viernes, 31 de julio de 2015

Denegación de servicio en BIND 9

ISC ha liberado una nueva versión del servidor DNS BIND. Esta versión corrige un error en todas las versiones de BIND 9, que podría causar una denegación de servicio a través de consultas especialmente manipuladas.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

El problema, con CVE-2015-5477, reside en el tratamiento incorrecto de consultas TKEY, que podría permitir a un atacante provocar condiciones de denegación de servicio que provocará el cierre del servicio named con un fallo "REQUIRE.

Se ven afectadas todas las versiones de BIND 9 desde BIND 9.1.0 (incluido) hasta BIND 9.9.7-P1 y BIND 9.10.2-P2.
Se recomienda actualizar a la versión más reciente en
BIND 9.9.7-P2 y BIND 9.10.2-P3

Cabe señalar que esta es la segunda actualización de BIND en lo que llevamos de mes. A primeros de mes ISC ya había publicado otra actualización para otra vulnerabilidad de denegación de servicio.

Más información:

CVE-2015-5477: An error in handling TKEY queries can cause named to exit with a REQUIRE assertion failure

una-al-dia (11/07/2015) Denegación de servicio en BIND 9



Antonio Ropero

Twitter: @aropero

jueves, 30 de julio de 2015

Android, no se vayan todavía que aun hay más

No son buenas fechas para Android, hace unos días nos desayunábamos con la noticia del "Apocalipsis" Androide por la vulnerabilidad StageFright que podía provocar el compromiso del dispositivo solo con recibir un vídeo malicioso. Ahora nos encontramos con una nueva vulnerabilidad en el tratamiento de vídeo MKV que podría inutilizar el dispositivo.
El problema, descubierto porinvestigadores de Trend Micro, podría dejar el dispositivo (móvil o tableta) aparentemente muerto: en silencio, sin posibilidad de realizar llamadas y sin respuesta de la pantalla. La vulnerabilidad afecta a sistemas con Android 4.3 (Jelly Bean) hasta la versión más actual, Android 5.1.1 (Lollipop).

Según el equipo de investigadores la vulnerabilidad fue reportada a finales de mayo, pero a esta fecha el equipo Android Engineering Team no ha publicado ninguna actualización en el código del Android Open Source Project (AOSP).

La vulnerabilidad reside en un desbordamiento de entero en el servicio Mediaserver, empleado por Android para indexar los archivos multimedia del dispositivo. Este servicio no puede tratar adecuadamente vídeos maliciosos en formato Matroska (generalmente con extensión MKV). Cuando el proceso abre un archivo MKV específicamente manipulado, el servicio se detendrá y con él, todo el sistema operativo.

Vídeo en que se muestran los efectos de la vulnerabilidad.

La vulnerabilidad puede explotarse de dos formas, bien a través de una aplicación maliciosa instalada en el dispositivo o de un sitio web específicamente creado. En ambos casos, tanto la aplicación, como el sitio web, tratarán de reproducir el vídeo malicioso provocando la caída del sistema.

Será necesario apagar el móvil y volverlo a encender para recuperar la funcionalidad, pero el problema puede ser mucho más grave si la aplicación con el archivo MKV incrustado se registra para iniciarse en cada inicio del dispositivo. Lo que llevará al bloqueo del sistema cada vez que se encienda el móvil.  Día de la marmota versión Android.
 
En ese caso será necesario iniciar el dispositivo en "modo seguro" y desinstalar la aplicación maliciosa (probablemente la última o una de las últimas instaladas).

El inicio en modo seguro dependerá del dispositivo:
Iniciar en modo seguro en Nexus, Sony, LG, HTC…
Mantener pulsado el botón de apagado hasta que aparezca la ventana con el menú de apagar, en ese menú mantener pulsado el botón de apagar hasta que muestre una nueva ventana. Aceptar que el teléfono se reinicie en modo seguro.
Iniciar modo seguro en Samsung y algunos LG y HTC…
Apagar completamente el dispositivo y arrancarlo de nuevo. Cuando aparezca la pantalla del fabricante mantener pulsado el botón de bajar volumen hasta que termine de arrancar.
En cualquier caso aparecerá "Modo seguro" en la esquina inferior izquierda de la pantalla.

Más información:

Trend Micro Discovers Vulnerability That Renders Android Devices Silent
http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-vulnerability-that-renders-android-devices-silent/

una-al-dia (28/07/2015) Drake y el codiciado tesoro del androide




Antonio Ropero

Twitter: @aropero

miércoles, 29 de julio de 2015

Apple iTunes y App Store, las facturas no son buenas

Cuando vemos una factura echamos a temblar, algo parecido le ha pasado a Apple. En este caso la factura no solo representaba un peligro para el bolsillo. Una vulnerabilidad en el sistema de facturación de iTunes y App Store podía permitir el secuestro de sesión, ataques de phishing persistente, redirección a fuentes externas y la manipulación persistente de módulos de servicio afectados o conectados.

El problema fue descubierto por el investigador de seguridad Benjamin Kunz Mejri de Vulnerability Lab que lo comunicó de forma responsable a Apple, que ya lo ha solucionado. De tal forma que el investigador a publicado los detalles y la prueba de concepto, incluyendo un vídeo en el que muestra el problema.

El problema reside en una vulnerabilidad de validación de entradas en las aplicaciones web oficiales de los servicios online de la App Store como de iTunes Store de Apple. La vulnerabilidad podría permitir a atacantes remotos inyectar su propio código script malicioso en la aplicación.

Apple iTunes y App Store toman el nombre del dispositivo del usuario que realiza la compra. Pero un atacante remoto puede manipular el valor del nombre mediante un cambio con código script. Después el atacante podrá comprar cualquier artículo de la App Store o de iTunes.

Durante este procedimiento el servicio toma el valor del dispositivo y lo codifica con condiciones incorrectas. En el contexto de la cuenta del vendedor se ejecuta el código script inyectado implementado erróneamente en la factura. De esta forma se obtiene la ejecución de código script en la factura de Apple.

Los atacantes remotos pueden manipular el bug mediante la interacción a través de contextos persistentes manipulados a otras cuentas de usuario de Apple Store. La factura se presenta a ambas partes (comprador y vendedor) lo que representa un riesgo significativo para los compradores, vendedores o para los desarrolladores o administradores de Apple.

No se ha confirmado exactamente cuando Apple corrigió el problema, pero considerando que la actualización más reciente de iTunes fue el pasado 30 de junio, podemos pensar que fue en ese momento cuando se solucionó.

Más información:

Apple iTunes & AppStore - Persistent Invoice Vulnerability



Antonio Ropero
Twitter: @aropero

martes, 28 de julio de 2015

Drake y el codiciado tesoro del androide

Hoy traemos a la palestra una de esas noticias que asustan. Si pudiéramos apostarnos en la puerta de una redacción de noticias y echar un vistazo adentro veríamos a gente correr por los pasillos, timbres de teléfono sonando al unísono en una desesperante orquestación y el ruido furioso de una tormenta de teclas de plástico que estarán siendo golpeadas impunemente al son de unos tambores inexistentes. Casi podemos oler la mancha de café derramada sobre el borrador de un artículo sacrificado, en el que se describe con inusitado detalle, la cría y doma del escarabajo sumerio en tiempos de Uruk. Benditos los tiempos de Uruk murmura su autor mientras escribe en una nueva página en blanco: "Millones de teléfonos Android cuentan con desesperación los días antes de que llegue su Apocalipsis".

Dejemos al pobre redactor y sus escarabajos para ver de cerca que es lo que está pasando en Android y qué tienen que temer sus poseedores.

Joshua J. Drake (@jduck) no necesita presentación. Es uno de los habituales. Investigador reputado, speaker y ctflaguero reincidente en conferencias de seguridad de prestigio. Drake se volcó hace ya tiempo en el mundillo Android, se subió al barco de la empresa Zimperium, especializada en seguridad para dispositivos móviles, y continuó allí su trabajo de investigación en este campo. A quienes seguían su trayectoria no les extraña que sea el descubridor de un fallo de categoría "agárrate que nos la vamos a pegar bien fuerte".
 
El fallo se apoda Stagefright (podría traducirse como miedo escénico) y sí, si te asolaba la duda puedes descansar tranquilo: tiene un icono personalizado, aunque por razones obvias, no tiene una web asociada. El nombre no está escogido al azar. En realidad la librería vulnerable se llama así. Echemos un vistazo al esquema del mismo proyecto Android para ver donde se ubica: 
fuente: http://source.android.com/devices/media.html

Observamos que existe un componente nativo, escrito en C++, que es piedra angular del sistema de reproducción multimedia de Android. Estos componentes nativos tienen una razón de ser muy importante en el sistema. Android, en la capa de aplicación (API) presenta una implementación propia en el conocido lenguaje Java. Para ciertas tareas donde el consumo de memoria y los ciclos de CPU cotizan al alza el rendimiento de Java es prohibitivo. Para ello se emplean lenguajes que dominen el secreto y antiguo arte de los punteros y el manejo de memoria manual. Al final de la lista, siempre, o casi siempre, nos quedan dos candidatos: C o C++.

Hay tres cosas realmente complicadas para un ser humano con adiestramiento informático: Resolver P vs NP, justificar la barra de Ask en el instalador de Java y la gestión manual y segura de la memoria. Sobre éste último mito se han escrito canciones y contado miles de historias desde el albor de los tiempos de Epoch.

Drake atravesó las capas de Java y exploró las farragosas tierras de las librerías nativas encontrando al final un gran tesoro; del que solo nos falta ver el mapa.

Cuando Android recibe un archivo o flujo de datos con formato multimedia tiene que invocar la funcionalidad de procesamiento desde esta librería nativa 'libstagefright'. A partir de esa llamada la responsabilidad del proceso cae sobre un componente nativo, con todo su poder, con todos sus defectos.

¿Qué ocurre si la función encargada de reservar memoria de un búfer permite que cierto parámetro sea manipulado externamente? Desbordamiento de búfer. ¿Qué ocurriría si para calcular el final de un array me sobra un entero? Off-by-one. ¿Qué pasará sin esa variable es iniciada mediante una operación entre un entero con signo y un entero sin él? Comportamiento indefinido, consecuencias dependientes de la implementación.

Siete CVE se han apuntado a raíz de buscarle estos defectos a esta librería, queden aquí registrados:

CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3827
CVE-2015-3828
CVE-2015-3829

Hay un detalle, el más impactante mediáticamente, en el que se puede ver como no es necesaria la intervención del usuario para que el terminal caiga en desgracia. Y sí, esto es tal como se ve. Cuando se recibe un mensaje multimedia (MMS) el sistema realiza una previsualización del archivo. Todo el mecanismo que se acciona para reproducir un simple vídeo, de forma similar se desencadena para crear esa previsualización. Es decir, la librería nativa en ambos casos ha de abrir el archivo o flujo, interpretar su cabecera, reservar memoria, acceder a los datos, descomprimirlos e interpretarlos para formar una imagen o una secuencia de estas (conocido también como, sorpresa, vídeo).


Debido a que las previsualizaciones se efectúan por obra y gracia del sistema, el veneno ya está en la sangre; antes de que puedas terminar la frase "me ca…" tu terminal se podría convertir en un estupendo ladrillo de diseño futurista o portador de lo que nuestros analistas de malware denominan cariñosamente: "un regalito".

Son vulnerables las versiones de Android desde la 2.2 hasta la 5.1.1. Drake presentará los resultados de la investigación en la conferencia Black Hat USA del próximo 5 de agosto, así como en la DefCon 23 del 7 agosto. Hay un pequeño detalle. Al apuntar ellos mismos la librería donde están los fallos estamos seguros de que miles de IDAs están ahora mismo barriendo los bytes de este componente de arriba abajo en busca de los fallos antes de que las brechas se cierren; un filón.

El descubrimiento ha sido en modo responsable. Drake y compañía han coordinado esfuerzos para que el equipo de Google corrija los fallos y estos estén a disposición de los fabricantes. Algunos de ellos, una minoría, han propagado ya las actualizaciones pertinentes para sellar las grietas. Otros, como es de conocido sufrimiento, tardarán un poco más y otros no llegarán nunca.

¿Nunca? Efectivamente. ¿Os acordáis de esos sistemas Android que ya no verán actualizados sus vulnerables componentes WebView?

Más información:

Experts Found a Unicorn in the Heart of Android



David García

Twitter: @dgn1729

lunes, 27 de julio de 2015

Vulnerabilidades en Honeywell Tuxedo Touch

Maxim Rupp ha reportado múltiples vulnerabilidades en todas las versiones de Honeywell Tuxedo Touch. Estos errores permitirían a un atacante remoto eludir restricciones de seguridad y realizar ataques de cross-site request forgery (CSRF).
  
Tuxedo Touch de Honeywell es un controlador que integra la automatización de la vivienda y la empresa. Ofrece la capacidad de utilizar control de voz, permitiendo una serie de tareas, como por ejemplo el ajuste de los termostatos, controlar las luces, cerrar las puertas y mucho más. Los usuarios pueden ver cámaras, controlar el sistema de seguridad, la iluminación, las cerraduras y los termostatos, y recibir alertas por video y correo electrónico activadas por eventos de forma remota.

Los errores se detallan a continuación: 
  • CVE-2015-2847: En el que debido a un error de autenticación en la interfaz web (usa JavaScript), un atacante remoto podría eludir restricciones de seguridad a través de la interceptación y anulación de peticiones de tipo 'USERACCT'.
        
  • CVE-2015-2848: Como hemos comentado varias veces, Cross-site Request Forgery (CSRF) es una técnica que permite realizar peticiones HTTP a usuarios no autorizados a través del aprovechamiento de algún error en la validación de estas peticiones, o incluso la falta de dicha validación. En este caso un atacante remoto podría realizar determinadas acciones con los mismos permisos que el usuario que ha sido víctima del ataque, incluso con la posibilidad de obtener acceso a comandos de dispositivos controlados por Tuxedo Touch Controller. 

Todas las versiones anteriores a 5.2.19.0 se encuentran afectadas.
El fabricante ha publicado una nueva versión de firmware que soluciona estas vulnerabilidades.

Más información:

Tuxedo Touch

Vulnerability Note VU#857948
Honeywell Tuxedo Touch Controller contains multiple vulnerabilities

una-al-dia (21/10/2013) No te dejes engañar por las vulnerabilidades leves (y II)


Juan Sánchez

domingo, 26 de julio de 2015

Estudio de HP revela que todos los smartwatches son vulnerables

HP ha publicado un estudio sobre la seguridad en los smartwatches o relojes inteligentes según la cual todos los dispositivos analizados se ven afectados por algún problema de seguridad.

Fuente: HP. Internet of Things Security Study: Smartwatches
HP ha dado a conocer los resultados de una evaluación que confirma que los smartwatches con funcionalidades de red y comunicaciones representan una nueva puerta de ataques. El estudio realizado por HP Fortify encontró que el cien por cien de los relojes evaluados contienen importantes vulnerabilidades, incluyendo autenticación insuficiente, falta de cifrado y problemas de privacidad.

HP ha realizado su estudio sobre 10 relojes inteligentes y sus aplicaciones móviles para iOS y Android, si bien en ningún momento del estudio se mencionan los relojes analizados, un dato que sin duda daría más valor al informe. Se puede pensar que para el estudio al menos se han incluido los relojes más populares, pero dada la diversidad de smartwatches existentes en el mercado, versiones, etc. sería importante conocer los relojes y los problemas que afectan a cada uno. HP considera que la similitud en los resultados de los 10 smartwatches analizados constituye un buen indicador del estado actual en materia de seguridad de los relojes inteligentes.

Lo que sí se especifica claramente es que para las pruebas se ha empleado el "OWASP Internet of Things Top 10" y las vulnerabilidades especificadas asociadas para cada categoría.

Los problemas más sencillos y comunes descritos en el informe incluyen: 
  • Insuficiente autorización o autenticación de usuario. Todos los relojes fueron emparejados con una interfaz móvil que carecía de autenticación de dos factores y la capacidad de bloquear las cuentas después de varios intentos fallidos de contraseña. Tres de cada diez, el 30 por ciento, eran vulnerables a la obtención de la cuenta. Esto es, un atacante podría obtener acceso al dispositivo y los datos a través de una combinación de políticas débiles de contraseñas, falta de bloqueo de cuentas y enumeración de usuario.
         
  • Carencia de comunicaciones cifradas. El cifrado de las comunicaciones se considera crítico dado que se está transmitiendo información personal. Todos los relojes evaluados implementaban comunicaciones cifradas mediante SSL/TLS, sin embargo cuatro de ellos eran vulnerables a un ataque POODLE.
          
  • Interfaces inseguras: tres de los smartwaches evaluados (30%) utilizaban interfaces web basados en la nube, que además se veían expuestos a problemas de enumeración de cuentas. El mismo porcentaje en lo que se refería a las aplicaciones móviles.
         
  • Firmware/software inseguro. Un 70% de los relojes inteligentes probados presentaban problemas en la protección de las actualizaciones del firmware, incluyendo transmisión de actualizaciones de firmware y archivos de actualización sin cifrar. Sin embargo, para evitar la instalación de firmware malicioso muchas actualizaciones estaban firmadas.
         
  • Problemas de privacidad. Todos smartwatches recogen algún tipo de información personal, como nombre, dirección, fecha de nacimiento, peso, sexo, frecuencia cardíaca y otros datos sobre la salud del usuario. Dada la posibilidad de enumeración de cuentas y la utilización de contraseñas débiles en algunos productos, la exposición de esta información personal es un motivo de preocupación.
      
Más información:

HP Study Reveals Smartwatches Vulnerable to Attack

Internet of Things Security Study: Smartwatches

OWASP Internet of Things Top 10

una-al-dia (15/10/2014) SSL tocado y hundido



Antonio Ropero

sábado, 25 de julio de 2015

Actualización de seguridad para Wordpress

Se ha publicado la versión 4.2.3 de WordPress que soluciona dos vulnerabilidades, una de las cuales podría permitir a determinados usuarios comprometer el sitio web.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

El primero de los problemas, con CVE-2015-5622, se refiere a una vulnerabilidad de cross-site scripting que podría permitir a usuarios con permisos de "Contributor" o "Author" comprometer el sitio. También se ha solucionado otro problema, con CVE-2015-5622, que podría pemitir a usuarios con permisos de "Subscriber" crear un borrados a través de "Quick Draft".

Igualmente WordPress 4.2.3 contiene la corrección de otros 20 bugs desde la versión 4.2.

Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.2.3 disponible desde:
O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.2.3.

Más información:

WordPress 4.2.3 Security and Maintenance Release



Antonio Ropero

Twitter: @aropero

viernes, 24 de julio de 2015

ZDI informa de vulnerabilidades en Internet Explorer existentes desde hace 6 meses

Zero Day Initiative (ZDI) ha publicado cuatro avisos por otras tantas vulnerabilidades que podría permitir a atacantes remotos ejecutar código arbitrario en Internet Explorer.

Según los avisos de ZDI se requiere la interacción del usuario para explotar las vulnerabilidades de tal forma que el usuario debe visitar una página maliciosa o abrir un archivo específicamente manipulado.

En la actualidad no existe parche para estos problemas. ZDI divulga la información sobre ellos de acuerdo a su política de divulgación de vulnerabilidades, que actualmente marca un límite de 120 días sin publicarse una actualización tras la comunicación responsable a la compañía. Uno de los problemas (ZDI-15-359) fue reportado durante el pasado Mobile Pw2Own, en noviembre del 2014.

Este primer problema, afecta tanto a internet Explorer en versiones de escritorio y de Windows Phone, se refiere a la forma en que el navegador procesa matrices que representan las celdas de tablas HTML. Manipulando los elementos de un documento un atacante puede forzar a un Internet Explorer a utilizar la memoria más allá del final de una matriz de celdas HTML. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código bajo el contexto del proceso actual.

Otros problemas fueron reportados en enero de este año, se refieren al uso de punteros después de su liberación en el tratamiento de objetos CAttrArray, CCurrentStyle y CTreePos. Un atacante podría aprovechar estas vulnerabilidades para ejecutar código en el contexto del proceso actual.

La recomendación pasa por el uso de cuentas de usuario, zonas de seguridad, Preguntar antes de ejecutar Active Scripting o desactivar Active Scripting y la instalación de EMET 5.2 (Enhanced Mitigation Experience Toolkit). Esta herramienta combate las técnicas de evasión de DEP y ASLR y otros métodos de "exploiting" conocidos. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad.

Más información:

una-al-dia (14/11/2014) El Mobile Pwn2Own 2014 revela vulnerabilidades en iPhone 5S, Galaxy S5, LG Nexus 5, Amazon Fire Phone y Windows Phone

(0Day) (Mobile Pwn2Own) Microsoft Internet Explorer CTableLayout::AddRow Out-Of-Bounds Memory Access Vulnerability

(0Day) Microsoft Internet Explorer CAttrArray Use-After-Free Remote Code Execution Vulnerability

(0Day) Microsoft Internet Explorer CCurrentStyle Use-After-Free Remote Code Execution Vulnerability

(0Day) Microsoft Internet Explorer CTreePos Use-After-Free Remote Code Execution Vulnerability


Antonio Ropero

Twitter: @aropero

jueves, 23 de julio de 2015

Vulnerabilidades en diversos productos Cisco

Cisco ha publicado tres avisos de seguridad para informar sobre vulnerabilidades de denegación de servicio remota en dispositivos con Cisco IOS y Cisco IOS XE, de cambio de contraseña sin autorización en Cisco Unified MeetingPlace y en el control de acceso en Application Policy Infrastructure Controllers y siwtches Cisco Nexus serie 9000.

El primero de los problemas, con CVE-2015-0681, reside en un tratamiento inadecuado de la memoria al manejar peticiones TFTP, lo que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio en dispositivos Cisco IOS y Cisco IOS XE. Son vulnerables los dispositivos Cisco IOS y Cisco IOS XE con el servidor TFTP activo.

Un segundo aviso de seguridad se refiere a una vulnerabilidad (con CVE-2015-4235) en el administrador de configuraciones cluster de los Cisco Application Policy Infrastructure Controller (APIC) y de los switches Cisco Nexus Serie 9000 ACI Mode, que podría permitir a un atacante remoto sin autenticar acceder como usuario roor.

Esta vulnerabilidad afecta a sistemas Application Policy Infrastructure Controllers (APIC) con versiones de software anteriores a 1.1(1j), 1.0(3o) y 1.0(4o) y a switches Cisco Nexus Serie 9000 ACI Mode con versiones de software anteriores a 11.1(1j) y 11.0(4o).

Por último, con CVE-2015-4262, una vulnerabilidad en la funcionalidad de cambio de contraseña en la aplicación de conferencia web de Cisco Unified MeetingPlace podría permitir a un atacante remoto sin autenticar cambiar la contraseña de cualquier otro usuario.

Este problema reside en que no se requiere a los usuarios introducir la contraseña anterior durante el procedimiento de cambio de contraseña y a que no se valida el ID de sesión en la petición http. Afecta a todas las versiones de Cisco Unified MeetingPlace Web Conferencing anteriores a 8.6.

Cisco ha publicado actualizaciones para corregir estas vulnerabilidades, disponibles desde:

Más información:

Cisco IOS Software TFTP Server Denial of Service Vulnerability

Cisco Application Policy Infrastructure Controller Access Control Vulnerability

Cisco Unified MeetingPlace Unauthorized Password Change Vulnerability



Antonio Ropero
Twitter: @aropero

miércoles, 22 de julio de 2015

Google publica Chrome 44 y corrige 43 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 44. Se publica la versión 44.0.2403.89 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 43 nuevas vulnerabilidades.

Según el aviso de Google entre las mejoras se incluyen nuevas APIs de extensiones y de aplicaciones. También numerosos cambios en la estabilidad y rendimiento.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 43 nuevas vulnerabilidades, solo se facilita información de 19 de ellas (12 de gravedad alta, seis clasificados como media y uno de nivel bajo).

Desbordamientos de buffer en pdfium y en expat, alguna configuración permitía la ejecución de archivos inmediatamente después de su descarga, UXSS en blink y en Chrome para Android y corrupción de memoria en skia. También múltiples problemas por uso de memoria después de liberarla en IndexedDB, pdfium, blink, accesibilidad y por una terminación inesperada de procesos GPU.  

Otros problemas corregidos corresponden a salto de CSP, salto de SOP con CSS, lectura de memoria sin inicializar en ICU, falsificación de URLs mediante archivos pdf y fuga de información en el auditor XSS. Los CVE asignados van del CVE-2015-1270 al CVE-2015-1288.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1289).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de casi 40.000 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update



Antonio Ropero
Twitter: @aropero


martes, 21 de julio de 2015

Reseña del libro "Cibercrimen"

Manel Medina y Mercè Molist se han juntado para ofrecernos un libro divulgativo, ilustrativo y a la vez educativo sobre los problemas a los que nos enfrentamos todos los días al usar el ordenador, el móvil, Internet, las redes sociales, etc…

Contar con el respaldo de Mercè Molist, probablemente la periodista más conocida, respetada e involucrada con la red en España, ya es garantía de un texto de calidad y bien documentado. Pero a la ecuación de autores se le suma Manel Medina, catedrático de la UPC, coordinador científico del capítulo europeo de APWG y fundador de varias empresas de seguridad, que aporta el respaldo técnico necesario en un proyecto como este.

Sin duda, y aunque por el título pueda parecerlo, no nos encontramos ante un libro más sobre fraude y delitos informáticos. La forma en que se afronta cada tema resulta sumamente interesante y aporta una novedosa manera de atraer y llevar al lector hacia el objetivo del libro: aprender a evitar los ataques.

"Una obra que tiene vocación de manual práctico para evitar
que se pueda caer en la tela de araña que conforma el entramado
del crimen en la red.
"

El libro consta de seis capítulos que desde una introducción con los consejos básicos y fundamentales, pasando por la forma de trabajo del ciberdelincuente y del cibercrimen organizado, lleva hasta el futuro y el Internet de las Cosas. Desgajando en cada capítulo problemas y situaciones reales así como la forma de enfrentarse a ellos y evitarlos.

De esta forma, encontramos como se tratan temas como el robo de identidad, la ingeniería social, el ciberbullyng (o acoso), el fraude financiero o el espionaje industrial entre otros, hasta un total de 15. Cada uno de los temas tratados se enfoca desde cuatro puntos diferentes, Riesgo, Ataques, Defensas y Protectores. Esto es, primero se explica el riesgo del problema, luego se describen ataques reales, para continuar con las posibles defensas que pueden tomar los usuarios y terminar con organizaciones, personas, compañías o fuerzas de la ley que velan por la protección de los usuarios en cada caso concreto.

"Riesgos conocidos: ¡Mira dónde te metes!
Ataques publicados: ¡Aprende de los errores ajenos!
Defensas aplicables: ¡Escoge lo que más te conviene!
Protectores disponibles: ¡Pide ayuda cuando la necesites!"

Personalmente, tengo que señalar que lo que más me ha interesado ha sido la descripción de los ataques reales, todos perfectamente descritos y documentados con fechas, nombres, detalles, etc. Casi todos muy conocidos, y que han saltado a los medios en más de una ocasión, pero los datos facilitados y el tratamiento de la información sirven para que el lector tome conciencia de que se encuentra ante un problema real y que puede también puede afectarle a él.

Como curiosidad, entre los casos que se documentan en el libro se encuentra la investigación que realizamos en Hispasec sobre MPack y como afectó a miles de usuarios, muchos españoles, a través de más de 11.000 páginas web infectadas. Una de las que más visitas recibió (y por tanto a más víctimas infectó) resultó ser la página oficial de Marta Torné.

También destacable el capítulo dedicado al ciberbullying, un tema especialmente delicado que evidentemente no puede obviarse, pero que hay darle la necesaria importancia sin caer en sensacionalismos; en este caso está tratado de una forma exquisita. El relato del caso de Amanda Todd resulta emocionante. 

Evidentemente está claro que se trata de un libro destinado a concienciar a los usuarios, por ello no nos encontramos ante un libro específicamente técnico, todo lo contrario. Se trata de un libro podría leer cualquier usuario independientemente de su nivel de conocimientos técnicos.

En resumen, un libro interesante para acercar la problemática de la seguridad a los usuarios más escépticos o legos en la materia, el libro que podrías dejar a cualquier familiar para que entienda los riegos de la (in)seguridad. Pero que por la cantidad de datos reales e históricos que se describen puede interesar a todos los lectores, incluso los más expertos.

Título: Cibercrimen
Autores: Mercè Molist y Manel Medina
ISBN: 978-84-16204-82-3
Número de páginas: 220
Precio: 16€ IVA incluido
También existe versión digital para Kindle

Más información:

Cibercrimen

una-al-dia (19/06/2007) Alerta: Ataque a gran escala contra webs europeas afecta a miles de usuarios

Ataque vía web a gran escala

Marta Torné y el ataque basado en webs



Antonio Ropero
Twitter: @aropero

lunes, 20 de julio de 2015

Microsoft publica actualización fuera de ciclo

Microsoft ha publicado el boletín de seguridad MS15-078 fuera de su ciclo habitual de actualizaciones para solucionar una vulnerabilidad "crítica" en las fuentes OpenType, que podría permitir la ejecución remota de código arbitrario. 

Este boletín resuelve una vulnerabilidad (con CVE-2015-2426) en Windows Adobe Type Manager Library al tratar de forma incorrecta fuentes OpenType específicamente diseñadas. El fallo podría permitir la ejecución remota de código arbitrario si el usuario abre un documento o visita una página web maliciosa con fuentes OpenType incrustadas.

El problema afecta a sistemas Vista, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2008 y Windows Server 2012. La vulnerabilidad fue descubierta a primeros de mes por Google Project Zero y FireEye que reportaron el problema de forma responsable y Microsoft lo ha corregido rápidamente.

Esta actualización puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. En el boletín, Microsoft también ofrece contramedidas para mitigar el fallo. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:

Microsoft Security Bulletin MS15-078 - Critical
Vulnerability in Microsoft Font Driver Could Allow Remote Code Execution (3079904)



Antonio Ropero
Twitter: @aropero

domingo, 19 de julio de 2015

Protección inadecuada de ruta alternativa en Squid

Se ha solucionado una vulnerabilidad en Squid que podría permitir a clientes remotos evitar los controles de seguridad.

Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).

Squid configurado con cache_peer y operando como proxy explícito no trata adecuadamente  el método CONNECTA para respuestas. El fallo está considerado importante debido a que podría permitir a un cliente remoto evitar la seguridad.

La vulnerabilidad solo es explotable en sistemas configurados "cache_peer" para recibir peticiones CONNECT.
Se ven afectadas todas las versiones Squid hasta la 3.5.5 y se ha corregido en la versión Squid 3.5.6.
o se puede también aplicar los parches disponibles desde:
Squid 3.4:
Squid 3.5:

Más información:

Squid Proxy Cache Security Update Advisory SQUID-2015:2
Improper Protection of Alternate Path



Antonio Ropero
Twitter: @aropero

sábado, 18 de julio de 2015

Actualizaciones de seguridad para Adobe Reader, Acrobat, Shockwave y Flash Player

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 50 vulnerabilidades en Flash Player, Shockwave, Adobe Reader y Acrobat. 

Flash Player

Para Adobe Flash Player se ha publicado el boletín APSB15-18 destinado a solucionar las dos vulnerabilidades 0day relacionadas con el hacking Team.

Los 0day anunciados se identifican con los CVE-2015-5122 y CVE-2015-5123. Ambas están relacionadas con vulnerabilidades en la función ValueOf, en el primer caso a través de los métodos "TextBlock.createTextLine()" y 
"TextBlock.recreateTextLine(textLine)", mientras que el segundo caso afecta a un objeto "BitmapData". En ambos casos se han encontrado pruebas de concepto que muestran los efectos de los fallos.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 18.0.0.209
  • Flash Player Extended Support Release 13.0.0.305

Igualmente se ha publicado la versión 18.0.0.209 de Flash Player para Internet Explorer y Google Chrome.

Adobe Reader y Acrobat

Por otra parte, para Adobe Reader y Acrobat (boletín APSB15-15) se han solucionado 46 vulnerabilidades que afectan a las versiones X (10.1.14 y anteriores) y XI (11.0.11 y anteriores) para Windows y Macintosh. También afecta a Acrobat DC y Acrobat Reader DC.

Esta actualización soluciona siete vulnerabilidades de uso después de liberar memoria, cinco desbordamientos de búfer, tres desbordamientos de entero y nueve problemas de corrupción de memoria; todos ellos podrían permitir la ejecución de código.

También se resuelve una vulnerabilidad de fuga de información, vulnerabilidades de salto de seguridad que podrían permitir la divulgación de información, saltos de validación que podrían permitir la elevación de privilegios o denegaciones de servicio, varios métodos para evitar restricciones de ejecución en la API javascript y dos denegaciones de servicio por referencia de puntero nulo.

Los CVE asociados son: CVE-2014-0566, CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4445 al CVE-2015-4452 y CVE-2015-5085 al CVE-2015-5115

Adobe ha publicado las versiones 11.0.12 y 10.1.15 de Acrobat X y XI, Acrobat DC y Reader DC 2015.008.20082 y Acrobat DC y Reader DC 2015.006.30060; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.
 
Adobe Shockwave Player

Adobe ha publicado un nuevo boletín de seguridad (APSB14-17) para solucionar dos vulnerabilidades críticas en Shockwave Player.

Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash. En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran.

Las vulnerabilidades (con CVE-2015-5120 y CVE-2015-5121) están relacionadas problemas de corrupción de memoria que podría permitir a un atacante la ejecución remota de código arbitrario. El problema afecta las versiones de Adobe Shockwave Player 12.1.8.158 (y anteriores) para plataformas Windows y Macintosh.

Adobe recomienda actualizar a la versión 12.1.9.159 de Shockwave Player, disponible desde:

Más información:

Security updates available for Adobe Flash Player

una-al-dia (13/07/2015) Nuevos 0day de Adobe Flash Player relacionados con el Hacking Team

CVE-2015-5122 - Second Adobe Flash Zero-Day in HackingTeam Leak

Another Zero-Day Vulnerability Arises from Hacking Team Data Leak

New Zero-Day Vulnerability (CVE-2015-5123) in Adobe Flash Emerges from Hacking Team Leak

una-al-dia (08/07/2015) Sombreros verdes y 400 gigas de caramelos

Security Updates Available for Adobe Acrobat and Reader

Security update available for Adobe Shockwave Player



Antonio Ropero

Twitter: @aropero

viernes, 17 de julio de 2015

Oracle corrige 193 vulnerabilidades en su actualización de seguridad de julio

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica suboletín de seguridad de julio. Contiene parches para 193 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
Los fallos se dan en varios componentes de los productos:
  • Application Express, versiones anteriores a 5.0
  • Oracle Database Server, versiones 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Fusion Middleware, versiones 10.3.6.0, 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 12.1.1, 12.1.2 y 12.1.3
  • Oracle Access Manager, versiones 11.1.1.7 y 11.1.2.2
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7 y 11.1.1.9
  • Oracle Business Intelligence Enterprise Edition, Mobile App versiones anteriores a 11.1.1.7.0 (11.6.39)
  • Oracle Data Integrator, versiones 11.1.1.3.0
  • Oracle Directory Server Enterprise Edition, versiones 7.0, 11.1.1.7
  • Oracle Endeca Information Discovery Studio, versiones 2.2.2, 2.3, 2.4, 3.0 y 3.1
  • Oracle Event Processing, versiones 11.1.1.7 y 12.1.3.0
  • Oracle Exalogic Infrastructure, versiones 2.0.6.2
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle iPlanet Web Proxy Server, versiones 4.0
  • Oracle iPlanet Web Server, versiones 6.1, 7.0
  • Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.2.4.0, 12.1.2.0.0 y 12.1.3.0.0
  • Oracle OpenSSO, versiones 3.0-05
  • Oracle Traffic Director, versiones 11.1.1.7.0
  • Oracle Tuxedo, versiones SALT 10.3, SALT 11.1.1.2.2, Tuxedo 12.1.1.0
  • Oracle Web Cache, versiones 11.1.1.7.0
  • Oracle WebCenter Portal, versiones 11.1.1.8.0 y 11.1.1.9.0
  • Oracle WebCenter Sites, versiones 11.1.1.6.1 Community, 11.1.1.8.0 Community, 12.2.1.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.1.0, 12.1.2.0 y 12.1.3.0
  • Hyperion Common Security, versiones 11.1.2.2, 11.1.2.3 y 11.1.2.4
  • Hyperion Enterprise Performance Management Architect, versiones 11.1.2.2 y 11.1.2.3
  • Hyperion Essbase, versiones 11.1.2.2 y 11.1.2.3
  • Enterprise Manager Base Platform, versiones 11.1.0.1
  • Enterprise Manager for Oracle Database, versiones 11.1.0.7, 11.2.0.3 y 11.2.0.4
  • Enterprise Manager Plugin for Oracle Database, versiones 12.1.0.5, 12.1.0.6 y 12.1.0.7
  • Oracle E-Business Suite, versiones 11.5.10.2, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.3 y 12.2.4
  • Oracle Agile PLM, versiones 9.3.4
  • Oracle Agile PLM Framework, versiones 9.3.3
  • Oracle Agile Product Lifecycle Management for Process, versiones 6.0.0.7, 6.1.0.3, 6.1.1.5 y 6.2.0.0
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6 y 6.3.7
  • PeopleSoft Enterprise HCM Candidate Gateway, versiones 9.1, 9.2
  • PeopleSoft Enterprise HCM Talent Acquisition Manager, versiones 9.1, 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.53 y 8.54
  • PeopleSoft Enteprise Portal - Interaction Hub, versiones 9.1.00
  • Siebel Apps - E-Billing, versiones 6.1, 6.1.1 y 6.2
  • Siebel Core - Server OM Svcs, versiones 8.1.1, 8.2.2 y 15.0
  • Siebel UI Framework, versiones 8.1.1, 8.2.2 y 15.0
  • Oracle Commerce Guided Search / Oracle Commerce Experience Manager, versiones 3.0.2, 3.1.1, 3.1.2, 11.0 y 11.1
  • Oracle Communications Messaging Server, versiones 7.0
  • Oracle Communications Session Border Controller, versiones anteriores a 7.2.0m4
  • Oracle Java FX, versiones 2.2.80
  • Oracle Java SE, versiones 6u95, 7u80 y 8u45
  • Oracle Java SE Embedded, versiones 7u75 y 8u33
  • Oracle JRockit, versiones R28.3.6
  • Fujitsu M10-1, M10-4, M10-4S Servers, versiones XCP anteriores a XCP 2260
  • Integrated Lights Out Manager (ILOM), versiones anteriores a 3.2.6
  • Oracle Ethernet Switch ES2-72, Oracle Ethernet Switch ES2-64, versiones anteriores a 1.9.1.2
  • Oracle Switch ES1-24, versiones anteriores a 1.3.1
  • Oracle VM Server for SPARC, versiones 3.2
  • SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, versiones XCP anteriores a XCP 1120
  • Solaris, versiones 10 y 11.2
  • Solaris Cluster, versiones 3.3 y 4.2
  • Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versiones anteriores a 1.2.2
  • Sun Network 10GE Switch 72p, versiones anteriores a 1.2.2
  • Secure Global Desktop, versiones 4.63, 4.71, 5.1 y 5.2
  • Sun Ray Software, versiones anteriores a 5.4.4
  • Oracle VM VirtualBox, versiones anteriores a 4.0.32, 4.1.40, 4.2.32 y 4.3.30
  • MySQL Server, versiones 5.5.43 y anteriores, 5.6.24 y anteriores
  • Oracle Berkeley DB, versiones 11.2.5.1.29, 11.2.5.2.42, 11.2.5.3.28 y 12.1.6.0.35


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • 10 nuevas vulnerabilidades corregidas en Oracle Database Server, dos de ellas explotables remotamente sin autenticación. Afectan a los componentes: Java VM, Oracle OLAP, Core RDBMS, RDBMS Partitioning, Application Express, RDBMS Security, Application Express, RDBMS Scheduler y RDBMS Support Tools.
         
  • Otras 39 vulnerabilidades afectan a Oracle Fusion Middleware. 36 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Access Manager, Oracle Business Intelligence Enterprise Edition, Oracle Data Integrator, Oracle Directory Server Enterprise Edition, Oracle Endeca Information Discovery Studio, Oracle Event Processing, Oracle Exalogic Infrastructure, Oracle GlassFish Server, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle JDeveloper, Oracle OpenSSO, Oracle Traffic Director, Oracle Tuxedo, Oracle WebCenter Portal, Oracle WebCenter Sites, Oracle WebLogic Server y Web Cache.
         
  • Cuatro actualizaciones afectan a Oracle Hyperion, una de ellas podría ser explotada por un atacante remoto sin autenticar. Los componentes afectados son: Hyperion Essbase, Hyperion Common Security y Hyperion Enterprise Performance Management Architect.
              
  • Esta actualización contiene tres nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control con una explotable remotamente sin autenticación.
         
  • Dentro de Oracle Applications, 13 parches son para Oracle E-Business Suite, siete parches son para la suite de productos Oracle Supply Chain, ocho para productos Oracle PeopleSoft, cinco para Oracle Siebel CRM y dos para la plataforma Oracle Commerce.
          
  • También se incluyen dos nuevos parches para Oracle Communications Applications.
       
  • En lo referente a Oracle Java SE se incluyen 25 nuevos parches de seguridad, 23 de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar. Se incluye la actualización para el 0day detectado recientemente por Trend Micro, con el identificador CVE-2015-2590.
        
  • Para la suite de productos Oracle Sun Systems se incluyen 21 nuevas actualizaciones, nueve de ellas afectan a Solaris.
        
  • Esta actualización contiene 11 nuevos parches para Oracle Virtualization, ocho de las vulnerabilidades podrían explotarse de forma remota sin autenticación.
       
  • 18 nuevas vulnerabilidades afectan a MySQL Server.
       
  • Por último se incluyen 25 nuevas actualizaciones para Oracle Berkeley DB. 

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - July 2015

Más información:

Oracle Critical Patch Update Advisory - July 2015
  
una-al-dia (15/07/2015) Nuevo 0day en Java



Antonio Ropero
Twitter: @aropero