su actualización de seguridad de abril

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica suboletín de seguridad de abril. Contiene parches para 104 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris o MySQL. 

Los fallos se dan en varios componentes de los productos:
  • Oracle Database 11g Release 1, versión 11.1.0.7
  • Oracle Database 11g Release 2, versiones 11.2.0.3 y 11.2.0.4
  • Oracle Database 12c Release 1, versión 12.1.0.1
  • Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.7 y 11.1.1.8
  • Oracle Fusion Middleware 12c Release 1, versiones 12.1.1.0 y 12.1.2.0
  • Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.8
  • Oracle Access Manager, versiones 10.1.4.3, 11.1.1.3.0, 11.1.1.5.0, 11.1.1.7.0, * 11.1.2.0.0, 11.1.2.1.0 y 11.1.2.2.0
  • Oracle Containers for J2EE, versión 10.1.3.5
  • Oracle Data Integrator, versión 11.1.1.3.0
  • Oracle Endeca Server, versión 2.2.2
  • Oracle Event Processing, versión 11.1.1.7.0
  • Oracle Identity Analytics, versión 11.1.1.5, Sun Role Manager, versión 5.0
  • Oracle OpenSSO, versión 8.0 Update 2 Patch 5
  • Oracle OpenSSO Policy Agent, versión 3.0-03
  • Oracle WebCenter Portal, versiones 11.1.1.7 y 11.1.1.8
  • Oracle WebLogic Server, versiones 10.0.2.0, 10.3.6.0, 12.1.1.0 y 12.1.2.0
  • Oracle Hyperion Common Admin, versiones 11.1.2.2 y 11.1.2.3
  • Oracle E-Business Suite Release 11i y 12i
  • Oracle Agile PLM Framework, versiones 9.3.1.1 y 9.3.3.0
  • Oracle Agile Product Lifecycle Management for Process, versiones 6.0.0.7 y 6.1.1.3
  • Oracle Transportation Management, versiones 6.3 y 6.3.4
  • Oracle PeopleSoft Enterprise CS Campus Self Service, versión 9.0
  • Oracle PeopleSoft Enterprise HRMS Talent Acquisition Manager, versiones 8.52 y 8.53
  • Oracle PeopleSoft Enterprise PT Tools, versiones 8.52 y 8.53
  • Oracle Siebel UI Framework, versiones 8.1.1 y 8.2.2
  • Oracle iLearning, versiones 6.0 y 6.1
  • Oracle JavaFX, versión 2.2.51
  • Oracle Java SE, versiones 5.0u61, 6u71, 7u51 y 8
  • Oracle Java SE Embedded, versión 7u51
  • Oracle JRockit, versiones R27.8.1 y R28.3.1
  • Oracle Solaris, versiones 9, 10 y 11.1
  • Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0 y 5.1
  • Oracle VM VirtualBox, versiones anteriores a 3.2.22, 4.0.24, 4.1.32, 4.2.24 y 4.3.10
  • Oracle MySQL Server, versiones 5.5 y 5.6

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Dos nuevas vulnerabilidades corregidas en Oracle Database Server, que afectan al componente Core RDBMS.
       
  • Otras 20 vulnerabilidades afectan a Oracle Fusion Middleware. 13 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Access Manager, Oracle Containers for J2EE, Oracle Data Integrator, Oracle Endeca Server, Oracle Event Processing, Oracle Identity Analytics, Oracle OpenSSO, Oracle WebCenter Portal y Oracle WebLogic Server.
        
  • Tres actualizaciones afectan a Oracle Hyperion, dos de ellas podrían ser explotadas por un atacante remoto sin autenticar. El todos los casos el componente afectado es Hyperion Common Admin.
        
  • Dentro de Oracle Applications, 10 parches son para Oracle Supply Chain Products Suite, ocho para productos Oracle PeopleSoft, uno para Oracle Siebel CRM y uno para iLearning.
        
  • En lo referente a Oracle Java SE se incluyen 37 nuevos parches de seguridad. 35 de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar.
        
  • 14 nuevas vulnerabilidades afectan a MySQL Server, dos de ellas explotables de forma remota sin autenticación. Los componentes
         
  • Esta actualización también incluye tres parches que afectan a Solaris en sus versiones 9, 10 y 11.1 aunque ninguno de ellos es explotable remotamente sin autenticación (uno de ellos solo afecta a las plataformas SPARC64-X).

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - April 2014

Más información:

Oracle Critical Patch Update Advisory - April 2014



Antonio Ropero
Twitter: @aropero

martes, 15 de abril de 2014

Investigadores consiguen saltar el escáner de huellas digitales del Samsung Galaxy S5

Al igual que el iPhone 5s, el nuevo Samsung Galaxy S5 tiene un lector de huellas digitales que permite al usuario utilizar su huella digital como credencial en operaciones como el bloqueo del terminal o realizar compras a través de diferentes aplicaciones. Y al igual que con el iPhone 5s, pocos días después de su comercialización, ya se ha descubierto una forma de saltar esta protección del nuevo modelo de Samsung.

Investigadores de la empresa alemana SRLabs han utilizado un método muy similar al ya empleado anteriormente con el iPhone 5s. Mediante un molde en silicona de la huella autorizada han conseguido burlar la autenticación a través de este sistema biométrico. Además no solo han conseguido acceder al terminar mediante la huella falsificada, sino que mediante el mismo sistema han conseguido utilizar la aplicación de PayPal del dispositivo y autorizar transferencias sin necesidad de contraseña.

Han publicado un vídeo en el que muestran como han realizado todo el proceso.

Tal y como SRLabs destaca, el fallo no tiene porque residir necesariamente en el propio escáner sino que puede tratarse de la forma en que éste se ha implementado. Un factor importante es que el Samsung Galaxy S5 permite ilimitados intentos de autenticación, lo que permite probar una huella falsa tantas veces como haga falta para desbloquear el dispositivo.

Más información:

una-al-dia (22/09/2013) El grupo Chaos Computer Club consigue saltar el sistema TouchID del iPhone 5s


Antonio Ropero
Twitter: @aropero

lunes, 14 de abril de 2014

Vulnerabilidad en Android facilita la realización de ataques de phishing

Investigadores de FireEye han descubierto una nueva vulnerabilidad en Android que podría permitir a una aplicación maliciosa con permisos normales modificar los iconos de la pantalla principal de Android y modificarlos para que apunten a sitios web de phishing o a la propia aplicación maliciosa sin notificarlo al usuario. Google ha reconocido el problema y ha liberado un parche a sus socios OEM, aunque posiblemente tarde en llegar a los usuarios.

Android Open Source Project (AOSP) clasifica los permisos en Android en varios niveles: "normal", "dangerous", "system", "signature" y " development". Los permisos normales se conceden automáticamente en la instalación, sin pedir aprobación explícita del usuario (aunque el usuario siempre puede revisar los permisos antes de instalar).

En la última versión de Android 4.4.2 si una aplicación solicita tanto permisos peligrosos como permisos normales, el sistema solo muestra los permisos peligrosos. Si una aplicación solo solicita permisos normales, Android no los muestra al usuario. Sin embargo, FireEye ha descubierto que determinados permisos de la categoría "normal" pueden tener impactos peligrosos en la seguridad. Mediante el uso de estos permisos una aplicación maliciosa puede modificar los icosos de la página principal de forma que lanzen aplicaciones o sitios web de phishing.

La aplicación maliciosa abusa del conjunto de permisos:
"com.android.launcher.permission.READ_SETTINGS" y "com.android.launcher.permission.WRITE_SETTINGS".
Estos dos permisos permiten a una aplicación consultar, insertar, eliminar o modificar todos los ajustes de la configuración del "Launcher" (lanzador), incluyendo la modificación e inserción de iconos. Estos dos permisos están etiquetados como "normal" desde la primera versión de Android.

Como prueba de concepto desarrollaron una aplicación que hacía uso de estos dos permisos para modificar iconos legítimos de algunas aplicaciones sensibles para redirigirlas a otros sitios web. Con lo que confirmaron el problema en un Nexus 7 con Android 4.4.2. Google Play no evitó que la aplicación fuera publicada y no se mostró ningún aviso al usuario al descargarla e instalarla. Tras las pruebas, eliminaron tanto las webs empleadas como la aplicación de Google Play. Por lo que nadie ha podido verse afectado.

FireEye también confirma que la vulnerabilidad no está limitada a dispositivos Android que ejecuten AOSP. También se ven afectados otros dispositivos con Launchers no-AOSP incluyendo Nexus 7 con CyanogenMod 4.4.2, Samsung Galaxy S4 con Android 4.3 y HTC One con Android 4.4.2.

Google ha reconocido la vulnerabilidad y ha distribuido un parche a sus sociosOEM. Sin embargo, tal y como ya avisan en FireEye muchos fabricantes que hacen uso de Android son lentos a la hora de adaptar las actualizaciones de seguridad. Al igual que FireEye, nos unimos a la petición de que estos fabricantes solucionen las vulnerabilidades de forma más eficiente para proteger a los usuarios.

Más información:

Occupy Your Icons Silently on Android

App Manifest/<permission>


Antonio Ropero
Twitter: @aropero

domingo, 13 de abril de 2014

Divulgación de contraseñas en IBM SPSS Analytic Server

Se ha confirmado una vulnerabilidad en IBM SPSS Analytic Server que podría permitir a usuarios autenticados obtener todas las contraseñas. 

IBM SPSS Analytic Server es un paquete que pertenece a la familia SPSS, un programa estadístico informático muy usado en las ciencias sociales y las empresas de investigación de mercado.

El problema, con CVE-2014-0920, reside en que IBM SPSS Analytic Server escribe las contraseñas en texto plano en archivos de "log", de tal forma que cualquier usuario autenticado puede obtener dichas contraseñas.  

IBM ha publicado actualizaciones para corregir este problema, IBM SPSS Analytic Server 1.0.0.0 Interim Fix 002 y 1.0.1.0 Interim Fix 004, disponibles desde

Más información:

Security Bulletin: Password displayed in plaintext in logs (CVE-2014-0920)

IBM SPSS Analytic Server 1.0.0.0 Interim Fix 002 and 1.0.1.0 Interim Fix 004


Antonio Ropero
Twitter: @aropero

sábado, 12 de abril de 2014

Actualización de seguridad para Wordpress

Se ha publicado la versión 3.8.2 de Wordpress que soluciona dos vulnerabilidades e incluye tres implementaciones de seguridad.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Vulnerabilidades: 
  • CVE-2014-0166: fallo que podría permitir a un atacante falsificar la cookie de autenticación.
  • CVE-2014-0165: elevación de privilegios al permitir a un usuario con el rol de Colaborador publicar entradas de forma indebida.
Implementaciones: 
  • Se incluye más información en los pingbacks para poder identificar peticiones maliciosas.
  • Se soluciona una inyección SQL de bajo impacto.
  • Se implementan filtros en la librería Plupload para prevenir cross-domain scripting.

Se consideran vulnerables las versiones anteriores a la 3.8.2 por lo que se recomienda su actualización.

Más información:

WordPress 3.8.2 Security Release



Fernando Castillo

viernes, 11 de abril de 2014

Google anuncia nueva versión de Chrome y corrige 31 vulnerabilidades

Google está imparable con Chrome, su ritmo de actualizaciones es realmente notable. Acaba de anunciar la nueva versión de su navegador Chrome 34. Se publica la versión 34.0.1847.116 para las plataformas Windows Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 31 nuevas vulnerabilidades.

Según el aviso de Google se ha incluido soporte para imágenes responsivas adaptables (que cambian para adaptarse al tamaño de la pantalla), versión sin prefijo de Web Audio, importar usuarios supervisados en nuevos sistemas, nuevas aplicaciones y extensiones API, un modo con diferente aspecto adaptado a la interfaz Metro de Windows 8 y numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 31 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. De igual forma Google retiene información si algún problema depende de una librería de terceros que aun no ha sido parcheada. En esta ocasión, aunque se han solucionado 31 vulnerabilidades, se facilita información de 12 de ellas.

Las vulnerabilidades descritas están relacionadas con el uso de UXSS en V8, accesos OOB en V8, desbordamiento de entero en compositor, una corrupción de memoria en V8, confusión de URLs con caracteres RTL, lectura de datos OOB y salto cross-origin local. Así como diversas vulnerabilidades por uso después de liberar en web workers, en DOM, en el renderizado, en la lectura y en formularios.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas; y la corrección de múltiples vulnerabilidades en V8.

Con esta versión también se incluye la actualización de Flash Player a la versión 13.0.0.182.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update




Antonio Ropero
Twitter: @aropero