jueves, 31 de diciembre de 2015

Actualizaciones de Wireshark, corregidas múltiples vulnerabilidades

Wireshark Foundation ha publicado las versiones 1.12.9 y 2.0.1, que incluyen la corrección de múltiples vulnerabilidades; la mayoría permitían cerrar inesperadamente la aplicación.

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

Como es habitual, la mayoría de las vulnerabilidades presentes corregidas en ambas versiones son fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. El impacto de estas vulnerabilidades suele ser simplemente el cierre inesperado de Wireshark, o en algunos casos, la entrada en un bucle infinito que bloquee la aplicación. Ambos impactos se encuentran en la categoría de denegación de servicio.

La lista de los disectores corregidos es larga, y contiene disectores para protocolos bastante exóticos. Se puede observar que algunos de los reportes de bugs son automáticos, hechos por un automatismo que prueba la versión actual en desarrollo usando un repositorio de miles de archivos que contienen capturas de paquetes. Básicamente, se prueba la aplicación con cada archivo, y detecta si provoca algún fallo. Si lo hace, manda un reporte automático. Este tipo de prueba se engloba en las denominadas pruebas de regresión, y es una forma de asegurar que en nuevas versiones no aparezcan vulnerabilidades anteriores.

Las vulnerabilidades mencionadas se han solucionado en las versiones 1.12.9 y 2.0.1, ya disponibles para descargar desde la página oficial del proyecto.

Más información:

Anuncio oficial de la versión 2.0.1

Anuncio oficial de la versión 1.12.9

Información sobre Buildbot, responsable de las pruebas de regresion:


Carlos Ledesma

miércoles, 30 de diciembre de 2015

Resumen de seguridad de 2015 (II)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2015 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Abril 2015:
  • Symantec anuncia el descubrimiento de Trojan.Laziok, una nueva muestra de malware que durante los primeros meses del año atacó de forma dirigida a empresas del sector energético de todo el mundo. Los correos empleados para la infección incluían un adjunto malicioso con un exploit para la vulnerabilidad CVE-2012-0158 en Office. De nuevo la misma vulnerabilidad, ya empleada en ataques conocidos como el Octubre Rojo y que fue corregida hace por Microsoft hace tres años.
         
  • Google publica un informe en el que resume el estado de seguridad de su plataforma móvil Android.
         
  • Dentro de su ciclo habitual de actualizaciones Microsoft publica 11 boletines de seguridad, que solucionan 25 vulnerabilidades. Apple por su parte publica iOS 8.3 para sus dispositivos móviles (iPhone, iPad, iPod… ), OS X Yosemite 10.10.3 y Security Update 2015-004, Safari, Xcode 6.3 y Apple TV 7.2; en total soluciona más de 200 vulnerabilidades. Mientras que Adobe publica tres boletines de seguridad para anunciar actualizaciones para solucionar un total de 24 vulnerabilidades en Flash Player, ColdFusión y Flex. Mientras que Google publica Chrome 42 y corrige 45 vulnerabilidades.

Mayo 2015:

  • Dentro de su ciclo habitual de actualizaciones Microsoft publica 13 boletines de seguridad, que solucionan 48 vulnerabilidades. Apple publica una actualización de seguridad para su navegador Safari (versiones 8.6, 7.1.6 y 6.2.6) que solventa cinco vulnerabilidades. Adobe publica dos boletines de seguridad para anunciar actualizaciones para solucionar un total de 52 vulnerabilidades en Flash Player, Adobe Reader y Acrobat. La Fundación Mozilla anuncia la publicación de la versión 38 de Firefox, junto con 13 boletines de seguridad que corrigen hasta 14 vulnerabilidades.
         
  • Se anuncia la vulnerabilidad Venom, que afecta a todos los sistemas de virtualización basados en QEMU, el popular emulador de fuente abierta.
         
  • Cuando ni siquiera ha llegado a España (ni a la mayoría de países) Apple publica la primera actualización para su reloj inteligente Apple Watch, en la que se solucionan hasta 13 vulnerabilidades.
         
  • La criptografía recibe un duro golpe por la vulnerabilidad Logjam, que reside en un fallo en el protocolo TLS que básicamente permite a un atacante que haga uso de técnicas de "hombre en el medio" degradar la seguridad de las conexiones TLS a 512 bits.


Junio 2015


Más información:

una-al-dia (02/04/2015) Nuevo malware contra empresas del sector energético utiliza un exploit de hace tres años

una-al-dia (05/04/2015) Informe del estado de la seguridad en Android

una-al-dia (08/04/2015) Actualización de múltiples productos Apple: iOS, OS X, Safari, Xcode y Apple TV

una-al-dia (15/04/2015) Microsoft publica 11 boletines de seguridad

una-al-dia (15/04/2015) Actualizaciones de seguridad de Adobe para Flash Player, ColdFusion y Flex

una-al-dia (17/04/2015) Google publica Chrome 42 y corrige 45 vulnerabilidades

una-al-dia (07/05/2015) Apple publica actualización para Safari

una-al-dia (12/05/2015) Microsoft publica 13 boletines de seguridad

una-al-dia (13/05/2015) Actualizaciones de seguridad para Adobe Reader, Acrobat y Flash Player

una-al-dia (14/05/2015) VENOM. El huésped despierta

una-al-dia (15/05/2015) Mozilla Firefox 38 y soluciona 14 vulnerabilidades

una-al-dia (20/05/2015) Apple publica la primera actualización para su reloj Apple Watch

una-al-dia (21/05/2015) Logjam, el hacedor de llaves en el reino de las cerraduras cobardes

una-al-dia (09/06/2015) Microsoft publica ocho boletines de seguridad

una-al-dia (10/06/2015) Actualización para Adobe Flash Player

una-al-dia (11/06/2015) Kaspersky reconoce un ataque sobre sus sistemas

una-al-dia (18/06/2015) Cajas rotas, arena derramada

una-al-dia (23/06/2015) Actualización de seguridad para Google Chrome

una-al-dia (24/06/2015) Actualización de Adobe Flash Player para evitar un 0-day

una-al-dia (30/06/2015) Más de 70.000 vulnerabilidades


Antonio Ropero
Twitter: @aropero

martes, 29 de diciembre de 2015

Adobe soluciona 19 vulnerabilidades en Flash Player

Adobe ha publicado una nueva actualización para Adobe Flash Player, que en esta ocasión soluciona 19 vulnerabilidades. Como es habitual la mayoría de las vulnerabilidades pueden permitir la ejecución de código arbitrario y por tanto tomar el control de los sistemas afectados.

De estas 19 vulnerabilidades, una es de confusión de tipos, otra de desbordamiento de entero, cuatro por corrupción de memoria sin especificar y el resto por usar memoria previamente liberada. Y afectan a las versiones de Adobe Flash Player previas a 20.0.0.267 (que es la versión de la actualización) para Windows, Macintosh, y navegadores Chrome, Internet Explorer y Edge; Adobe Flash Player Extended Support Release previas a 18.0.0.324 para Windows, Macintosh; y Adobe Flash Player previas a 11.2.202.559 para Linux. También afecta a Adobe AIR.

Los CVE's asignados son: CVE-2015-8459, CVE-2015-8460, CVE-2015-8634, CVE-2015-8635, CVE-2015-8636, CVE-2015-8638, CVE-2015-8639, CVE-2015-8640, CVE-2015-8641, CVE-2015-8642, CVE-2015-8643, CVE-2015-8644, CVE-2015-8645, CVE-2015-8646, CVE-2015-8647, CVE-2015-8648, CVE-2015-8649, CVE-2015-8650 y CVE-2015-8651.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  •  Flash Player Desktop Runtime 20.0.0.267
  •  Flash Player Extended Support Release 18.0.0.324
  •  Flash Player para Linux 11.2.202.559

El resto de actualizaciones son proporcionadas a través de los canales habituales usados por los productos en los que van integrado Flash Player. Finalmente, Adobe confirma que existe un exploit para el CVE CVE-2015-8651 que está siendo utilizado en ataques dirigidos.

Más información:

Security updates available for Adobe Flash Player


Carlos Ledesma


lunes, 28 de diciembre de 2015

Mozilla corrige vulnerabilidades en Thunderbird

Mozilla Foundation ha publicado la nueva versión de Thunderbird 38.5, su popular cliente de correo, en la que corrigen seis vulnerabilidades. Se agrupan en cinco boletines (dos de nivel crítico y tres clasificados como de gravedad alta).

Las vulnerabilidades críticas residen en dos problemas (CVE-2015-7201 y CVE-2015-7202) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código y un salto de la política de mismo origen al usar "data:" y "view-source:" que podrían permitir la lectura de datos de otros sitios y archivos locales (CVE-2015-7214).

Además, también se han corregido otras vulnerabilidades importantes como un desbordamiento de entero al reproducir MP4 en versiones 64 bits (CVE-2015-7213), vulnerabilidades de subdesbordamiento descubiertas a través de la inspección de código (CVE-2015-7205) y un desbordamiento de entero al asignar texturas de gran tamaño (CVE-2015-7212).

También se incluye una corrección destinada a preparar el navegador para el uso de certificados firmados SHA-256.

La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird:
o desde la actualización del navegador en Ayuda/Acerca de Thunderbird.

Más información:

Thunderbird Notes
Version 38.5.0, first offered to Release channel users on December 23, 2015

Fixed in Thunderbird 38.5


Antonio Ropero
Twitter: @aropero


domingo, 27 de diciembre de 2015

Resumen de seguridad de 2015 (I)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2015 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario. 

Enero 2015:



Febrero 2015:



Marzo 2014

  • Se anuncia la vulnerabilidad FREAK (Factoring RSA Export Keys) que permite a un atacante en situación de interceptar las comunicaciones entre cliente y servidor renegociar la conexión segura y hacer que ambos usen uno de los cifrados de la categoría EXPORT, capturar dicho tráfico y descifrarlo con una capacidad computacional al alcance de cualquiera.
         
  • Dentro de su ciclo habitual de actualizaciones Microsoft publica 14 boletines de seguridad, que solucionan 45 vulnerabilidades. Google publica Chrome 41 y corrige 51 vulnerabilidades. Apple publica iOS 8.2 y Security Update 2015-002 (para sistemas OS X), Xcode 6.2 y Apple TV 7.1. Adobe publica una actualización para Adobe Flash Player para evitar 11 nuevas vulnerabilidades que afectan al popular reproductor. Por su parte, Mozilla publica Firefox 37 y corrige 17 nuevas vulnerabilidades.
         
  • Se confirma que una de las vulnerabilidades empleadas por Stuxnet en 2010 y que se creía parcheada por Microsoft en agosto de 2010, realmente no estaba corregida. El problema, que incomprensiblemente ha pasado desapercibido durante casi cinco años, permitía la ejecución de código aunque el AutoPlay y AutoRun se encontrasen desactivados queda corregido dentro del conjunto de boletines mensuales.
          
  • Se celebra una nueva edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores en diferentes sistemas operativos y plugins se llevan importantes premios económicos. Al igual que el año pasado se anuncian graves vulnerabilidades en Internet Explorer, Firefox, Chrome y Safari. Adobe Flash y Reader tampoco salieron indemnes. Días después los diferentes fabricantes anuncias las actualizaciones que corrigen dichos problemas.


Más información:

una-al-dia (13/01/2015) Boletines de seguridad de Microsoft de enero

una-al-dia (14/01/2015) com.android.vulnerable.indefinidamenteSiInferiorAKitKat

una-al-dia (15/01/2015) Boletín de seguridad para Adobe Flash Player

una-al-dia (22/01/2015) Actualización de Adobe Flash Player para evitar un 0-day

una-al-dia (16/01/2015) Mozilla publica Firefox 35 y corrige 10 nuevas vulnerabilidades

una-al-dia (20/01/2015) Oracle corrige 169 vulnerabilidades en su actualización de seguridad de enero

una-al-dia (28/01/2015) GetRootByGetHostByName

una-al-dia (01/02/2015) BMW actualiza el software de más de 2 millones de automóviles por una vulnerabilidad

una-al-dia (02/02/2015) Complementos nativos, tenemos que hablar de lo nuestro

una-al-dia (03/02/2015) Nueva edición del anuario "Una al día. 16 Años de seguridad informática"

una-al-dia (06/02/2015) Adobe, más de lo mismo

una-al-dia (17/02/2015) ONTSI e INCIBE publica el "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles"

una-al-dia (10/02/2015) Boletines de seguridad de Microsoft de febrero

una-al-dia (19/02/2015) INCIBE publica un informe de situación del malware para Android

una-al-dia (20/02/2015) Portátiles Lenovo con malware de regalo

una-al-dia (24/02/2015) Mozilla publica Firefox 36 y corrige 18 nuevas vulnerabilidades

una-al-dia (03/03/2015) FREAK, un nuevo ataque a SSL/TLS

una-al-dia (06/03/2015) Google publica Chrome 41 y corrige 51 vulnerabilidades

una-al-dia (10/03/2015) Actualización de productos Apple incluye iOS y OS X

una-al-dia (11/03/2015) Microsoft publica 14 boletines de seguridad

una-al-dia (12/03/2015) Stuxnet o la vulnerabilidad que Microsoft nunca corrigió

una-al-dia (14/03/2015) Actualización para Adobe Flash Player

una-al-dia (21/03/2015) Internet Explorer, Firefox, Chrome y Safari caen en el Pwn2Own 2015

una-al-dia (31/03/2015) Mozilla publica Firefox 37 y corrige 17 nuevas vulnerabilidades


Antonio Ropero
Twitter: @aropero

sábado, 26 de diciembre de 2015

Actualización del kernel para SuSE Linux Enterprise 11

SuSE ha publicado una actualización del kernel para SuSE Linux Enterprise Server 11 SP4 (en todas sus versiones). Se han solucionado diez vulnerabilidades e incluye 57 correcciones de funcionalidades no relacionadas con seguridad.

El más grave de los problemas corregidos podría permitir a usuarios locales la elevación de privilegios por un fallo en arch/x86/entry/entry_64.S en plataformas x86_64 al procesar NMIs. Una denegación de servicio remota usando IPv6 RA con MTU falso. El resto de problemas podrían permitir causar condiciones de denegación de servicio de forma local, por bucl

Un error en arch/x86/entry/entry_64.S en plataformas x86_64 puede permitir la elevación de privilegios al tratar NMIs. En RDS no se verifica la existencia de transporte subyacente al crear una conexión lo que provoca el uso de un puntero nulo. Una denegación de servicio remota a través de valores MTU manipulados en un mensaje IPv6 Router Advertisement (RA)

Por otra parte denegaciones de servicio locales al montar sistemas de archivos ext4 en modo no-journal, en la función "slhc_init" de "drivers/net/slip/slhc.c", en el subsistema KVM, en la función "key_gc_unused_keys" de "security/keys/gc.c" a través de comandos keyctl manipulados y en la función "__rds_conn_create" de "net/rds/connection.c".

Los CVE asignados son: CVE-2015-7509, CVE-2015-7799, CVE-2015-8104, CVE-2015-5307, CVE-2015-7990, CVE-2015-5157, CVE-2015-7872, CVE-2015-0272 y CVE-2015-6937.

Además se han corregido otros 57 problemas no relacionados directamente con fallos de seguridad.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".

Más información:

SUSE Security Update: Security update for Linux Kernel
SUSE-SU-2015:2339-1




Antonio Ropero

Twitter: @aropero

viernes, 25 de diciembre de 2015

Vulnerabilidades de inyección SQL en Cacti

Se han anunciado dos vulnerabilidades en Cacti que podrían permitir a un atacante remoto realizar ataques de inyección SQL.

Cacti es un software especialmente diseñado para crear gráficas de monitorización mediante los datos obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas de creación de gráficas más empleado en el mundo de la administración de sistemas y puede encontrarse como parte fundamental de otros programas.

Los problemas residen en una validación inadecuada de los datos introducidos por el usuario. En uno de los casos en 'graphs_new.php' falla al tratar el parámetro 'selected_graphs_array' (CVE-2015-8377); por otra parte 'graph.php' tampoco valida adecuadamente las entradas del parámetro 'rra_id' (CVE-2015-8369). Un atacante remoto podría introducir valores específicamente manipulados para ejecutar comandos SQL en la base de datos subyacente.

Se han publicado pruebas de concepto que muestran los ataques. Aun no se ha publicado una versión actualizada que corrija estos problemas.

Más información:

[CVE-2015-8369] Cacti SQL injection in graph.php

Cacti SQL Injection Vulnerability


Antonio Ropero

Twitter: @aropero

jueves, 24 de diciembre de 2015

Nueva actualización de seguridad para Joomla!

Hace apenas una semana Joomla! publicaba la versión 3.4.6 para evitar una vulnerabilidad 0-day, pero vuelve a publicar una nueva versión (3.4.7) destinada a corregir dos nuevas vulnerabilidades (una de gravedad alta). También se mejora la seguridad del controlador MySQLi para evitar ataques de inyección de objetos.

Tras la corrección de la vulnerabilidad crítica de la semana pasada, el equipo Joomla Security Strike ha seguido investigando sobre el problema. De esta forma se ha hecho evidente que la causa es un error en el propio PHP. Este fallo ya fue corregido por PHP en septiembre de 2015 con las versiones de PHP 5.4.45, 5.5.29 y 6.5.13 (esto ya estaba corregido en todas las versiones de PHP 7). Y aunque afecta a todas las versiones desde Joomla 1.5 a 3.4.6 los únicos sitios Joomla afectados por este error son aquellos en los que se encuentra alojado con versiones de PHP vulnerables. El equipo de Joomla es consciente de que no todos los sitios mantienen las instalaciones de PHP actualizadas, por lo que esta versión corrige el problema en versiones vulnerables de PHP.

Otra vulnerabilidad corregida reside en un filtrado inadecuado de datos que da lugar a una vulnerabilidad de inyección SQL. Afecta a Joomla 3.0.0 hasta 3.4.6.

Se ha publicado la versión 3.4.7 disponible desde

Más información:

una-al-dia (15/12/2015) Vulnerabilidad 0-day crítica en Joomla!

Joomla! 3.4.7 Released

[20151206] - Core - Session Hardening

[20151207] - Core - SQL Injection


                                                                                                  
Antonio Ropero

Twitter: @aropero

miércoles, 23 de diciembre de 2015

Los emojis pueden bloquear tu WhatsApp

Parece que a WhatsApp no le gusta recibir muchos emojis. Se ha anunciado una vulnerabilidad que a través del envío de una gran cantidad de este tipo de iconos puede provocar el bloqueo de los clientes de la popular aplicación de mensajería.

Al recibir un mensaje con miles de emoticonos
podemos encontrar un mensaje como este.
Hace un año dos jóvenes investigadores indios Indrajeet Bhuyan y Saurav Kar encontraron un problema en WhatsAppp, la conocida aplicación de mensajería móvil. Bastaba enviar un mensaje de 2 Kb de tamaño con un conjunto especial de caracteres para provocar la caída del WhatsApp del receptor.

En esta ocasión Bhuyan lo vuelve a repetir. Ha descubierto que basta enviar un mensaje con unos 6.600 emoticonos para provocar la caída del cliente en versiones Android. En las versiones iOS el sistema solo se bloquea durante un tiempo, pero vuelve a funcionar. Como ya ocurría anteriormente, el usuario tendrá que eliminar toda la conversación y empezar una nueva, ya que al momento de abrirla el mensaje seguirá provocando el cierre de la aplicación, a menos que se borre completamente. La versión de Windows Phone también parece verse afectada.

Este ataque podrá ser empleado por usuarios que quieran eliminar sus conversaciones enteras con otro usuario.

Según el investigador el problema se puede reproducir en la mayoría de las versiones de Android, incluyendo Marshmallow, Lollipop y Kitkat, y en la versión web en navegadores Firefox y Google Chrome.

El investigador ha publicado un vídeo en el que muestra el ataque

En la actualidad el problema está sin parchear y habrá que esperar una nueva actualización de WhatsApp que solucione este problema.


Más información:

una-al-dia (03/12/2014) Un mensaje puede detener tu WhatsApp

Whatsapp Crash V2 - crashing PC browser and mobile app


Antonio Ropero
Twitter: @aropero


martes, 22 de diciembre de 2015

Actualización de seguridad de Subversion

Apache ha publicado Subversion 1.8.15 y 1.9.3 destinadas a solucionar una vulnerabilidad que podrían permitir provocar denegaciones de servicio o posiblemente llegar a ejecutar código arbitrario.

Subversion es un sistema de control de versiones Open Source, que en la actualidad pertenece a la Apache Software Foundation. Utiliza el concepto de revisión para guardar los cambios producidos en el repositorio, además de proporcionar un entorno eficiente y muy flexible.

El problema, con CVE-2015-5343, reside en un desbordamiento de búfer basado en heap y una lectura fuera de límites provocada por un desbordamiento de entero al analizar cuerpos de peticiones skel-encoded. Esto podría permitir a atacantes con permisos de escritura en un repositorio provocar una denegación de servicio o posiblemente ejecutar código arbitrario bajo el contexto del proceso httpd. Los servidores con versiones 32-bits se ven afectados por ambos problemas, mientras que las versiones de servidor 64-bits solo son vulnerables a los ataques de denegación de servicio.

Apache ha publicado las versiones 1.8.15 y 1.9.3 que solucionan este problema, y otros fallos no relacionados con problemas de seguridad, disponibles desde:

Más Información:

[ANNOUNCE] Apache Subversion 1.8.15 released

[ANNOUNCE] Apache Subversion 1.9.3 released

Remotely triggerable heap overflow and out-of-bounds read in mod_dav_svn caused by integer overflow when parsing skel-encoded request bodies.

Version 1.8.15

Version 1.9.3


                                                                                                  
Antonio Ropero
Twitter: @aropero


lunes, 21 de diciembre de 2015

Mozilla publica Firefox 43 y corrige 22 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 43 de Firefox, junto con 16 boletines de seguridad destinados a solucionar 22 nuevas vulnerabilidades en el navegador.

Hace mes y medio que Mozilla publicó la versión 42 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. También publica Firefox ESR 38.5 (versión de soporte extendido) destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.

Por otra parte, se han publicado 16 boletines de seguridad (del MSFA-2015-134 al MSFA-2015-149). Cuatro de ellos están considerados críticos, siete de gravedad alta, dos importantes, tres moderados y dos de nivel bajo. En total se corrigen 22 nuevas vulnerabilidades en Firefox.

Las vulnerabilidades críticas residen en dos problemas (CVE-2015-7201 y CVE-2015-7202) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Otro fallo por un uso de memoria después de liberarla en WebRTC (CVE-2015-7210), una escalada de privilegios en APIs WebExtension (CVE-2015-7223) y un salto de la política de mismo origen al usar "data:" y "view-source:" que podrían permitir la lectura de datos de otros sitios y archivos locales (CVE-2015-7214).

Además, también se han corregido otras vulnerabilidades importantes como un subdesbordamiento de entero y desbordamiento de búfer al tratar metadatos MP4 en libstagefright (CVE-2015-7222), un desbordamiento de entero al reproducir MP4 en versiones 64 bits (CVE-2015-7213), vulnerabilidades de subdesbordamiento descubiertas a través de la inspección de código (CVE-2015-7205), un desbordamiento de entero al asignar texturas de gran tamaño (CVE-2015-7212) y problemas en la asignación de variables en Javascript (CVE-2015-7204).

Tras la publicación de Firefox 43.0, Mozilla ha lanzado la versión 43.0.1 con tan solo una mejora destinada a preparar el navegador para el uso de certificados firmados SHA-256.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Más información:

Firefox Notes
Version 43.0

Firefox Notes
Version 43.0.1

Mozilla Foundation Security Advisories

una-al-dia (04/11/2015) Firefox 42: la respuesta a 23 vulnerabilidades, la navegación privada y todo lo demás



Antonio Ropero
Twitter: @aropero

domingo, 20 de diciembre de 2015

Actualización del kernel para Red Hat Enterprise Linux 7

Red Hat ha publicado una actualización (considerada importante) del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa dos nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio en entornos virtuales.

Los problemas corregidos residen en x86 ISA (Instruction Set Architecture) puede verse afectado por un ataque de denegación de servicio dentro de un entorno virtualizado debido a un bucle infinito por el tratamiento de excepciones (CVE-2015-5307, CVE-2015-8104). Un usuario del sistema huésped podrá provocar denegaciones de servicio en el sistema anfitrión.

También se han corregido otros ocho fallos no relacionados directamente con problemas de seguridad.

Detalles sobre la aplicación de ésta actualización se encuentran disponibles en:

Más información:

Security Advisory Important: kernel security and bug fix update



Antonio Ropero
Twitter: @aropero

sábado, 19 de diciembre de 2015

Vulnerabilidad en cliente Symantec Endpoint Encryption permite el acceso a credenciales de usuario

Symantec ha confirmado una vulnerabilid en el cliente de Symantec Endpoint Encryption (SEE) que podría permitir a un atacante obtener un volcado del contenido de la memoria que puede incluir hasta las credenciales del usuario.

Symantec Endpoint Encryption, con tecnología PGP, proporciona a las organizaciones capacidades de cifrado de disco y soportes extraíbles. La administración permite implementaciones empresariales y ofrece elaboración de informes personalizables. Las capacidades de administración incluyen compatibilidad con cifrado de SO nativo (BitLocker y FileVault2) y unidades con autocifrado Opal.

La vulnerabilidad anunciada, con CVE-2015-6556, puede permitir a usuario autorizado aunque sin privilegios de un sistema con Symantec Endpoint Encryption instalado forzar y acceder a un volcado de la memoria del Servicio SEE Framework, EACommunicatorSrv.exe. Esto puede permitir conseguir las credenciales almacenadas en el cliente, como las credenciales del usuario del Dominio que protegen el servicio web SEEMS (SEE Management Server). Esto podría permitir a usuarios sin privilegios acceder a otros sistemas a través de servicios web.

Se ven afectadas las versiones Symantec Endpoint Encryption 11.0 (y anteriores). Symantec ha publicado la versión 11.1.0 que soluciona el problema, disponible desde Symantec File Connect.

Más información:

Security Advisories Relating to Symantec Products - Symantec Endpoint Encryption Client Memory Dump Information Disclosure




Antonio Ropero

Twitter: @aropero

viernes, 18 de diciembre de 2015

Actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) para corregir dos nuevas vulnerabilidades.

Esta nueva versión de Chrome 47.0.2526.106 está destinada a corregir dos problemas de seguridad encontrados a través del trabajo de seguridad interno (CVE-2015-6792). Según la clasificación de Google, uno de los fallos está considerado crítico y el otro de gravedad alta.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update



Antonio Ropero
Twitter: @aropero



jueves, 17 de diciembre de 2015

Múltiples vulnerabilidades en Samba

Se han confirmado siete vulnerabilidades en las versiones actuales de Samba, que podrían permitir a un atacante provocar condiciones de denegación de servicio, acceder a información sensible, realizar ataques de denegación de servicio, acceso no autorizado o ataques de hombre en el medio.

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

El primero de los problemas (con CVE-2015-3223) reside en una denegación de servicio al tratar paquetes enviados por un cliente malicioso. Afecta a las versiones de Samba desde la 4.0.0 a 4.3.2. Otra vulnerabilidad (CVE-2015-5252) en la verificación de enlaces simbólicos podría permitir a un cliente acceder a archivos fuera de la ruta del compartido exportado. Afecta a todas las versiones de Samba desde 3.0.0 a 4.3.2.

Se puede realizar un ataque de hombre en el medio debido a que no se asegura la negociación de la firma al crear una conexión cifrada entre cliente y servidor (CVE-2015-5296). También se ha anunciado un fallo en el control de acceso en el módulo "vfs_shadow_copy2" (CVE-2015-5299). Ambos problemas afectan a Samba 3.2.0 a 4.3.2.

Un cliente malicioso podría enviar paquetes que provocarían que el servidor LDAP devuelva memoria heap más allá del valor solicitado (CVE-2015-5330). Cuando Samba está configurado para operar como AD DC en el mismo dominio con un Controlador de Dominio Windows, podría emplearse para evitar la protección contra la vulnerabilidad de denegación de servicio corregida en el boletín MS15-096 (CVE-2015-8467, la vulnerabilidad corregida por Microsoft es CVE-2015-2535). Ambas vulnerabilidades afectan a las versiones de Samba desde la 4.0.0 a 4.3.2.

Por último, un cliente malicioso podría provocar una denegación de servicio remota por un consumo de todos los recursos de memoria (CVE-2015-7540). Afecta a las versiones de Samba 4.0.0 a 4.1.21.

Se han publicado parches para solucionar estas vulnerabilidades en
Adicionalmente, se han publicado las versiones Samba 4.3.3, 4.2.7 y 4.1.22 que corrigen los problemas.

Más información:

Denial of service in Samba Active Directory server.

Insufficient symlink verification in smbd.

Samba client requesting encryption vulnerable to downgrade attack.

Missing access control check in shadow copy code.

Remote memory read in Samba LDAP server.

Denial of service attack against Windows Active Directory server.

Remote DoS in Samba (AD) LDAP server.

Microsoft Security Bulletin MS15-096 - Important
Vulnerability in Active Directory Service Could Allow Denial of Service (3072595)

una-al-dia (09/09/2015) Microsoft publica 12 boletines de seguridad


Antonio Ropero
Twitter: @aropero