Este martes Microsoft publicó dos boletines de seguridad (MS11-001 y MS11-002) correspondientes a su ciclo habitual de actualizaciones. Según Microsoft uno de los boletines presenta un nivel de gravedad "crítico", mientras que el restante se clasifica como "importante". En total se reuelven tres vulnerabilidades.
El boletín "crítico" presenta una actualización para corregir dos vulnerabilidades de ejecución remota de código en Microsoft Data Access Components. Afecta a Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.
El segundo boletín trata de una actualización importante para Windows Vista para evitar una vulnerabilidad de ejecución remota de código en el Administrador de copias de seguridad de Windows.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4462
viernes, 14 de enero de 2011
martes, 11 de enero de 2011
Debilidad en la implementación del driver wireless Orinoco
Existe una debilidad en la implementación de la función 'orinoco_ioctl_set_auth' de 'drivers/net/wireless/orinoco/wext.c' en el driver wireless Orinoco.
Esto provoca la habilitación de la tarjeta si están habilitadas las contramedidas para TKIP haciendo los ataques más efectivos.
Un atacante remoto obtendría ventaja en ciertos ataques si este error de diseño está presente.
Como podemos observar en el parche introducido:
if (param->value) {
priv->tkip_cm_active = 1;
- ret = hermes_enable_port(hw, 0);
+ ret = hermes_disable_port(hw, 0);
} else {
priv->tkip_cm_active = 0;
- ret = hermes_disable_port(hw, 0);
+ ret = hermes_enable_port(hw, 0);
}
La falla es un simple error de lógica al intentar justo lo contrario de lo que se pretendía en el diseño original.
La acción correcta a tomar es si priv->tkip_cm_active = 1, es decir que las contramedidas para TKIP estén activas, deshabilitar la tarjeta.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4461
Esto provoca la habilitación de la tarjeta si están habilitadas las contramedidas para TKIP haciendo los ataques más efectivos.
Un atacante remoto obtendría ventaja en ciertos ataques si este error de diseño está presente.
Como podemos observar en el parche introducido:
if (param->value) {
priv->tkip_cm_active = 1;
- ret = hermes_enable_port(hw, 0);
+ ret = hermes_disable_port(hw, 0);
} else {
priv->tkip_cm_active = 0;
- ret = hermes_disable_port(hw, 0);
+ ret = hermes_enable_port(hw, 0);
}
La falla es un simple error de lógica al intentar justo lo contrario de lo que se pretendía en el diseño original.
La acción correcta a tomar es si priv->tkip_cm_active = 1, es decir que las contramedidas para TKIP estén activas, deshabilitar la tarjeta.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4461
Corregida la falla de la "constante" en PHP
PHP ha publicado la versión 5.3.5 que corrige una falla que causa una denegación de servicio a través de múltiples vectores.
El error existe en la conversión de cierta constante flotante desde una cadena. Por ejemplo:
$var = (double)"2.2250738585072011e-308";
Esta conversión hace que PHP haga un consumo excesivo de ciclos causando que el proceso deje de responder.
La vulnerabilidad es significativa debido a que puede ser provocada en cualquier contexto que involucre la entrada de datos y su posterior conversión a 'double'.
La falla, localizada en la función 'zend_strtod', solo afecta a ciertas compilaciones de 32 bits para la arquitectura x86. A su vez está relacionada con otra falla en la arquitectura de la FPU x87.
La vulnerabilidad tiene asignado el CVE-2010-4645 y fue informada por Rick Regan.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4460
El error existe en la conversión de cierta constante flotante desde una cadena. Por ejemplo:
$var = (double)"2.2250738585072011e-308";
Esta conversión hace que PHP haga un consumo excesivo de ciclos causando que el proceso deje de responder.
La vulnerabilidad es significativa debido a que puede ser provocada en cualquier contexto que involucre la entrada de datos y su posterior conversión a 'double'.
La falla, localizada en la función 'zend_strtod', solo afecta a ciertas compilaciones de 32 bits para la arquitectura x86. A su vez está relacionada con otra falla en la arquitectura de la FPU x87.
La vulnerabilidad tiene asignado el CVE-2010-4645 y fue informada por Rick Regan.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4460
lunes, 10 de enero de 2011
Microsoft publicará dos boletines de seguridad
En su ciclo acostumbrado de actualizaciones los segundos martes de cada mes, Microsoft anunció que en esta ocasión se esperan dos boletines de seguridad. El primero de ellos va dirigido para Windows Vista, mientras que el segundo afecta a toda la gama del sistema operativo Windows. Ambos boletines pueden contener un número indeterminado de vulnerabilidades.
Mientras que el mes pasado Microsoft publicaba el mayor número de boletines y acababa el año con una cifra récord de 106 boletines, este año comienza con dos boletines de seguridad dirigidos a todas las versiones de su sistema operativo.
Al parecer Microsoft no va a dar solución este mes a los dos "Security Advisory" que están pendiente de parche:
Microsoft Security Advisory 2490606 http://www.microsoft.com/technet/security/advisory/2490606.mspx relacionada con Windows Graphics Rendering Engine.
Microsoft Security Advisory 2488013 http://www.microsoft.com/technet/security/advisory/2488013.mspx relacionada con Internet Explorer.
Se recomienda a los usuarios afectados que sigan las recomendaciones para mitigar ambas vulnerabilidades, sobre todo la relacionada con Internet Explorer, de la que se han empezado a observar ataques dirigidos.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4459
Mientras que el mes pasado Microsoft publicaba el mayor número de boletines y acababa el año con una cifra récord de 106 boletines, este año comienza con dos boletines de seguridad dirigidos a todas las versiones de su sistema operativo.
Al parecer Microsoft no va a dar solución este mes a los dos "Security Advisory" que están pendiente de parche:
Microsoft Security Advisory 2490606 http://www.microsoft.com/technet/security/advisory/2490606.mspx relacionada con Windows Graphics Rendering Engine.
Microsoft Security Advisory 2488013 http://www.microsoft.com/technet/security/advisory/2488013.mspx relacionada con Internet Explorer.
Se recomienda a los usuarios afectados que sigan las recomendaciones para mitigar ambas vulnerabilidades, sobre todo la relacionada con Internet Explorer, de la que se han empezado a observar ataques dirigidos.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4459
miércoles, 5 de enero de 2011
Microsoft acumula al menos cinco vulnerabilidades graves sin solucionar
Con la última publicación de una vulnerabilidad que permite la ejecución de código, Microsoft acumula al menos cinco vulnerabilidades recientes graves sin corregir. Por otra parte 2010 ha sido un año récord para Microsoft en el que se han corregido más vulnerabilidades que cualquier otro. Esto, aunque no es necesariamente un dato "negativo", indica que a Microsoft se le empieza a acumular el trabajo.
2010 fue un año con muchas vulnerabilidades en Windows, además se batió el récord de número de vulnerabilidades corregidas en un solo mes en sus productos en octubre, 2011 no comienza mejor. Aunque se tenían indicios sobre la falla desde el día 23 de diciembre, finalmente el día 4 de enero Microsoft ha declarado que existe una grave vulnerabilidad en su intérprete de gráficos, concretamente en la librería shimgvw.dll. Y lo ha declarado porque finalmente ha salido a la luz (una vez más a través de Metasploit) un exploit para aprovechar la falla. El problema se da en todos los sistemas operativos vigentes excepto Windows 7 y 2008 R2 y permite que un atacante ejecute código con solo enviar a la víctima un archivo thumbnail, o hacer que o visualice de alguna forma.
Microsoft recomienda renombrar o eliminar los permisos a todos los usuarios para acceder a %WINDIR%\SYSTEM32\shimgvw.dll. Esto tendrá un impacto indeterminado sobre las aplicaciones que utilicen esta librería.
Con esta falla, Microsoft acumula al menos cinco vulnerabilidades graves y recientes en sus sistemas operativos que todavía no han sido solucionadas.
Además, acumula otras vulnerabilidades recientes sin corregir en sus herramientas de administración WMI, en el servidor FTP de IIS versión 7 y otras menos graves que acumula desde principios de 2010.
El 11 de enero se esperan nuevos boletines de seguridad de Microsoft, pero muy probablemente sólo se corrijan algunos de estos problemas en ellos.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4456
2010 fue un año con muchas vulnerabilidades en Windows, además se batió el récord de número de vulnerabilidades corregidas en un solo mes en sus productos en octubre, 2011 no comienza mejor. Aunque se tenían indicios sobre la falla desde el día 23 de diciembre, finalmente el día 4 de enero Microsoft ha declarado que existe una grave vulnerabilidad en su intérprete de gráficos, concretamente en la librería shimgvw.dll. Y lo ha declarado porque finalmente ha salido a la luz (una vez más a través de Metasploit) un exploit para aprovechar la falla. El problema se da en todos los sistemas operativos vigentes excepto Windows 7 y 2008 R2 y permite que un atacante ejecute código con solo enviar a la víctima un archivo thumbnail, o hacer que o visualice de alguna forma.
Microsoft recomienda renombrar o eliminar los permisos a todos los usuarios para acceder a %WINDIR%\SYSTEM32\shimgvw.dll. Esto tendrá un impacto indeterminado sobre las aplicaciones que utilicen esta librería.
Con esta falla, Microsoft acumula al menos cinco vulnerabilidades graves y recientes en sus sistemas operativos que todavía no han sido solucionadas.
Además, acumula otras vulnerabilidades recientes sin corregir en sus herramientas de administración WMI, en el servidor FTP de IIS versión 7 y otras menos graves que acumula desde principios de 2010.
El 11 de enero se esperan nuevos boletines de seguridad de Microsoft, pero muy probablemente sólo se corrijan algunos de estos problemas en ellos.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4456
Mozilla publica nombres y contraseñas de 44.000 usuarios
Han comunicado que ha sido publicada por error una parte importante de los datos de usuarios registrados en addons.mozilla.org, específicamente el identificador de usuario y hash MD5 de las contraseña de 44.000 de sus usuarios.
Al parecer la falla se debió a que dicha información fue dejada en un servidor público de manera accidental hasta que, el 17 de diciembre, un investigador independiente alertó de este error a través del programa de recompensas. No se sabe en qué fecha ni por qué se hicieron públicos los datos.
Mozilla asegura, después de un análisis de sus logs, que las únicas personas que accedieron a la información fueron las mismas que pusieron en conocimiento esta información y miembros del equipo Mozilla. Además, al parecer pertenecían a usuarios "inactivos". La empresa ha respondido deshabilitando las cuentas y mandando un correo electrónico a todos los afectados para que recuperen sus contraseñas.
El problema de esta divulgación accidental reside en las cada vez más escasas garantías que ofrece MD5 debido a su debilidad criptográfica. En pocas palabras es relativamente sencillo obtener, a partir del hash MD5, la contraseña original si no es extremadamente compleja. Además, en este caso la contraseña no contenía una "sal". Por esta razón Mozilla adoptó en abril de 2009 un sistema criptográfico más seguro, SHA512 para almacenar sus contraseñas, y es el método que utilizan todas las cuentas actuales.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4455
Al parecer la falla se debió a que dicha información fue dejada en un servidor público de manera accidental hasta que, el 17 de diciembre, un investigador independiente alertó de este error a través del programa de recompensas. No se sabe en qué fecha ni por qué se hicieron públicos los datos.
Mozilla asegura, después de un análisis de sus logs, que las únicas personas que accedieron a la información fueron las mismas que pusieron en conocimiento esta información y miembros del equipo Mozilla. Además, al parecer pertenecían a usuarios "inactivos". La empresa ha respondido deshabilitando las cuentas y mandando un correo electrónico a todos los afectados para que recuperen sus contraseñas.
El problema de esta divulgación accidental reside en las cada vez más escasas garantías que ofrece MD5 debido a su debilidad criptográfica. En pocas palabras es relativamente sencillo obtener, a partir del hash MD5, la contraseña original si no es extremadamente compleja. Además, en este caso la contraseña no contenía una "sal". Por esta razón Mozilla adoptó en abril de 2009 un sistema criptográfico más seguro, SHA512 para almacenar sus contraseñas, y es el método que utilizan todas las cuentas actuales.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4455
martes, 4 de enero de 2011
Ejecución de código en VLC a través de archivos Real Player
Existe un error de desbordamiento de memoria intermedia en el reproductor VLC. Esta falla se produce al procesar la cabecera de un archivo de Real Player y permite la ejecución de código.
VLC Media Player es un reproductor multimedia que soporta un gran número de formatos: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6. Dispone de un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores oficiales de Apple o Microsoft.
Esta vulnerabilidad, a la que se le ha asignado el CVE CVE-2010-3907, permite ejecutar código a través de un archivo Real Player especialmente diseñado.
VLC ha solucionado este error en la versión 1.1.6, aunque todavía no está disponible en la página oficial de descarga.
Se aconseja desactivar los plugins del navegador o renombrar o eliminar los archivos del tipo 'libreal_plugin.*' de la carpeta 'plugins' en el directorio de instalación.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4453
VLC Media Player es un reproductor multimedia que soporta un gran número de formatos: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6. Dispone de un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores oficiales de Apple o Microsoft.
Esta vulnerabilidad, a la que se le ha asignado el CVE CVE-2010-3907, permite ejecutar código a través de un archivo Real Player especialmente diseñado.
VLC ha solucionado este error en la versión 1.1.6, aunque todavía no está disponible en la página oficial de descarga.
Se aconseja desactivar los plugins del navegador o renombrar o eliminar los archivos del tipo 'libreal_plugin.*' de la carpeta 'plugins' en el directorio de instalación.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4453
"Geinimi" troyano para Android con capacidad para recibir ordenes
Se ha observado un nuevo ejemplar de Troyano para la plataforma móvil Android con algunas características similares a las encontradas en el malware asociado a botnets.
La empresa china de seguridad NetQin realizó la primera observación. A principios de diciembre ya se publicó una noticia en CNETNews China sobre este malware alertando de su existencia.
El ejemplar estudiado por la empresa LookOut, es más sofisticado ya que permite una vez instalado en el dispositivo de la víctima recibir comandos desde un servidor remoto de control.
El resto de características presentan los puntos comunes en este tipo de malware: El troyano va insertado en aplicaciones reempaquetadas y que presentan un aspecto "sano", descargables desde páginas chinas de aplicaciones para Android.
De hecho en principio solo afecta al público chino. Tras la instalación y la solicitud al usuario de los permisos y excepciones de seguridad, el ejemplar se dispone a recabar datos sobre la terminal como el IMEI, el IMSI (número de identificación de la SIM) o la geolocalización del usuario entre otros. También el troyano puede desinstalar e instalar aplicaciones, aunque para ello necesite el permiso del usuario.
Geinimi viene con una lista de unos diez dominios preconfigurados a los que interroga cada 5 minutos. Si uno de ellos responde el troyano envía los datos capturados al servidor.
El bytecode de Geinimi envía y recibe cifrada como medio de defensa frente a análisis.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4452
La empresa china de seguridad NetQin realizó la primera observación. A principios de diciembre ya se publicó una noticia en CNETNews China sobre este malware alertando de su existencia.
El ejemplar estudiado por la empresa LookOut, es más sofisticado ya que permite una vez instalado en el dispositivo de la víctima recibir comandos desde un servidor remoto de control.
El resto de características presentan los puntos comunes en este tipo de malware: El troyano va insertado en aplicaciones reempaquetadas y que presentan un aspecto "sano", descargables desde páginas chinas de aplicaciones para Android.
De hecho en principio solo afecta al público chino. Tras la instalación y la solicitud al usuario de los permisos y excepciones de seguridad, el ejemplar se dispone a recabar datos sobre la terminal como el IMEI, el IMSI (número de identificación de la SIM) o la geolocalización del usuario entre otros. También el troyano puede desinstalar e instalar aplicaciones, aunque para ello necesite el permiso del usuario.
Geinimi viene con una lista de unos diez dominios preconfigurados a los que interroga cada 5 minutos. Si uno de ellos responde el troyano envía los datos capturados al servidor.
El bytecode de Geinimi envía y recibe cifrada como medio de defensa frente a análisis.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4452
Suscribirse a:
Entradas (Atom)