lunes, 31 de agosto de 2015

Boletines de seguridad para Mozilla Firefox

La Fundación Mozilla ha publicado dos boletines de seguridad que corrigen sendas vulnerabilidades en su navegador Firefox.

El primer boletín, MFSA2015-94, de importancia crítica, resuelve un error de uso de memoria tras liberación en 'CanvasRenderingContext2D' que podría permitir la ejecución de código remoto. Esta vulnerabilidad descubierta por Jean-Max Reymond (miembro de la comunidad Mozilla) y Ucha Gobejishvili (Zero Day Initiative), tiene asignado el identificador CVE-2015-4497.

El boletín MFSA2015-95 con un nivel de importancia alta, corrige un fallo en el instalador de complementos o extensiones que podría permitir la instalación de add-ons desde una fuente diferente a la esperada. Esto permitiría eludir restricciones de seguridad y engañar al usuario para instalar un complemento malicioso. Este error ha sido descubierto por Bas Venis y se le ha asignado el identificador CVE-2015-4498.

La versión 40.0.3 de Firefox, que corrige las vulnerabilidades anteriormente comentadas, se encuentra disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

Mozilla Foundation Security Advisory 2015-94

Mozilla Foundation Security Advisory 2015-95
  


Juan José Ruiz

domingo, 30 de agosto de 2015

Actualización de seguridad para Adobe ColdFusion

Adobe ha publicado una actualización destinada a solucionar una vulnerabilidad importante en ColdFusión, que podría permitir la obtención de información sensible.

En el boletín de seguridad APSB15-21 de Adobe, se recoge una actualización para ColdFusion versiones 11 y 10. Este parche está destinado a corregir un problema en el tratamiento de entidades externas XML en BlazeDS que podría permitir la obtención de información sensible (CVE-2015-3269).

Se recomienda a los usuarios actualicen sus productos según las instrucciones proporcionadas por Adobe:
ColdFusion 11:
ColdFusion 10:

Customers should also apply the security configuration settings as outlined on the ColdFusion Security page as well as review the ColdFusion 11 Lockdown Guide and ColdFusion 10 Lockdown Guide.

Los usuarios también deben aplicar la configuración de seguridad indicada en la página de seguridad de ColdFusion, así como revisar los documentos ColdFusion 11 Lockdown Guide y ColdFusion 10 Lockdown Guide.

Más información:

Security Update: Hotfix available for ColdFusion

CVE-2015-3269: Apache Flex BlazeDS XXE Vulnerabilty



Antonio Ropero

Twitter: @aropero

sábado, 29 de agosto de 2015

Dos vulnerabilidades en dispositivos Trend Micro Deep Discovery

Trend Micro ha confirmado dos vulnerabilidades en dispositivos Deep Discovery Inspector que podrían permitir a un atacante provocar la realización de ataques de cross-site scripting y de salto de autenticación.
 
Según Trend Micro la plataforma Deep Discovery Inspector "permite detectar, analizar y responder a los actuales ataques sigilosos y dirigidos en tiempo real".

El primero de los problemas, con CVE-2015-2872, reside en un cross-site scripting en el parámetro contentURL de index.html que podría permitir a un atacante sin autenticar ejecutar código malicioso.

Por otra parte, usuarios autenticados sin permisos de administración podrán acceder a múltiples URLs mediante peticiones directas, lo que podría permitir acceder y modificar determinadas configuraciones del sistema (CVE-2015-2873).

Trend Micro ha publicado actualizaciones para solucionar estos problemas disponibles desde:

Más información:

Discovery Inspector (DDI) Authentication Bypass (CVE-2015-2873) and Cross-Site Scripting (XSS) Vulnerability (CVE-2015-2872)


Antonio Ropero

Twitter: @aropero

viernes, 28 de agosto de 2015

Ims0mnia, una pesadilla en dispositivos iOS

Los investigadores de FireEye han descubierto una vulnerabilidad en dispositivos iOS, que podría permitir a una aplicación continuar en ejecución en segundo plano durante tiempo ilimitado, incluso si la aplicación está cerrada por el usuario y no aparece en la lista de aplicaciones abiertas.

El fallo, que ha sido bautizado como ins0mnia, puede permitir que una aplicación iOS evite las restricciones de ejecución en segundo plano de Apple. Una de las formas que iOS impone para proteger a los usuarios reside en controlar como el software de terceros interactúa con el sistema operativo. Una aplicación solo puede permanecer en segundo plano durante un tiempo limitado, generalmente tres minutos, antes de que iOS la ponga en suspensión.

La limitación de tiempo ejecutándose en segundo plano evita que una aplicación pueda espiar. Por ejemplo, una aplicación legítima podría tener permisos para acceder al GPS y al micrófono, mientras funciona en segundo plano podría monitorizar la localización GPS y grabar audio sin conocimiento del usuario.

Como todos los usuarios de iOS saben, al pulsar dos veces el botón inicio aparece la lista de aplicaciones abiertas, desde la cual es posible cerrar totalmente una aplicación. Sin embargo, ins0mnia permite a una aplicación evitar todas estas limitaciones. Una aplicación maliciosa podrá permanecer en segundo plano y robar información sensible del usuario durante tiempo ilimitado sin la autorización y el conocimiento del usuario.

El ataque reside en engañar al dispositivo haciéndole creer que se está depurando la aplicación iOS. Esto impide que el sistema suspenda la aplicación cuando el tiempo de ejecución en segundo plano haya expirado.

FireEye ha publicado un video que muestra como una aplicación iOS maliciosa sigue funcionando sin el conocimiento del usuario a pesar de estar cerrada, y envía la ubicación GPS de la víctima del atacante.

A diferencia de otros programas maliciosos conocidos no es necesario que el dispositivo tenga jailbreak para que un malware aproveche la vulnerabilidad Ins0mnia. Según FireEye una aplicación de este tipo podría llegar a pasar el examen de la Apple Store.

El equipo de seguridad de Apple ha confirmado que esta vulnerabilidad está corregida en iOS 8.4.1.

Más información:

Ins0mnia: Unlimited Background Time and Covert Execution on Non-Jailbroken iOS Devices

una-al-dia (14/08/2015) Actualización de múltiples productos Apple: iOS, OS X Server, Safari y Yosemite



Antonio Ropero

Twitter: @aropero

jueves, 27 de agosto de 2015

La nevera no congela las vulnerabilidades

Te levantas por la mañana, abres la puerta de la nevera sacas una caja de leche y al cerrar la puerta consultas la agenda del día en la pantalla LCD de la puerta de la nevera. Mientras tanto ya te han robado tus credenciales de Gmail.

Cada día más y más dispositivos diferentes se conectan a Internet, relojes, coches, cafeteras o neveras. Todo puede conectarse a Internet. Pero como sabemos todo dispositivo conectado puede suponer un riesgo adicional. En este caso, durante la pasada Defcon un equipo ha comprobado la seguridad de la nevera RF28HMELBSR de Samsung, evidenciando importantes problemas de seguridad.

El modelo RF28HMELBSR de Samsung es una de esas neveras de gran tamaño que además incluye una pantalla LCD de 8 pulgadas, conexión WiFi y puede controlarse a través de la aplicación "Samsung Smart Home".

Durante la pasada Defon 23, se celebró el evento IoT Village donde se impartieron diversas conferencias sobre el "Internet de las cosas" y la seguridad de dispositivos conectados, como TVs, termostatos, controladores de domótica, etc. También se propuso como reto vulnerar la seguridad de este gran electrodoméstico conectado.


El grupo PenTestPartners ha publicado los resultados de su investigación sobre la seguridad de esta nevera.

En primer lugar confirma que la nevera implementa SSL, sin embargo falla al validar los certificados SSL, lo que permite realizar ataques de hombre en el medio ("man-in-the-middle") contra la mayoría de las conexiones. Como la nevera incluye una funcionalidad para mostrar el calendario de Google, se podría usar un ataque MITM para obtener las credenciales de GMail del usuario.

Según la información del grupo, una excepción es se intenta conectar al servidor de actualizaciones. La conexión se realiza a la URL https://www.samsungotn.net, la misma que se emplea para TVs y otros dispositivos, sin embargo aunque generaron certificados con el mismo contenido que si fuera el sitio real, en ese caso fue imposible lograr la validación.

Los investigadores también han intentado otros ataques como intentar ataques a través del servicio de calendario, sin embargo las etiquetas HTML y otras marcas no se interpretan por lo que no lograron un ataque exitoso de esta forma.

También comprobaron la posibilidad de falsificar una actualización del firmware para comprometer el electrodoméstico a través de una actualización personalizada maliciosa. Si bien los investigadores confirman que encontraron el formato de URL para descargar el archivo, todavía necesitan encontrar una serie de parámetros adicionales para completar la URL. Según dicen no son datos secretos, solo difíciles de conseguir, como un nombre de código para el modelo del dispositivo, probablemente un número de serie, etc.

El frigorífico tiene al menos dos servicios en escucha. Uno en el puerto 4444 (SSL) y otro en el puerto 8888. El servicio en el puerto 4444 requiere un certificado cliente para la mayoría de las solicitudes, aunque no todos se validan contra el lado del cliente. El grupo sospecha que se utiliza por la aplicación móvil y, por lo tanto, el certificado estará en el código de la aplicación.

Los analistas también han trabajado sobre la aplicación móvil. Según informan creen haber encontrado el certificado dentro del almacén de claves. Sin embargo está adecuadamente protegido por contraseña, aunque creen haber conseguido la contraseña ofuscada,

Las cosas de Internet en el Internet de las cosas

Cada vez hay más dispositivos con conexión a Internet. Esto expone al software del dispositivo a los mismos riesgos que cualquier otro sistema conectado a la Red. El Internet de las cosas es más popular cada día y eso abre nuevas puertas a vulnerabilidades, robos de datos, control del dispositivo, etc.  

Estos nuevos dispositivos conectados, como relojes, electrodomésticos, TVs, se encuentran en un ecosistema totalmente nuevo, nunca habían tenido conexión y se enfrentan a problemas totalmente nuevos para ellos, aunque muy conocidos para el software normal.

Los fabricantes de este tipo de sistemas conectados (electrodomésticos, cámaras, TVs, etc.) deben tomar conciencia de la importancia que representa la seguridad del dispositivo y no cometer los mismos fallos que la industria del software lleva años pagando.

Más información:

RF28HMELBSR/AA

Hacking DefCon 23’s IoT Village Samsung fridge

IOT Village


Antonio Ropero
Twitter: @aropero

miércoles, 26 de agosto de 2015

Credenciales por defecto en múltiples Routers DSL

Se ha anunciado que diferentes routers de las firmas ASUS, DIGICOM, Observa Telecom, Philippine Long Distance Telephone (PLDT) y ZTE incluyen credenciales conocidas predefinidas en su código. Entre los routers afectados se incluye uno distribuido por Movistar.

Router ADSL Observa RTA01N v2
facilitado por Movistar
Los modelos de routers DSL afectados son ASUS DSL-N12E, DIGICOM DG-5524T, Observa Telecom RTA01N, Philippine Long Distance Telephone (PLDT) SpeedSurf 504AN y ZTE ZXV10 W300. Todos ellos incluyen credenciales predefinidas que podrían emplearse para acceder al servicio telnet del dispositivo con permisos de administrador. Concretamente el modelo Observa RTA01N v2 forma parte del equipamiento básico de los clientes de Movistar con ADSL.

En los modelos ASUS, DIGICOM, Observa Telecom y ZTE, el nombre de usuario es "admin", mientras que para los dispositivos PLDT el nombre de usuario es "adminpldt". Para todos los dispositivos afectados la contraseña es "XXXXairocon" donde "XXXX" son los últimos cuatro caracteres de la dirección MAX del router. La dirección MAC puede conseguirse a través de la información pública de la comunidad SNMP.

Para los routers ZTE ZXV10 W300 esta vulnerabilidad ya era conocida desde febrero del 2014 (CVE-2014-0329), pero recientemente se ha sabido que el mismo problema, incluso con las mismas credenciales, también afecta a otros dispositivos.

Como contramedida se recomienda activar reglas en el firewall para impedir el acceso al dispositivo desde fuentes desconocidas, así como bloquear el servicio SNMP.

Más información:

DSL routers contain hard-coded "XXXXairocon" credentials

ZTE ZXV10 W300 router contains hardcoded credentials

Router ADSL Observa RTA01N v2


Antonio Ropero
Twitter: @aropero

martes, 25 de agosto de 2015

Vulnerabilidad en VLC Media Player

Se ha confirmado una vulnerabilidad en el reproductor multimedia VLC Media Player (versiones 2.2.1 y anteriores), que podrían permitir a atacantes remotos lograr comprometer los sistemas que ejecuten este conocido programa.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha.

El problema (con CVE-2015-5949) se debe a un fallo en la liberación de punteros en el analizador de archivos en formato 3GP, que podría emplearse para lograr ejecutar código arbitrario a través de archivos 3GP manipulados.  

Se encuentra disponible una actualización, disponible vía GIT:
´Quedará corregido en la versión 2.2.2 de VLC.

Más información:

#2015-009 VLC arbitrary pointer dereference

Re: [oCERT-2015-009] VLC arbitrary pointer dereference



Antonio Ropero
Twitter: @aropero

lunes, 24 de agosto de 2015

Vulnerabilidades en IBM WebSphere Application Server

IBM ha publicado unaactualización para corregir múltiples vulnerabilidades en IBM WebSphere Application Server que podrían permitir a un atacante remoto obtener información sensible o conseguir privilegios elevados en el sistema.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

El primero de los problemas (con CVE-2014-8890) podría permitir a un atacante remoto obtener privilegios elevados en el sistema si el despliegue del descriptor de las restricciones de seguridad se combina con anotaciones ServletSecurity en un servlet. WebSphere Application Server Full Profile y Liberty Profile podrían permitir a un atacante remoto obtener privilegios elevados en el sistema cuando se utilizan contraseñas OAuth (CVE-2015-1885).

Por otra parte, Apache Batik podría permitir a un atacante remoto obtener información sensible a través de archivos SVG especialmente diseñados (CVE-2015-0250). IBM WebSphere Application Server podría permitir a un atacante remoto obtener acceso no autorizado en el sistema debido a una aplicación con una configuración serveServletsbyClassname incorrecta (CVE-2015-1927).

IBM WebSphere Application Server e IBM WebSphere Virtual Enterprise podrían permitir a un atacante remoto obtener información que identifique el servidor proxy utilizado (CVE-2015-1932). Por último, IBM WebSphere Application Server podría permitir a un atacante remoto falsificar un servlet (CVE-2015-4938).

Se ven afectadas las versiones de IBM WebSphere Application Server 6.1, 7.0, 8.0, 8.5 y 8.5.5.

IBM ha publicado versiones actualizadas de IBM WebSphere Application Server para solucionar estas vulnerabilidades.
Para V8.0.0.0 a 8.0.0.10: Fix Pack 11 (8.0.0.11)
Para V8.5.0.0 a 8.5.5.5 Full Profile: Fix Pack 6 (8.5.5.6)
Para V8.5.0.0 a 8.5.5.4 Liberty Profile: Fix Pack 5 (8.5.5.5)
Para V7.0.0.0 a 7.0.0.37: Fix Pack 39 (7.0.0.39) (disponible en noviembre de 2015)
Para V6.1.0.0 a 6.1.0.47: Fix Pack 47 (6.1.0.47) y el Interim Fix PI31622

Más información:

Security Bulletin: Multiple Security Vulnerabilities fixed in IBM WebSphere Application Server 8.0.0.11



                                                                                                  
Antonio Ropero
Twitter: @aropero


domingo, 23 de agosto de 2015

Actualización de seguridad para QuickTime

Apple ha publicado una actualización para QuickTime, que solventa nueve vulnerabilidades de seguridad en su versión para Windows 7 y Vista. 

Las vulnerabilidades están relacionadas con problemas de corrupción de memoria, que se han corregido mejorando la gestión de la memoria. Todos los problemas podrían permitir la ejecución remota de código arbitrario. Se han asignado los identificadores CVE-2015-3788 al CVE-2015-3792, CVE-2015-5751, CVE-2015-5779, CVE-2015-5785 y CVE-2015-5786.

Esta nueva versión puede instalarse a través de las funcionalidades de actualización automática de Apple, o descargándolas directamente desde:

Más información:

About the security content of QuickTime 7.7.8


Antonio Ropero

Twitter: @aropero

sábado, 22 de agosto de 2015

Actualización para Adobe LiveCycle Data Services

Adobe ha publicado una actualización para LiveCycle Data Services para evitar una vulnerabilidad que podría permitir a un atacante obtener información sensible.

Adobe LiveCycle DataServices en un framework que simplifica el desarrollo de aplicaciones Flex y AIR. Incluye funciones de mensajería, comunicación remota, gestión de datos y creación de PDF de interfaces RIA. Soluciona problemas de manejo de datos complejos y permite puede sincronizar la información entre clientes y las aplicaciones.

El boletín de seguridad APSB15-20, trata un problema (con CVE-2015-3269) que reside en el tratamiento de entidades XML manipuladas que podrían permitir la obtención de información sensible. Afecta a LiveCycle Data Services versiones 4.7, 4.6.2, 4.5 y 3.0.x para Windows, Macintosh and Unix.

Adobe ha publicado versiones actualizadas destinadas a solucionar la vulnerabilidad, disponibles desde la página del aviso de seguridad:

Más información:

Security Hotfix Available for LiveCycle Data Services
                                                                                                  
Antonio Ropero
Twitter: @aropero


viernes, 21 de agosto de 2015

iOS se hunde en arenas movedizas

Se ha anunciado una nueva vulnerabilidad en iOS que afecta a las instalaciones y despliegues corporativos que hagan uso de sistemas MDM (Mobile Device Management) y que podría permitir el acceso a información confidencial de la compañía, como URLs de los servidores, credenciales de acceso con contraseñas en texto plano, etc.

El fallo ha sido descubierto por la compañía Appthority que fiel a la costumbre actual lo ha bautizado como Quicksand (arenas movedizas), ya que una vez más se ha conseguido evadir la seguridad de la sandbox. La violación afecta a todos los clientes MDM, así como a todas las aplicaciones móviles distribuidas a través de un MDM que usen la opción "Managed App Configuration" para establecer y almacenar toda la información y configuraciones privadas. De esta forma, cualquier otra aplicación del dispositivo, podrá acceder a la información confidencial (como las credenciales de acceso) en formato texto plano.

La mayoría de las compañías emplean un sistema MDM/EMM para administrar y controlar el acceso a datos, correo y aplicaciones corporativas en los dispositivos móviles de los empleados. De esta forma lo primero que se hace es crear una cuenta MDM para el empleado e instalar el cliente MDM en su dispositivo móvil. Desde ese momento, todas las aplicaciones corporativas, así como configuraciones y credenciales se envían a través del MDM al dispositivo.


El salto de la sandbox ocurre después de que la configuración se haya enviado al dispositivo, que quedará almacenada en "/Library/Managed Preferences/mobile/"; donde, según el informe de Appthority, cualquier otra aplicación podrá acceder a ella con el siguiente código:


La compañía muestra un ejemplo de una aplicación con identificador "com.acme.DemoApp" tendrá un archivo .plist con todos los datos (incluidas las credenciales) en texto plano.














En teoría solo podrá acceder a los datos la aplicación con el identificador correspondiente. Pero lamentablemente, todos los archivos de configuración pueden ser accesibles por cualquier otra aplicación del dispositivo. Se ha asignado el CVE-2015-5749 a esta vulnerabilidad.

La firma notificó la vulnerabilidad a Apple de forma responsable, de forma que esta vulnerbailidad ha quedado solucionada en la reciente actualización a iOS 8.4.1. Por lo que se recomienda a todas las corporaciones que hagan uso de MDM la instalación de esta versión.

Más información:

‘Quicksand’ – A New Enterprise iOS Vulnerability

una-al-dia (18/06/2015) Cajas rotas, arena derramada

una-al-dia (14/08/2015) Actualización de múltiples productos Apple: iOS, OS X Server, Safari y Yosemite




Antonio Ropero
Twitter: @aropero



jueves, 20 de agosto de 2015

Múltiples vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha solucionado varias vulnerabilidades en Drupal 6 y 7 que podrían ser aprovechadas por atacantes para provocar condiciones de cross-site scripting, cross-site request forgery, revelar información sensible o realizar ataques de inyección SQL.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El primero de los problemas reside en un cross-site scripting en la función Drupal.ajax() en Drupal 7, otra vulnerabilidad de cross-site scripting afecta a la funcionalidad de autocompletado en formularios en Drupal 6 y 7. También se ha corregido un cross-site request forgery en la API de formularios de Drupal 6 y 7, que podría permitir a un usuario subir archivos al sitio bajo la cuenta de otro usuario.

Una vulnerabilidad en Drupal 6 y 7 podría permitir a usuarios sin permisos de acceso a contenidos ver los títulos de los nodos a los que no tenga acceso, incluso podría acceder a ellos si se encuentras añadidos al menú del sitio. Por último, una inyección SQL en Drupal 7 en el sistema de filtrado de comentarios, podría permitir a usuarios inyectar código SQL malicioso en los comentarios,

Afectan a las versiones 6.x anteriores a 6.37 y 7.x anteriores a 7.39, se recomienda la actualización a las versiones Drupal core 6.37 o Drupal core 7.39.

Más información:

Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2015-003


Antonio Ropero
Twitter: @aropero

miércoles, 19 de agosto de 2015

¿Son las aplicaciones Android tan seguras como piensas?

Hace algunos días, la firma de seguridad Zimperium reveló el descubrimiento de un fallo en el sistema de Android, llamado Stagefright, que permitía a un atacante remoto ejecutar código mediante un MMS malicioso. La vulnerabilidad se encuentra en un proceso con permisos "system" que podría permitir a un atacante tomar el control del dispositivo (permitiría escuchar comunicaciones, robar datos, etc.). Esto nos hace pensar qué ocurre con las aplicaciones que descargamos. 

Para averiguarlo hemos analizado una de las aplicaciones más famosas, que cuenta con más de 1.000 millones de descargas: Facebook. Es una gran sorpresa descubrir la gran cantidad de librerías nativas usadas por esta aplicación, 67 en total. Para optimizar el tiempo de ejecución, todo el código que se encarga de comprimir imágenes, cifrar las comunicaciones, etc. está desarrollado a bajo nivel. Sin embargo, codificar a bajo nivel aumenta la superficie de ataque. Entre otras dificultades el código nativo requiere una serie de habilidades que no se encuentran en el común de los desarrolladores. Siendo la gestión de la memoria la principal característica y fuente irremediable de problemas de seguridad y estabilidad de los programas.

Librerías nativas de Facebook
Para encontrar posibles librerías vulnerables, nos hemos centrado en librerías que usan código libre como libpng, libevent, libjpegturbo, SQLite, etc. Con la ayuda de las bases de datos del MITRE y CVEDetails, hemos podido encontrar las vulnerabilidades que afectan a estas librerías desde el año 2012. ¿Por qué el 2012? Porque el compilador con que se compilaron esas librerías data de ese mismo año. Solo tomamos en cuenta las vulnerabilidades que podrían permitir ejecutar código arbitrario.
  • libevent (versión obsoleta 1.4.14b-stable): afectada por el CVE-2014-6272 que podría permitir un desbordamiento de búfer basado en heap. Sin embargo, Facebook nunca llama a las funciones perjudicadas por esa vulnerabilidad, así que esta vulnerabilidad no se puede explotar.
        
  • JPEGturbo (versión por lo menos de 2013): se encontró un importante fallo (CVE-2012-2806) en la versión de 2012, pero fue corregido el mismo año, así que esta librería tampoco está afectada.
         
  • SQLite no tiene ninguna vulnerabilidad que permita a un atacante comprometer el sistema (según CVEDetails).
        
  • libPNG (versión obsoleta 1.6.10, del 6 de marzo de 2014): tiene el CVE-2015-0973 que podría permitir a un atacante provocar un desbordamiento de búfer, que según MITRE conllevaría una denegación de servicio o a la ejecución de código arbitrario.
             
  • Facebook también usa otras librerías como libwebp, libsjni, libglog, etc. pero no se encontró ninguna vulnerabilidad en las versiones empleadas de todas ellas.


Finalmente, hemos constatado que Facebook usa librerías obsoletas, como libPNG (versión 1.6.10) que podría permitir a un atacante remoto ejecutar código arbitrario. Y con ello leer SMS, contactos, etc. (todos los permisos de Facebook). 

Aunque en algunos casos la corrupción de memoria pueda llevar al compromiso del sistema, Android tiene protecciones para hacer la explotación más difícil. Podemos destacar medidas como la randomización de las posiciones de las librerías en la memoria (ASLR), el sandboxing (con una mejora gracias a la integración de SELinux), protección contra la ejecución de la pila, etc.

Esto con una aplicación sobradamente conocida y depurada, y con un fuerte respaldo detrás como la de Facebook. ¿Qué puede ocurrir con otras aplicaciones?

Más información:

una-al-dia (28/07/2015) Drake y el codiciado tesoro del androide

How to Protect from StageFright Vulnerability

Vulnerability Summary for CVE-2015-0973

CVE-2014-6272

CVE-2012-2806

Libpng » Libpng » 1.6.10 : Vulnerability Statistics

SHA256 de la aplicación Facebook analizada 05e6f038cf145b2ed02f500c340cf2e797b5f12edeccb977fa6bfc3a486594d8


Laurent Delosieres

martes, 18 de agosto de 2015

Microsoft publica actualización de urgencia para Internet Explorer

Microsoft ha publicado el boletín de seguridad MS15-093 fuera de su ciclo habitual de actualizaciones para solucionar una vulnerabilidad "crítica" en todas las versiones de Internet Explorer, desde la 7 a la 11, y que se está explotando de forma activa en la actualidad.

Este boletín resuelve una vulnerabilidad (con CVE-2015-2502) en la forma en que Internet Explorer accede a objetos en memoria. El fallo podría dar lugar a una corrupción de memoria que permitir la ejecución remota de código arbitrario si el usuario visita una página web que contenga el exploit.

En el boletín de Microsoft no se llega a confirmar que la vulnerabilidad se esté explotando de forma activa, aunque la publicación fuera del ciclo habitual ya podría hacernos intuir la gravedad del problema. Sin embargo en una publicación en el blog de Qualys se confirma el ataque activo.

El problema afecta a todas las versiones del navegador Internet Explorer desde la 7 a la 11. Los usuarios de Microsoft Edge en Windows 10 no se ven afectados.

Esta actualización puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa del parche. Antes de instalar esta actualización es necesario instalar el parche acumulativo publicado el pasado martes.

Más información:

Microsoft Security Bulletin MS15-093 - Critical
Security Update for Internet Explorer (3088903)

MS15-093 - OOB fix for Internet Explorer

una-al-dia (11/08/2015) Microsoft publica 14 boletines de seguridad


                                                                                                  
Antonio Ropero
Twitter: @aropero

lunes, 17 de agosto de 2015

Actualizaciones de seguridad para Wireshark

Wireshark Foundation ha publicado nueve boletines de seguridad que solucionan otras tantas vulnerabilidades en la rama 1.12. 

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

Todos los errores de seguridad corregidos podrían llegar a provocar condiciones de denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados. En esta ocasión las vulnerabilidades afectan al añadir un artículo al árbol de protocolo, al intentar liberar memoria inválida, al buscar un disector de protocolo, al comprobar la longitud de ptvcursor inválido y en los disectores ZigBee, GSM RLC/MAC, WaveAgent, OpenFlow y WCCP.

Las vulnerabilidades se han solucionado en la versión 1.12.7 ya disponible para su descarga desde la página oficial del proyecto.

Más información:

wnpa-sec-2015-29. WCCP dissector crash. Fixed in 1.12.7.

wnpa-sec-2015-28. Ptvcursor crash. Fixed in 1.12.7.

wnpa-sec-2015-27. OpenFlow dissector infinite loop. Fixed in 1.12.7.

wnpa-sec-2015-26. WaveAgent dissector crash. Fixed in 1.12.7.

wnpa-sec-2015-25. GSM RLC/MAC dissector infinite loop. Fixed in 1.12.7.

wnpa-sec-2015-24. ZigBee dissector crash. Fixed in 1.12.7.

wnpa-sec-2015-23. Dissector table crash. Fixed in 1.12.7.

wnpa-sec-2015-22. Memory manager crash. Fixed in 1.12.7.

wnpa-sec-2015-21. Protocol tree crash. Fixed in 1.12.7.




Antonio Ropero

Twitter: @aropero

domingo, 16 de agosto de 2015

Vulnerabilidades de cross-site scripting en IBM Domino Web Server

IBM ha publicado actualizaciones destinadas a solucionar tres vulnerabilidades de cross-site scripting en IBM Domino Web Server 8.5.x y 9.0.x.

Se trata de tres vulnerabilidades de cross-site scripting en el servidor web de IBM Domino. En uno de los casos cuando se encuentra configurado para webmail (CVE-2015-1981), otro de los casos permitiría una redirección abierta (CVE-2015-2014) y un último fallo cuando la plantilla Domino Directory está disponible sobre http (CVE-2015-2015).

Como es habitual en estos casos el problema reside en una validación insuficiente de las entradas suministradas por el usuario. Un atacante remoto podría ejecutar código arbitrario HTML o script en el navegador del usuario en el contexto del sitio afectado. Esto podría permitir que el atacante accediera a información sensible basada en el navegador como cookies de autenticación y los datos presentados recientemente.

IBM ha publicado actualizaciones en IBM Domino 9.0.1 Fix Pack 4 y en Domino 8.5.3 Fix Pack 6 Interim Fix 8.
Para 9.0.1
Para 8.5.3

El cross-site scripting en la plantilla se corrigió en la versión Domino 9.0.0 de la plantilla Domino Directory (pubnames.ntf).

La vulnerabilidad de redirección abierta se ha corregido en Domino 8.5.3 Fix Pack 6 Interim Fix 9 y Domino 9.0.1 Fix Pack 4. Para habilitar la corrección se debe añadir la configuración de inicio (DominoValidateRedirectTo=1) en el notes.ini del servidor Domino.

Más información:

Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability (CVE-2015-1981)

Security Bulletin: IBM Domino Web Server contains two vulnerabilities (CVE-2015-2014, CVE-2015-2015)



Antonio Ropero
Twitter: @aropero


sábado, 15 de agosto de 2015

Actualización para Adobe Flash Player

Adobe ha publicado una nueva actualización para Adobe Flash Player para evitar 35 vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 18.0.0.209 (y anteriores) para Windows, Macintosh, y navegadores Chrome, Internet Explorer y Edge; Adobe Flash Player 13.0.0.309 (y versiones 13.x anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.491 (y anteriores) para Linux. También afecta a Adobe AIR .

La mayoría de los problemas que se corrigen en este boletín (APSB15-19) permitirían la ejecución de código arbitrario aprovechando cinco vulnerabilidades de confusión de tipos, 15 vulnerabilidades de uso de memoria después de liberarla, cinco desbordamientos de búfer, una de desbordamiento de entero y ocho fallos que podrían causar una corrupción de la memoria.

Esta actualización también una mejora en la protección contra la mitigación introducida en la versión 18.0.0.209 para protección contra corrupciones en la longitud del vector.

Los CVE asignados son CVE-2015-3107, CVE-2015-5124, CVE-2015-5125, CVE-2015-5127 al CVE-2015-5134, CVE-2015-5539 al CVE-2015-5541 y CVE-2015-5544 al CVE-2015-5564.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  •  Flash Player Desktop Runtime 18.0.0.232
  •  Flash Player Extended Support Release 18.0.0.232
  •  Flash Player para Linux 11.2.202.508

Igualmente se ha publicado la versión 18.0.0.232 de Flash Player para Internet Explorer, Edge y Chrome (Windows y Macintosh) y 18.0.0.233 de Flash Player para Google Chrome (Linux).
También se han actualizado AIR Desktop Runtime, AIR SDK, AIR SDK & Compiler a la versión 18.0.0.199 (Windows, Macintosh, Android e iOS).

Opina sobre esta noticia:

Security updates available for Adobe Flash Player



Antonio Ropero
Twitter: @aropero

viernes, 14 de agosto de 2015

Actualización de múltiples productos Apple: iOS, OS X Server, Safari y Yosemite

Apple ha publicado actualizaciones para múltiples productos. En esta ocasión incluye iOS 8.4.1 para sus dispositivos móviles (iPhone, iPad, iPod… ), OS X Server v4.1.5,  Safari y OS X Yosemite 10.10.5 y Security Update 2015-006.

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

iOS 8.4.1 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir mejoras y solución de problemas, además soluciona 71 nuevas vulnerabilidades. Los problemas corregidos están relacionados con múltiples componentes, incluyendo Backup, ImageIO, Kernel, Libc, Libinfo, libxml2, Framework, Office Viewer, Safari, WebView y WebKit.
 
Por otra parte, se ha publicado OS X Yosemite v10.10.5 y Security Update 2015-006 para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4, destinado a corregir hasta 135 nuevas vulnerabilidades. Afectan a múltiples y muy diversos componentes, que entre otros incluyen a apache, Bluetooth, curl, DiskImages, ImageIO, Kernel, Libc, Libinfo, libxml2, OpenSSH, OpenSSL, perl, PostgreSQL, python, QuickTime 7, Security, SMBClient o tcpdump.

Las actualizaciones también incluyen a Safari, el popular navegador web de Apple, que se actualiza a las versiones Safari 8.0.8, Safari 7.1.8 y Safari 6.2.8 para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4. Se solucionan 27 vulnerabilidades principalmente por problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. La actualización a Safari 8.0.8 está incluida en OS X Yosemite v10.10.5.

De igual forma, también ha publicado la versión OS X Server v4.1.5 (para OS X Yosemite v10.10.5 y posteriores), para incluir una actualización de BIND (que se actualiza a la versión 9.9.7-P2) para evitar una vulnerabilidad de denegación de servicio (CVE-2015-5477).

Por último, señalar que también se ha publicado iTunes 12.2.2, una versión menor que no parece destinada a corregir problemas de seguridad. Sin embargo incluye mejoras de rendimiento y funcionalidad y se corrigen fallos no relacionados directamente con la seguridad.

Más información:

About the security content of iOS 8.4.1

About the security content of OS X Yosemite v10.10.5 and Security Update 2015-006

About the security content of Safari 8.0.8, Safari 7.1.8, and Safari 6.2.8

About the security content of OS X Server v4.1.5

iTunes 12.2.1

Antonio Ropero

Twitter: @aropero

jueves, 13 de agosto de 2015

El señor de las clases

Una clase para gobernar a todos los Android. Una clase para encontrarlos, una clase para atraerlos a todos y atarlos en las tinieblas.

Después de las dos vulnerabilidades importantes anunciadas en los últimos días, se confirma otra nueva vulnerabilidad en los dispositivos Android. Or Peles (@peles_o) y Roee Hay (@roeehay) del equipo de seguridad X-Force de IBM han publicado los detalles en un documento titulado "Una clase para gobernarlos a todos" ya que solo encontraron una clase con una vulnerabilidad de serialización en la plataforma Android, la 'OpenSSLX509Certificate', pero fue suficiente para tomar el control del dispositivo.

El equipo aprovechó el problema para reemplazar una aplicación existente en el dispositivo atacado por otra con todos los privilegios. De esta forma podría permitir robar datos, evitar la política SElinux, o ejecutar código arbitrario.

Se le ha asignado el CVE-2015-3825, según el informe de IBM el problema afecta a Android 4.3 a 5.1 (Jelly Bean, KitKat y Lollipop), incluyendo también a la primera preview de la próxima versión de Android M. Según IBM esto se cifra en un 55% de los dispositivos Android.

Mi tessssoro

En un vídeo muestran una prueba de concepto del ataque, de forma que una vez que el malware se ejecuta, reemplaza la aplicación real por otra falsa, permitiendo al atacante obtener datos de la aplicación o crear el ataque de phishing perfecto. En este caso el vídeo muestra como la aplicación de Facebook real se reemplaza por una falsa llamada Fakebook. 

                                                 https://youtu.be/VekzwVdwqIY

El equipo de IBM partía de la idea de que si encontraban una clase serializable, que en su método 'finalize' liberara algún objeto nativo cuyo puntero estuviera controlado podrían conseguir ejecutar código en el contexto de la aplicación o servicio. Su investigación se centró en encontrar clases vulnerables en el framework Android y en SDKs de terceras partes.

Tras analizar las 13.321 clases disponibles en el framework de un Android 5.1.1 Nexus 5 solo la clase 'OpenSSLX509Certificate' cumplía todos los requisitos para llevar a cabo el ataque de forma exitosa.

Y también en SDKs

Después de buscar en el framework de Android, pasaron a analizar 32.701 aplicaciones Android populares de los desarrolladores más conocidos para buscar otras clases que pudieran ser vulnerables. Encontraron un total de 358 clases en 176 APKs que cumplían su criterio (serializable con un método 'finalize' y un campo controlable por el atacante). Finalmente enumeran 6 SDKs vulnerables:

  •  Jumio (CVE-2015-2000)
  •  MetaIO (CVE-2015-2001)
  •  PJSIP PJSUA2 (CVE-2015-2003)
  •  GraceNote GNSDK (CVE-2015-2004)
  •  MyScript (CVE-2015-2020)
  •  esri ArcGis (CVE-2015-2002)

Los investigadores de IBM comunicaron los problemas a Google y a los desarrolladores de los SDKs afectados.

Google ha publicado parches para Android 5.1 y 5.0 y ha portado el parche a Android 4.4. La actualización también está disponible en Android M. Esperemos que les llegue pronto a los usuarios. Igualmente los desarrolladores de SDKs también han publicado parches para los problemas.

Desde los abismos llegó su último lamento ¡Tesoro! Y desapareció para siempre.

Más información:

One Class to Rule Them All: New Android Serialization Vulnerability Gives Underprivileged Apps Super Status

One class to rule them all
0-Day desiariliazation vulnerabilities in Android

una-al-dia (28/07/2015) Drake y el codiciado tesoro del androide

una-al-dia (30/07/2015) Android, no se vayan todavía que aun hay más

una-al-dia (07/08/2015) Samsung y Google publicarán actualizaciones mensuales para sus dispositivos  Android


Antonio Ropero
Twitter: @aropero