Microsoft acaba de publicar el boletín de seguridad MS10-070 con carácter importante, en el que se soluciona una vulnerabilidad en ASP.NET. Aunque la vulnerabilidad no es crítica Microsoft publica esta actualización con carácter de urgente debido a la importancia de la plataforma .net y la importancia del problema al permitir obtener información sensible del servidor.
Microsoft no suele publicar boletines fuera de ciclo para vulnerabilidades que no se consideren críticas, pero en esta ocasión, el problema afecta a millones de sitios web que hacen uso de las funciones de cifrado AES incluidas en ASP.NET para proteger la integridad de datos. Además estos datos de sesiones se usan en aplicaciones web de gran importancia como banca online, venta on-line y en general cualquier sitio web que precise de un login para identificarse.
La vulnerabilidad afecta a Microsoft. NET Framework v1.0 SP3, v1.1 SP1, v2.0 SP2, v3.5, v3.5 SP1, v3.5.1 y v4.0, para ASP.NET en Microsoft Internet Information Services (IIS). El problema existe en una falla al mostrar errores en ASP.NET. Un atacante remoto podría obtener información sensible (datos cifrados por el servidor) a través de múltiples peticiones que causen errores.
Como es costumbre la actualización publicada puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4357/comentar
miércoles, 29 de septiembre de 2010
Rogueware con diferentes estéticas, se hace pasar por varias marcas ficticias
Seguimos con la serie de vídeos sobre troyanos del tipo rogueware. El espécimen que presentan en el tercer vídeo simula un antivirus. Además de hacer sufrir las molestias "habituales" del rogueware, destaca por la cantidad de "skins" diferentes que existen para él.
Esta pieza simula ser varios antivirus que se camuflan bajo diferentes marcas ficticias. Así, encontramos un "Red Cross", "Peak Protection", "AntiSpaySafeguard", y "Pest Detector". Todos vienen de un primer rogueware que simulaba un análisis por parte de una herramienta muy similar a VirusTotal. Estos eran los únicos "antivirus" que detectaban la amenaza.
Invitamos al lector a visualizar el vídeo alojado en YouTube http://www.youtube.com/watch?v=1HsYpPN-aQE
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4356/comentar
Esta pieza simula ser varios antivirus que se camuflan bajo diferentes marcas ficticias. Así, encontramos un "Red Cross", "Peak Protection", "AntiSpaySafeguard", y "Pest Detector". Todos vienen de un primer rogueware que simulaba un análisis por parte de una herramienta muy similar a VirusTotal. Estos eran los únicos "antivirus" que detectaban la amenaza.
Invitamos al lector a visualizar el vídeo alojado en YouTube http://www.youtube.com/watch?v=1HsYpPN-aQE
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4356/comentar
Falla de regresión en el paquete git-core de Debian Lenny
Debian ha publicado una actualización del paquete git-core en el que se corrige un error de regresión que impide a los usuarios clonar un repositorio.
Git es el sistema usado para administrar el código fuente del núcleo Linux. De hecho fue Linus Torvalds quien comenzó el proyecto, debido en parte a las carencias que encontraba en otros sistemas de control de versiones.
El error introducido impide a los usuarios crear o clonar repositorios debido a los permisos, demasiado estrictos, asignados a las plantillas de git localizadas en: /usr/share/git-core.
En el código original se puede observar que tras obtener la longitud de la cadena en 'suspect' no se compara con el tamaño máximo del búfer reservado en 'path' y definido en 'PATH_MAX'.
char path[PATH_MAX];
size_t len = strlen(suspect);
strcpy(path, suspect);
Esto permite sobreescribir datos de la pila rebasando el tamaño definido en 'PATH_MAX' a través de 'suspect' que a su vez es inicializado con valor obtenido del archivo .git leido.
El parche incluye la comprobación del valor obtenido para evitar el desbordamiento:
char path[PATH_MAX];
size_t len = strlen(suspect);
if (PATH_MAX <= len + strlen("/objects"))
die("Too long path: %.*s", 60, suspect);
strcpy(path, suspect);
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4355/comentar
Git es el sistema usado para administrar el código fuente del núcleo Linux. De hecho fue Linus Torvalds quien comenzó el proyecto, debido en parte a las carencias que encontraba en otros sistemas de control de versiones.
El error introducido impide a los usuarios crear o clonar repositorios debido a los permisos, demasiado estrictos, asignados a las plantillas de git localizadas en: /usr/share/git-core.
En el código original se puede observar que tras obtener la longitud de la cadena en 'suspect' no se compara con el tamaño máximo del búfer reservado en 'path' y definido en 'PATH_MAX'.
char path[PATH_MAX];
size_t len = strlen(suspect);
strcpy(path, suspect);
Esto permite sobreescribir datos de la pila rebasando el tamaño definido en 'PATH_MAX' a través de 'suspect' que a su vez es inicializado con valor obtenido del archivo .git leido.
El parche incluye la comprobación del valor obtenido para evitar el desbordamiento:
char path[PATH_MAX];
size_t len = strlen(suspect);
if (PATH_MAX <= len + strlen("/objects"))
die("Too long path: %.*s", 60, suspect);
strcpy(path, suspect);
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4355/comentar
martes, 28 de septiembre de 2010
The Who - Happy Jack
Happy Jack
Autor: Pete Townshend
Editor: TRO-Essex Music, Inc. (ASCAP)
La grabación original fue producida por Kit Lambert en los estudios CBS, Londres el 10 de noviembre de 1966. Fue lanzada como sencillo el 3 de diciembre y alcanzó el #3 en las listas Británicas. Finalmente alcanzando el #24 en la lista de los 100 mejores. Fue lanzado en los E.E.U.U. el 18 de marzo de 1967.
Disfrútenlo, es un video muy divertido del grupo The Who
::Integrantes::
Roger Daltrey, cantante
John Entwistle, bajo
Pete Townshend, Guitarra
Keith Moon, el mejor baterista de todos los tiempos
Autor: Pete Townshend
Editor: TRO-Essex Music, Inc. (ASCAP)
La grabación original fue producida por Kit Lambert en los estudios CBS, Londres el 10 de noviembre de 1966. Fue lanzada como sencillo el 3 de diciembre y alcanzó el #3 en las listas Británicas. Finalmente alcanzando el #24 en la lista de los 100 mejores. Fue lanzado en los E.E.U.U. el 18 de marzo de 1967.
Disfrútenlo, es un video muy divertido del grupo The Who
::Integrantes::
Roger Daltrey, cantante
John Entwistle, bajo
Pete Townshend, Guitarra
Keith Moon, el mejor baterista de todos los tiempos
Denegación de servicio en Cisco Unified Communications Manager
Cisco acaba de confirmar una vulnerabilidad en Cisco Unified Communications Manager versiones 6.x, 7.x y 8.x que permite a un atacante remoto causar condiciones de denegación de servicio.
El problema existe en el tratamiento de mensajes SIP específicamente creados, de forma que el atacante provoca la interrupción de los servicios de voz.
Cisco ya ha publicado actualizaciones para corregir los problemas, mediante las versiones 6.1(5)SU1, 7.1(5b)SU2 y 8.0(3a).
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4354
El problema existe en el tratamiento de mensajes SIP específicamente creados, de forma que el atacante provoca la interrupción de los servicios de voz.
Cisco ya ha publicado actualizaciones para corregir los problemas, mediante las versiones 6.1(5)SU1, 7.1(5b)SU2 y 8.0(3a).
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4354
Vulnerabilidades en IBM DB2
IBM ha anunciado dos vulnerabilidades en DB2 (el popular gestor de base de datos de IBM). Un usuario remoto autenticado podría ejecutar sentencias o acceder a objetos sin los privilegios necesarios.
El primer problema permite a un usuario remoto autenticado sin privilegios acceder a una tabla y ejecutar comandos en caché para realizar una consulta. El segundo problema se produce cuando los privilegios de un objeto de la base de datos se revocan desde PUBLIC.
Los problemas afectan a las versiones anteriores a la 9.7 FP3.
Existen dos actualizaciones para corregir estos problemas, APAR IC70406 y APAR IC68015:
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70406
http://www-01.ibm.com/support/docview.wss?uid=swg1IC68015
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4353
El primer problema permite a un usuario remoto autenticado sin privilegios acceder a una tabla y ejecutar comandos en caché para realizar una consulta. El segundo problema se produce cuando los privilegios de un objeto de la base de datos se revocan desde PUBLIC.
Los problemas afectan a las versiones anteriores a la 9.7 FP3.
Existen dos actualizaciones para corregir estos problemas, APAR IC70406 y APAR IC68015:
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70406
http://www-01.ibm.com/support/docview.wss?uid=swg1IC68015
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4353
viernes, 24 de septiembre de 2010
CheckPoint: manual de un marketing irresponsable
Muchos especialistas han hablado de las técnicas desafortunadas usadas por ZoneAlarm para provocar la compra de su software. Hace unos días una ventana emergente sugería que el equipo estaba troyanizado con un malware altamente peligroso alertó a todos los usuarios de este firewall personal. Pero además CheckPoint (responsable del producto) ha resucitado en su página todos los tópicos de una publicidad engañosa, irresponsable y sobre todo anticuada.
En la ventana del firewall gratuito ZoneAlarm se podía leer "Global virus alert", "Your PC may be in danger" y alertaba sobre una amenaza muy peligrosa llamada Zeus.Zbot.aoaq. El lenguaje utilizado era tan deliberadamente ambiguo que el usuario podría pensar que se encontraba infectado. Se invitaba al cliente a comprar la licencia de la versión de pago. ZoneAlarm consiguió parecer más un rogueware que un motor antivirus serio. Tras las duras críticas, Checkpoint tuvo que aclarar la situación.
Kurt Wismer detectó que la publicidad engañosa y las malas artes se veían también en la página oficial de ZoneAlarm. Ya está retirada, pero todavía se puede consultar en la caché de Google.
http://webcache.googleusercontent.com/search?q=cache:TV-mkGmMkagJ:www.zonealarm.com/security/en-us/cdn/inclient/virus-alert.htm%3Fsource%3DInClient%2BMessage%26medium%3DZoneAlarm%2BFirewall%26term%3Dsee%2Bthreat%2Bdetails%2Blink%26cid%3DC300012
En Hispasec también se encuentra una copia de esta publicidad: http://blog.hispasec.com/laboratorio/images/ZoneAlarm.png
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4352
En la ventana del firewall gratuito ZoneAlarm se podía leer "Global virus alert", "Your PC may be in danger" y alertaba sobre una amenaza muy peligrosa llamada Zeus.Zbot.aoaq. El lenguaje utilizado era tan deliberadamente ambiguo que el usuario podría pensar que se encontraba infectado. Se invitaba al cliente a comprar la licencia de la versión de pago. ZoneAlarm consiguió parecer más un rogueware que un motor antivirus serio. Tras las duras críticas, Checkpoint tuvo que aclarar la situación.
Kurt Wismer detectó que la publicidad engañosa y las malas artes se veían también en la página oficial de ZoneAlarm. Ya está retirada, pero todavía se puede consultar en la caché de Google.
http://webcache.googleusercontent.com/search?q=cache:TV-mkGmMkagJ:www.zonealarm.com/security/en-us/cdn/inclient/virus-alert.htm%3Fsource%3DInClient%2BMessage%26medium%3DZoneAlarm%2BFirewall%26term%3Dsee%2Bthreat%2Bdetails%2Blink%26cid%3DC300012
En Hispasec también se encuentra una copia de esta publicidad: http://blog.hispasec.com/laboratorio/images/ZoneAlarm.png
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4352
Diversas vulnerabilidades en dispositivos Cisco
Cisco anuncio cinco vulnerabilidades diferentes de denegación de servicio remoto en dispositivos con firmware Cisco IOS.
El primero de los problemas existe en la funcionalidad SSL VPN al configurarse con una redirección HTTP, que podrían perder bloques de control de transmisión (TCBs) al procesar una desconexión SSL anormal.
La segunda vulnerabilidad es provocada por un error en Network Address Translation (NAT) al trasladar paquetes SIP, H.323 o H.225.0, que provoca el reinicio de los dispositivos vulnerables.
Las otras fallas se presentan en las implementaciones de H.323 y de IGMP (Internet Group Management Protocol) versión 3; y en el tratamiento de mensajes SIP (Session Initiation Protocol) al procesar paquetes o mensajes específicamente construidos para éste fin.
Las versiones afectadas son Cisco IOS 12.x, 15.x y Cisco IOS XE 2.x. Se aconseja consultar la tabla de versiones vulnerables y contramedidas en los avisos publicados por Cisco.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4351
El primero de los problemas existe en la funcionalidad SSL VPN al configurarse con una redirección HTTP, que podrían perder bloques de control de transmisión (TCBs) al procesar una desconexión SSL anormal.
La segunda vulnerabilidad es provocada por un error en Network Address Translation (NAT) al trasladar paquetes SIP, H.323 o H.225.0, que provoca el reinicio de los dispositivos vulnerables.
Las otras fallas se presentan en las implementaciones de H.323 y de IGMP (Internet Group Management Protocol) versión 3; y en el tratamiento de mensajes SIP (Session Initiation Protocol) al procesar paquetes o mensajes específicamente construidos para éste fin.
Las versiones afectadas son Cisco IOS 12.x, 15.x y Cisco IOS XE 2.x. Se aconseja consultar la tabla de versiones vulnerables y contramedidas en los avisos publicados por Cisco.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4351
jueves, 23 de septiembre de 2010
Actualización de seguridad para Flash Player
Adobe ha publicado una actualización destinada a corregir una vulnerabilidad crítica en Flash Player versión 10.1.82.76 para Windows, Macintosh, Linux y Solaris y en su versión 10.1.92.10 para Android. La vulnerabilidad también afecta a Adobe Reader 9.3.4 para Windows, Macintosh y UNIX; y a Adobe Acrobat 9.3.4 para Windows y Macintosh.
La vulnerabilidad provoca la caída del sistema y potencialmente permite a un atacante tomar el control de los sistemas afectados. El problema puede llegar a permitir la ejecución remota de código arbitrario al tratar contenido Flash o contenido Multimedia dentro de documentos PDF.
Se les recomienda la actualización a la versión 10.1.85.3. Y a los usuarios de Android actualizar a la versión 10.1.95.1.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4350
La vulnerabilidad provoca la caída del sistema y potencialmente permite a un atacante tomar el control de los sistemas afectados. El problema puede llegar a permitir la ejecución remota de código arbitrario al tratar contenido Flash o contenido Multimedia dentro de documentos PDF.
Se les recomienda la actualización a la versión 10.1.85.3. Y a los usuarios de Android actualizar a la versión 10.1.95.1.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4350
miércoles, 22 de septiembre de 2010
Actualización de seguridad para Mac OS X
Apple acaba de lanzar una nueva actualización de seguridad para su sistema operativo OS X 10.6.4 que solventa una vulnerabilidad en el servicio AFP.
Esta es la sexta actualización del año, y en esta ocasión solo se ve afectado el servicio AFP. La falla permite a un atacante evitar la validación de contraseña y acceder a las carpetas compartidas.
Las actualizaciones pueden ser instaladas a través de Software Update o, según versión y plataforma, descargándolas directamente desde: http://support.apple.com/downloads/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4349
Esta es la sexta actualización del año, y en esta ocasión solo se ve afectado el servicio AFP. La falla permite a un atacante evitar la validación de contraseña y acceder a las carpetas compartidas.
Las actualizaciones pueden ser instaladas a través de Software Update o, según versión y plataforma, descargándolas directamente desde: http://support.apple.com/downloads/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4349
martes, 21 de septiembre de 2010
Error de regresión en el kernel Linux
El investigador de seguridad Ben Hawkes dio con algo que llamó su atención: En el 2007 fue publicada una vulnerabilidad que permitía elevar privilegios en el kernel Linux de 64 bits. El problema residía en el archivo 'arch/x86_64/ia32/ia32entry.S', dentro de un procedimiento para emular las llamadas de la arquitectura de 32 bits.
Este procedimiento usa el registro eax como índice a una tabla donde están las llamadas del sistema correspondientes a IA32 y comprueba que eax está dentro de los límites de la tabla llamando a la macro
IA32_ARG_FIXUP que realizará una conversión de registros de 64 bits a registros de 32.
Esta falla descubierta por Wojciech Purczynski, fue corregida añadiendo la macro LOAD_ARGS32 para cargar de manera segura los registros previniendo su explotación. En su momento fue publicado el exploit correspondiente y se asignó el CVE-2007-4573 a la vulnerabilidad.
Lo que Ben Hawkes encontró fue que en las nuevas versiones del kernel, los desarroladores habían eliminado una linea concreta de la macro LOAD_ARGS32: "movl \offset+72(%rsp),%eax". Lo curioso es que se trata de la que efectuaba una asignación segura del valor de 'eax'.
La falla ha sido nuevamente corregida y asignada el CVE-2010-3301.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4348
Este procedimiento usa el registro eax como índice a una tabla donde están las llamadas del sistema correspondientes a IA32 y comprueba que eax está dentro de los límites de la tabla llamando a la macro
IA32_ARG_FIXUP que realizará una conversión de registros de 64 bits a registros de 32.
Esta falla descubierta por Wojciech Purczynski, fue corregida añadiendo la macro LOAD_ARGS32 para cargar de manera segura los registros previniendo su explotación. En su momento fue publicado el exploit correspondiente y se asignó el CVE-2007-4573 a la vulnerabilidad.
Lo que Ben Hawkes encontró fue que en las nuevas versiones del kernel, los desarroladores habían eliminado una linea concreta de la macro LOAD_ARGS32: "movl \offset+72(%rsp),%eax". Lo curioso es que se trata de la que efectuaba una asignación segura del valor de 'eax'.
La falla ha sido nuevamente corregida y asignada el CVE-2010-3301.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4348
Actualización de Google Chrome
Google ha publicado la versión 6.0.472.62 de su navegador Chrome para corregir varias vulnerabilidades e incluye una actualización crítica del complemento para Flash.
Las vulnerabilidades corregidas son:
Calificado con nivel 'Alto', se corrige un problema de conversión sobre datos con formato SVG malformado.
Otra falla "crítica" en el manejo de búferes en la implementación del protocolo SPDY.
La última falla calificada de 'Alta', ha sido descubierto por Stefano Di Paola y permite manipular la política de mismo origen del navegador.
Respecto a la actualización del plugin Flash, se trata de la vulnerabilidad documentada en el CVE-2010-2884 que podría permitir a un atacante remoto ejecutar código arbitrario.
La nueva versión de Google Chrome está disponible desde el mismo navegador o desde la página web de Chrome.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4347
Las vulnerabilidades corregidas son:
Calificado con nivel 'Alto', se corrige un problema de conversión sobre datos con formato SVG malformado.
Otra falla "crítica" en el manejo de búferes en la implementación del protocolo SPDY.
La última falla calificada de 'Alta', ha sido descubierto por Stefano Di Paola y permite manipular la política de mismo origen del navegador.
Respecto a la actualización del plugin Flash, se trata de la vulnerabilidad documentada en el CVE-2010-2884 que podría permitir a un atacante remoto ejecutar código arbitrario.
La nueva versión de Google Chrome está disponible desde el mismo navegador o desde la página web de Chrome.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4347
Rogueware bloquea todos los ejecutables y utiliza descripciones de virus históricos realizadas por Kaspersky
Siguiendo con la serie de vídeos sobre troyanos del tipo rogueware, El espécimen que se presenta en el segundo vídeo resulta especialmente molesto para el usuario infectado, ya que bloquea toda ejecución de cualquier programa, advirtiendo de que el archivo está infectado por nombres y descripciones reales de virus, tomados de Kaspersky.
Esta pieza simula ser un antivirus llamado "Security Tool". Bloquea la ejecución de todos los programas del sistema incluso de sí mismo exceptuando Internet Explorer. Esto implica que no es posible utilizar el administrador de tareas, lo que hace más "complejo" el poder deshacerse de él. Otro dato interesante es que utiliza nombres y descripciones de virus reales.
El video se encuentra en http://www.youtube.com/watch?v=7mw80Ms1iRo
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4346
Esta pieza simula ser un antivirus llamado "Security Tool". Bloquea la ejecución de todos los programas del sistema incluso de sí mismo exceptuando Internet Explorer. Esto implica que no es posible utilizar el administrador de tareas, lo que hace más "complejo" el poder deshacerse de él. Otro dato interesante es que utiliza nombres y descripciones de virus reales.
El video se encuentra en http://www.youtube.com/watch?v=7mw80Ms1iRo
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4346
SAP, otro más con actualizaciones programadas
SAP se une al sistema de actualizaciones de seguridad programadas. A partir de ahora serán publicadas el segundo martes de cada mes. Como Microsoft, Oracle, Adobe y Cisco.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4344/comentar
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4344/comentar
Boletines de seguridad de Microsoft en septiembre
El martes pasado Microsoft publicó nueve boletines de seguridad correspondientes a su ciclo habitual de
actualizaciones. Según Microsoft cuatro de los boletines presentan un nivel de gravedad "crítico", mientras que los cinco restantes son clasificados como "importantes".
Los boletines "críticos" son:
* MS10-061: Actualización para corregir una vulnerabilidad en el servicio de administrador de trabajos de impresión de Windows. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.
* MS10-062: Se trata de una actualización destinada a solucionar una vulnerabilidad en el codec MPEG-4 que permite la ejecución remota de código si el usuario abre un archivo multimedia específicamente diseñado. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.
* MS10-063: Actualización para corregir una vulnerabilidad en el procesador de scripts Unicode, de forma que podría permitir la ejecución remota de código si un usuario consulta un documento especialmente diseñado con una aplicación que admita fuentes OpenType incrustadas. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.
* MS10-064: Boletín destinado a corregir Microsoft Outlook en las configuraciones en las que se conecta a un servidor de Exchange en el modo en línea. Afecta a Microsoft Outlook 2002, 2003 y 2007.
Los boletines clasificados como "importantes" son:
* MS10-065: Actualización para corregir tres vulnerabilidades, la más grave de ellas permite la ejecución remota de código con elevación de privilegios, en Internet Information Services (IIS). Afecta a IIS 5.1, 6.0, 7.0 y 7.5.
* MS10-066: Actualización para corregir una vulnerabilidad en RPC que podría permitir la ejecución remota de código en Windows XP y Windows Server 2003.
* MS10-067 Actualización para evitar una vulnerabilidad en los conversores de texto de WordPad. Afecta a Windows XP y Windows Server 2003.
* MS10-068: Actualización de seguridad resuelve una vulnerabilidad de elevación de privilegios en Active Directory, Active Directory Application Mode (ADAM) y servicio de directorio ligero de Active
Directory (AD LDS).
* MS10-069: Boletín destinado a corregir una vulnerabilidad de elevación de privilegios en CSRSS (Client/Server Runtime Subsystem). Solo se ven afectados los sistemas con configuración regional en chino, japonés o coreano.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4343/comentar
actualizaciones. Según Microsoft cuatro de los boletines presentan un nivel de gravedad "crítico", mientras que los cinco restantes son clasificados como "importantes".
Los boletines "críticos" son:
* MS10-061: Actualización para corregir una vulnerabilidad en el servicio de administrador de trabajos de impresión de Windows. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.
* MS10-062: Se trata de una actualización destinada a solucionar una vulnerabilidad en el codec MPEG-4 que permite la ejecución remota de código si el usuario abre un archivo multimedia específicamente diseñado. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.
* MS10-063: Actualización para corregir una vulnerabilidad en el procesador de scripts Unicode, de forma que podría permitir la ejecución remota de código si un usuario consulta un documento especialmente diseñado con una aplicación que admita fuentes OpenType incrustadas. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.
* MS10-064: Boletín destinado a corregir Microsoft Outlook en las configuraciones en las que se conecta a un servidor de Exchange en el modo en línea. Afecta a Microsoft Outlook 2002, 2003 y 2007.
Los boletines clasificados como "importantes" son:
* MS10-065: Actualización para corregir tres vulnerabilidades, la más grave de ellas permite la ejecución remota de código con elevación de privilegios, en Internet Information Services (IIS). Afecta a IIS 5.1, 6.0, 7.0 y 7.5.
* MS10-066: Actualización para corregir una vulnerabilidad en RPC que podría permitir la ejecución remota de código en Windows XP y Windows Server 2003.
* MS10-067 Actualización para evitar una vulnerabilidad en los conversores de texto de WordPad. Afecta a Windows XP y Windows Server 2003.
* MS10-068: Actualización de seguridad resuelve una vulnerabilidad de elevación de privilegios en Active Directory, Active Directory Application Mode (ADAM) y servicio de directorio ligero de Active
Directory (AD LDS).
* MS10-069: Boletín destinado a corregir una vulnerabilidad de elevación de privilegios en CSRSS (Client/Server Runtime Subsystem). Solo se ven afectados los sistemas con configuración regional en chino, japonés o coreano.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4343/comentar
Se descubre otro 0 day en Adobe Acrobat
Ya no es noticia cuando se descubre un problema de seguridad en los gestores de PDF de Adobe previamente desconocido y siendo aprovechado por los atacantes. Esta última falla de seguridad destaca porque es muy sofisticada, elude las protecciones de los últimos Windows, y además está firmado digitalmente.
Se trata de un desbordamiento de memoria intermedia al realizar una llamada a la función strcat en la libraría
CoolType.dll y permite a un atacante ejecutar código en el sistema si se abre un archivo PDF que utilice un tipo de letra manipulada. La falla está siendo aprovechada por atacantes en estos momentos y Adobe ya lo ha reconocido. La propia compañía confirma que no hay parche ni contramedida propia disponible. Lo que si es que ha actualizado su alerta para indicar que, gracias a Microsoft's Enhanced Mitigation Evaluation Toolkit (EMET) es posible bloquear el ataque.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4342/comentar
Se trata de un desbordamiento de memoria intermedia al realizar una llamada a la función strcat en la libraría
CoolType.dll y permite a un atacante ejecutar código en el sistema si se abre un archivo PDF que utilice un tipo de letra manipulada. La falla está siendo aprovechada por atacantes en estos momentos y Adobe ya lo ha reconocido. La propia compañía confirma que no hay parche ni contramedida propia disponible. Lo que si es que ha actualizado su alerta para indicar que, gracias a Microsoft's Enhanced Mitigation Evaluation Toolkit (EMET) es posible bloquear el ataque.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4342/comentar
Actualización del kernel para OpenSUSE
Existe una actualización del kernel para OpenSUSE 11.3 a la versión 2.6.34.4, en la que se corrigen cinco vulnerabilidades locales de denegación de servicio y de elevación de privilegios.
Los problemas corregidos están relacionados con la interfaz novfs /proc del Cliente Novell, con el servidor CIFS y con los sistemas de archivos gfs2 y btrfs.
Se recomienda actualizar la versión del kernel, disponible a través de la herramienta automática YaST Online Update (YOU).
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4341/comentar
Los problemas corregidos están relacionados con la interfaz novfs /proc del Cliente Novell, con el servidor CIFS y con los sistemas de archivos gfs2 y btrfs.
Se recomienda actualizar la versión del kernel, disponible a través de la herramienta automática YaST Online Update (YOU).
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4341/comentar
Dos vulnerabilidades en HP Data Protector Express
HP ha confirmado dos vulnerabilidades en HP Data Protector Express, que permiten a usuarios locales provocar denegaciones de servicio o elevar sus privilegios en los sistemas afectados.
Para variar HP no ha facilitado detalles concretos sobre los problemas, pero sí se ha confirmado que afectan a las siguientes versiones bajo plataformas Windows, Linux y Novell NetWare:
HP Data Protector Express 3.x y HP Data Protector Express SSE 3.x anteriores a la build 56936 HP Data Protector Express 4.x y HP Data Protector Express SSE 4.x anteriores a la build 56906
Se recomienda actualizar a la versión 3.5 SP2 build 56936 o posterior o a la 4.0 SP1 build 56906 o posterior.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4340
Para variar HP no ha facilitado detalles concretos sobre los problemas, pero sí se ha confirmado que afectan a las siguientes versiones bajo plataformas Windows, Linux y Novell NetWare:
HP Data Protector Express 3.x y HP Data Protector Express SSE 3.x anteriores a la build 56936 HP Data Protector Express 4.x y HP Data Protector Express SSE 4.x anteriores a la build 56906
Se recomienda actualizar a la versión 3.5 SP2 build 56936 o posterior o a la 4.0 SP1 build 56906 o posterior.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4340
Vulnerabilidades en Cisco Wireless LAN Controllers
Cisco ha publicado una actualización que solventa siete vulnerabilidades en Cisco Wireless LAN Controllers (WLCs) que podrían permitir a un atacante remoto escalar privilegios, causar una denegación de servicio o evitar las listas de control de acceso.
Los problemas que se corrigen consisten en dos vulnerabilidades de denegación de servicio provocadas por paquetes IKE y http maliciosos, tres vulnerabilidades de escalada de privilegios y por último dos vulnerabilidades que permiten a un atacante evitar las políticas impuestas en Listas de Control de Acceso (ACLs). Cada una de estas vulnerabilidades son independientes una de otra, un dispositivo puede estar afectado por una vulnerabilidad pero no por otra.
Cisco ha puesto a disposición de sus clientes soluciones para solventar el problema. Dada la diversidad de problemas y versiones afectadas se aconseja consultar la tabla de versiones vulnerables y contramedidas en: http://www.cisco.com/warp/public/707/cisco-sa-20100908-wlc.shtml
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4339
Los problemas que se corrigen consisten en dos vulnerabilidades de denegación de servicio provocadas por paquetes IKE y http maliciosos, tres vulnerabilidades de escalada de privilegios y por último dos vulnerabilidades que permiten a un atacante evitar las políticas impuestas en Listas de Control de Acceso (ACLs). Cada una de estas vulnerabilidades son independientes una de otra, un dispositivo puede estar afectado por una vulnerabilidad pero no por otra.
Cisco ha puesto a disposición de sus clientes soluciones para solventar el problema. Dada la diversidad de problemas y versiones afectadas se aconseja consultar la tabla de versiones vulnerables y contramedidas en: http://www.cisco.com/warp/public/707/cisco-sa-20100908-wlc.shtml
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4339
Novedades en VirusTotal: VTzilla
El 17 de Agosto se publicó en Una-al-día una serie de novedades en VirusTotal (http://www.virustotal.com/). Se comprometieron en describir en mayor profundidad dichas novedades, que no eran pocas. Esperan que esto sirva para recibir sugerencias por parte de la comunidad y mejorar las modificaciones que se ponen en marcha.
VTzilla, una extensión para Firefox que se presentó hace 3 semanas con la siguiente descripción:
"Extensión para Firefox: se ha desarrollado una extensión para el navegador Mozilla Firefox que permite analizar enlaces con tan sólo un click derecho de ratón, escanear ficheros previa descarga por el navegador y consultar hashes y URLs en la base de datos de VirusTotal con una sencilla barra de herramientas."
Una extensión es una pequeña aplicación que amplía la funcionalidad de serie del navegador. Por ejemplo, tiene mucha fama entre los desarrolladores web la extensión Firebug para Firefox, que permite jugar con el DOM (Document Object Model) de una página, ver las llamdas AJAX que ésta hace, editar el CSS de la página, etc.
Las extensiones tienen acceso completo (no restringido) al DOM de una página, no están sujetas a las restricciones de "Same origin policy" a las que están sujetas las webs, y pueden interactuar con el registro
(en caso de equipos Windows) o sistema de archivos con los mismos privilegios que lo hace el navegador. Dado que cada vez más trámites que involucran dinero (banca electrónica, comercio online, etc.) se realizan con el navegador, muchos creadores de malware también se han basado en las extensiones para interceptar las credenciales, patrones de navegación, etc.
En éste caso se presenta una extensión con fines bien distintos. Se trata de una pequeña utilidad que facilita la interacción con VirusTotal. En primer lugar VTzilla añade una opción (escanear con VirusTotal) al menú contextual de Firefox que aparece cuando se hace clic con el botón derecho del ratón sobre cualquier enlace de una página. Esto permite enviar directamente la URL a la que apunta el enlace al analizador de URLs de VirusTotal. El analizador escanea con diversas herramientas de análisis de URLs la página y a su vez descarga la respuesta del servidor (html, ejecutables, etc.) y la analiza con el motor de análisis de binarios.
Para futuras versiones de VTzilla tienen pensado añadir la posibilidad de que los binarios se descarguen a la máquina local y luego se suban a VirusTotal, añade un paso innecesario pero evitaría muchos problemas. También están trabajando en extensiones equivalentes para Google Chrome e Internet Explorer.
La extensión puede descargarse desde la pestaña "Browser Addons" de http://www.virustotal.com/advanced.html.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4338/comentar
VTzilla, una extensión para Firefox que se presentó hace 3 semanas con la siguiente descripción:
"Extensión para Firefox: se ha desarrollado una extensión para el navegador Mozilla Firefox que permite analizar enlaces con tan sólo un click derecho de ratón, escanear ficheros previa descarga por el navegador y consultar hashes y URLs en la base de datos de VirusTotal con una sencilla barra de herramientas."
Una extensión es una pequeña aplicación que amplía la funcionalidad de serie del navegador. Por ejemplo, tiene mucha fama entre los desarrolladores web la extensión Firebug para Firefox, que permite jugar con el DOM (Document Object Model) de una página, ver las llamdas AJAX que ésta hace, editar el CSS de la página, etc.
Las extensiones tienen acceso completo (no restringido) al DOM de una página, no están sujetas a las restricciones de "Same origin policy" a las que están sujetas las webs, y pueden interactuar con el registro
(en caso de equipos Windows) o sistema de archivos con los mismos privilegios que lo hace el navegador. Dado que cada vez más trámites que involucran dinero (banca electrónica, comercio online, etc.) se realizan con el navegador, muchos creadores de malware también se han basado en las extensiones para interceptar las credenciales, patrones de navegación, etc.
En éste caso se presenta una extensión con fines bien distintos. Se trata de una pequeña utilidad que facilita la interacción con VirusTotal. En primer lugar VTzilla añade una opción (escanear con VirusTotal) al menú contextual de Firefox que aparece cuando se hace clic con el botón derecho del ratón sobre cualquier enlace de una página. Esto permite enviar directamente la URL a la que apunta el enlace al analizador de URLs de VirusTotal. El analizador escanea con diversas herramientas de análisis de URLs la página y a su vez descarga la respuesta del servidor (html, ejecutables, etc.) y la analiza con el motor de análisis de binarios.
Para futuras versiones de VTzilla tienen pensado añadir la posibilidad de que los binarios se descarguen a la máquina local y luego se suban a VirusTotal, añade un paso innecesario pero evitaría muchos problemas. También están trabajando en extensiones equivalentes para Google Chrome e Internet Explorer.
La extensión puede descargarse desde la pestaña "Browser Addons" de http://www.virustotal.com/advanced.html.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4338/comentar
Actualización de seguridad de Apple Safari
Apple ha publicado una actualización de seguridad para Safari (versiones 4.1.2 y 5.0.2) que solventan diversas vulnerabilidades que pueden ser aprovechadas por un atacante remoto para lograr el
compromiso de los sistemas afectados.
Se corrigen un total de tres vulnerabilidades, relacionadas con la ruta en la que se graban los archivos descargados, un error de validación de entradas en el tratamiento de WebKit y por último un error en WebKit al usar un puntero tras liberarlo.
Se recomienda actualizar a la versión 4.1.2 o 5.0.2 de Safari para Mac OS X o Windows disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde: http://www.apple.com/safari/download/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4337
compromiso de los sistemas afectados.
Se corrigen un total de tres vulnerabilidades, relacionadas con la ruta en la que se graban los archivos descargados, un error de validación de entradas en el tratamiento de WebKit y por último un error en WebKit al usar un puntero tras liberarlo.
Se recomienda actualizar a la versión 4.1.2 o 5.0.2 de Safari para Mac OS X o Windows disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde: http://www.apple.com/safari/download/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4337
Boletines de seguridad de la Fundación Mozilla
La Fundación Mozilla ha publicado 15 boletines de seguridad para solucionar diversas vulnerabilidades en productos Mozilla: Firefox, Thunderbird y SeaMonkey. Según Mozilla diez de los boletines presentan un nivel de gravedad "crítico", dos son de carácter "alto", otro es "moderado" y dos últimos considerados como "bajos".
Los boletines publicados son:
* MFSA 2010-63: Boletín de gravedad baja, en el que se trata una fuga de información a través de statusText en XMLHttpRequest.
* MFSA 2010-62: Este boletín moderado, trata una vulnerabilidad de cross site scripting al copiar y pegar o arrastrar y soltar en un documento designMode.
* MFSA 2010-61: Boletín de gravedad alto. Salto de los filtros XSS al inyectar JavaScript codificado UTF-7 mediante el uso de etiquetas <object>
* MFSA 2010-60: Boletín de carácter alto, relacionado con un cross site scripting en el uso de SJOW. Sólo afecta a Firefox 3.5.12 y Thunderbird 3.0.7.
* MFSA 2010-59: Boletín de carácter crítico, relacionado con que SJOW crea cadenas que terminan en un objeto externo.
* MFSA 2010-58: Boletín de carácter crítico. Fuentes especialmente construidas pueden aplicarse a un documento y provocar la caída (con posibilidad de ejecución de código arbitrario) en sistemas Mac.
* MFSA 2010-57: Boletín crítico. Ejecución remota de código en normalizeDocument.
* MFSA 2010-56: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en nsTreeContentView.
* MFSA 2010-55: Este boletín es de gravedad baja (aunque crítico en Gecko 1.9.1 y anteriores). El borrado del árbol XUL puede provocar la caída de la aplicación, y en función de la versión podría permitir la ejecución de código remoto.
* MFSA 2010-54: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en nsTreeSelection.
* MFSA 2010-53: Boletín de carácter critico por un desbordamiento de búfer en nsTextFrameUtils::TransformText.
* MFSA 2010-52: Vulnerabilidad considerada crítica en la carga de dll en Windows XP.
* MFSA 2010-51: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en el uso del plugin de array DOM.
* MFSA 2010-50: Boletín considerado como crítico, trata de un desbordamiento de entero en el Frameset.
* MFSA 2010-49: Boletín de carácter crítico, trata de diversos problemas relacionados con el uso de la memoria del motor del navegador.
Se han publicado las versiones 3.6.9 y 3.5.12 del navegador Firefox, las versiones 3.1.3 y 3.0.7 de Thunderbird y la 2.0.7 de SeaMonkey; que corrigen todas estas vulnerabilidades, disponibles desde:
http://www.mozilla-europe.org/es/firefox/
http://www.mozillamessaging.com/es-ES/thunderbird/
http://www.seamonkey-project.org/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4336
Los boletines publicados son:
* MFSA 2010-63: Boletín de gravedad baja, en el que se trata una fuga de información a través de statusText en XMLHttpRequest.
* MFSA 2010-62: Este boletín moderado, trata una vulnerabilidad de cross site scripting al copiar y pegar o arrastrar y soltar en un documento designMode.
* MFSA 2010-61: Boletín de gravedad alto. Salto de los filtros XSS al inyectar JavaScript codificado UTF-7 mediante el uso de etiquetas <object>
* MFSA 2010-60: Boletín de carácter alto, relacionado con un cross site scripting en el uso de SJOW. Sólo afecta a Firefox 3.5.12 y Thunderbird 3.0.7.
* MFSA 2010-59: Boletín de carácter crítico, relacionado con que SJOW crea cadenas que terminan en un objeto externo.
* MFSA 2010-58: Boletín de carácter crítico. Fuentes especialmente construidas pueden aplicarse a un documento y provocar la caída (con posibilidad de ejecución de código arbitrario) en sistemas Mac.
* MFSA 2010-57: Boletín crítico. Ejecución remota de código en normalizeDocument.
* MFSA 2010-56: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en nsTreeContentView.
* MFSA 2010-55: Este boletín es de gravedad baja (aunque crítico en Gecko 1.9.1 y anteriores). El borrado del árbol XUL puede provocar la caída de la aplicación, y en función de la versión podría permitir la ejecución de código remoto.
* MFSA 2010-54: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en nsTreeSelection.
* MFSA 2010-53: Boletín de carácter critico por un desbordamiento de búfer en nsTextFrameUtils::TransformText.
* MFSA 2010-52: Vulnerabilidad considerada crítica en la carga de dll en Windows XP.
* MFSA 2010-51: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en el uso del plugin de array DOM.
* MFSA 2010-50: Boletín considerado como crítico, trata de un desbordamiento de entero en el Frameset.
* MFSA 2010-49: Boletín de carácter crítico, trata de diversos problemas relacionados con el uso de la memoria del motor del navegador.
Se han publicado las versiones 3.6.9 y 3.5.12 del navegador Firefox, las versiones 3.1.3 y 3.0.7 de Thunderbird y la 2.0.7 de SeaMonkey; que corrigen todas estas vulnerabilidades, disponibles desde:
http://www.mozilla-europe.org/es/firefox/
http://www.mozillamessaging.com/es-ES/thunderbird/
http://www.seamonkey-project.org/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4336
Dos vulnerabilidades en el agente de HP Operations
HP ha confirmado dos vulnerabilidades en el Agente de HP Operations, que permite a un atacante lograr comprometer los sistemas afectados.
Los problemas afectan a las versiones del Agente 7.36 y 8.6 bajo plataforma Windows, y los CVE asignados son CVE-2010-3004 y CVE-2010-3005. Un usuario local elevaría sus privilegios y un
atacante remoto podría ejecutar código arbitrario en los sistemas afectado. Aunque HP no ha facilitado más información sobre los problemas.
Se han publicado las siguientes actualizaciones para evitar estos problemas:
Para el agente de HP Operations v7.36 los hotfixes: QCCR1A106920 y QCCR1A106834.
Para el agente de HP Operations v8.6 los hotfixes: QCCR1A106558 y QCCR1A106917.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4335
Los problemas afectan a las versiones del Agente 7.36 y 8.6 bajo plataforma Windows, y los CVE asignados son CVE-2010-3004 y CVE-2010-3005. Un usuario local elevaría sus privilegios y un
atacante remoto podría ejecutar código arbitrario en los sistemas afectado. Aunque HP no ha facilitado más información sobre los problemas.
Se han publicado las siguientes actualizaciones para evitar estos problemas:
Para el agente de HP Operations v7.36 los hotfixes: QCCR1A106920 y QCCR1A106834.
Para el agente de HP Operations v8.6 los hotfixes: QCCR1A106558 y QCCR1A106917.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4335
Rogueware utiliza la filosofía de Virustotal para que la víctima escoja su "troyano"
Virustotal va a realizar una serie de vídeos sobre troyanos del tipo rogueware, con casos que resulten curiosos o llamativos. El espécimen que presentan en el primer vídeo utiliza la filosofía de una especie de analizador de malware online, donde solo otros rogueware detectan un hipotético troyano, mientras que los antivirus legítimos no.
El rogueware se ha convertido en toda una especialidad dentro del malware. Se trata de troyanos que imitan antivirus u otro tipo de software con el fin de robar a la víctima que queda infectada, obligándola a pagar con su tarjeta de crédito por un producto inútil. Habitualmente asustan al infectado con mensajes de infecciones ficticias.
Su éxito está animando a los creadores a fabricar piezas cada día más sofisticadas, con un estilo muy parecido a cualquier antivirus profesional.
El video se encuentra en la siguiente dirección: http://www.youtube.com/watch_popup?v=TqVm-BP2X00
Curiosidades:
* El troyano puede llegar al usuario por cualquier medio: vulnerabilidad, ejecución directa, etc.
* Se vale de una página web que simula un análisis online de un supuesto troyano que no puede desinfectar en local.
* En la simulación, solo los falsos antivirus (frente a los legítimos) lo detectarán. Esto incitará al infectado a descargar a su vez otro rogueware.
En las próximas semanas se publicarán otros ejemplos de este tipo de malware, incluyendo algunos ejemplos de los que se pueden descargar.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4333
El rogueware se ha convertido en toda una especialidad dentro del malware. Se trata de troyanos que imitan antivirus u otro tipo de software con el fin de robar a la víctima que queda infectada, obligándola a pagar con su tarjeta de crédito por un producto inútil. Habitualmente asustan al infectado con mensajes de infecciones ficticias.
Su éxito está animando a los creadores a fabricar piezas cada día más sofisticadas, con un estilo muy parecido a cualquier antivirus profesional.
El video se encuentra en la siguiente dirección: http://www.youtube.com/watch_popup?v=TqVm-BP2X00
Curiosidades:
* El troyano puede llegar al usuario por cualquier medio: vulnerabilidad, ejecución directa, etc.
* Se vale de una página web que simula un análisis online de un supuesto troyano que no puede desinfectar en local.
* En la simulación, solo los falsos antivirus (frente a los legítimos) lo detectarán. Esto incitará al infectado a descargar a su vez otro rogueware.
En las próximas semanas se publicarán otros ejemplos de este tipo de malware, incluyendo algunos ejemplos de los que se pueden descargar.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4333
Actualización del kernel para SuSE Linux Enterprise 10
Se ha publicado la actualización del kernel para SuSE Linux Enterprise Server y Desktop en su versión 10 SP3 en la que se corrigen dos vulnerabilidades de denegación de servicio.
Uno de los problemas corregidos se refiere a que la pila de procesos puede crecer hasta sobreescribir otras áreas mapeadas, esto podría provocar la terminación del proceso. El segundo problema, consiste en una denegación de servicio del servidor NFSv4 ante peticiones específicamente construidas.
Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4332
Uno de los problemas corregidos se refiere a que la pila de procesos puede crecer hasta sobreescribir otras áreas mapeadas, esto podría provocar la terminación del proceso. El segundo problema, consiste en una denegación de servicio del servidor NFSv4 ante peticiones específicamente construidas.
Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4332
Desbordamiento de búfer en ftpd de IBM AIX
Se confirma una vulnerabilidad en servidor ftp de los sistemas IBM AIX 5.3 (y anteriores), por la que un usuario remoto podría llegar a ejecutar código arbitrario en los sistemas afectados.
La vulnerabilidad reside en un desbordamiento de búfer en el tratamiento de comandos NLST específicamente creados. Si el ftp permite acceso de escritura, el atacante puede explotar la falla para obtener los hashes de usuario (cifrados con DES).
IBM ha publicado actualizaciones de seguridad que pueden descargarse desde: http://aix.software.ibm.com/aix/efixes/security/ftpd_ifix.tar
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4331
La vulnerabilidad reside en un desbordamiento de búfer en el tratamiento de comandos NLST específicamente creados. Si el ftp permite acceso de escritura, el atacante puede explotar la falla para obtener los hashes de usuario (cifrados con DES).
IBM ha publicado actualizaciones de seguridad que pueden descargarse desde: http://aix.software.ibm.com/aix/efixes/security/ftpd_ifix.tar
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4331
Denegación de servicio en Cisco IOS XR
Cisco ha confirmado una vulnerabilidad de denegación de servicio remoto que afecta a todos los dispositivos con Cisco IOS XR configurados con rutado BGP.
La falla se produce cuando un par BGP anuncia un prefijo con un atributo transitivo específico y válido, pero no reconocido. A la recepción de éste prefijo, el dispositivo Cisco IOS XR destinatario corrompe el atributo antes de enviarlo a los dispositivos vecinos. Esto nos lleva a que los dispositivos vecinos reinicien la sesión de pares BGP.
Cisco IOS ni los dispositivos Cisco IOS XR que no estén configurados para rutado BGP no se ven afectados.
Cisco ha publicado actualizaciones para evitar este problema, disponible desde el sitio de descargas:
http://www.cisco.com/public/sw-center/sw-usingswc.shtml
Se recomienda consultar el boletín publicado disponible en: http://www.cisco.com/warp/public/707/cisco-sa-20100827-bgp.shtml
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4330
La falla se produce cuando un par BGP anuncia un prefijo con un atributo transitivo específico y válido, pero no reconocido. A la recepción de éste prefijo, el dispositivo Cisco IOS XR destinatario corrompe el atributo antes de enviarlo a los dispositivos vecinos. Esto nos lleva a que los dispositivos vecinos reinicien la sesión de pares BGP.
Cisco IOS ni los dispositivos Cisco IOS XR que no estén configurados para rutado BGP no se ven afectados.
Cisco ha publicado actualizaciones para evitar este problema, disponible desde el sitio de descargas:
http://www.cisco.com/public/sw-center/sw-usingswc.shtml
Se recomienda consultar el boletín publicado disponible en: http://www.cisco.com/warp/public/707/cisco-sa-20100827-bgp.shtml
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4330
Suscribirse a:
Entradas (Atom)