AÑO 5 - Nº 7 / JUL 09


  Responsabilidades TI

  Tecnología y delitos

  Guía para padres

  Biometría

  Amenazas en la web

  Redes Sociales

 

 

Hot Vulnerabilities

Inseguridad en Iphone y Android

Debilidades Wireless en IPhone

Dos expertos en seguridad informática, Lothar Gramelspacher y Max Moser, han revelado conductas de riesgo en la versión 3.0 del sistema operativo del iPhone en redes locales inalámbricas.

Cuando un iPhone detecta una WLAN pide a la red establecer contacto con un sitio web de Apple. Si establece contacto supone que todo está funcionando correctamente. Si no obtiene respuesta en lo absoluto, supone que la WLAN no tiene conexión a Internet.

El problema surge cuando recibe otro tipo de respuesta. Entonces, la rutina WLAN del iPhone supone que se encuentra en un portal donde se pide al usuario identificarse para obtener acceso a la red. Esta es una situación típica para zonas WLAN en hoteles, cafeterías y aeropuertos.

El iPhone responde automáticamente abriendo su navegador. La idea de los creadores del sistema operativo es que el usuario pueda proporcionar sus datos de login y clave de acceso.

Según Moser y Gramelspacher, este procedimiento hace que el iPhone quede disponible para una herramienta de penetración, disponible públicamente, denominada Karmetasploit.

Esto implica que intrusos pueden instalar una WLAN, y atraer teléfonos iPhone en la medida que se acerquen y aprovechando vulnerabilidades de Safari hacerse de información almacenada en el aparato.

En su blog, Moser explica que Apple "ha caído en la vieja trampa en que la seguridad es sacrificada en beneficio de la funcionalidad". El experto propone cambiar la funcionalidad WLAN del iPhone para salvaguardar la seguridad del usuario.

Moser ha publicado un vídeo donde explica la forma de secuestrar un iPhone cuando este entra a un área cubierta por una WLAN maligna.

Ver soluciones www.smobilesystems.com

Fuente: Diario Ti

Problema de seguridad en Android

Se ha descubierto un error de validación a la hora de manejar los permisos encargados de verificar el acceso a la cámara y al audio (Manifest.permission.CAMERA y Manifest.permission.AUDIO_RECORD respectivamente) en Andorid. Esto podría ser aprovechado por un atacante para obtener grabaciones de audio y video sin el consentimiento del usuario.

Cualquier aplicación Android necesitará la confirmación explícita del usuario para acceder a un solo de los recursos de audio y vídeo. Pero si se crea (y el usuario instala) una aplicación que no pida el uso de esos permisos, por error, los tendrá implícitamente (podrá usar el micrófono y la cámara) sin necesidad de que el usuario lo sepa.

Android es un sistema operativo para móviles basado en el kernel de Linux. Inicialmente lo desarrolló Google pero luego ha pasado a pertenecer a la Open Handset Alliance (formada por alrededor de 50 empresas del sector). Android trabaja con dos licencias, GPLv2 para componentes como los parches del kernel y Apache 2 para las aplicaciones ya que permite su comercialización de manera más simple.

Android está pensado para trabajar de manera similar a un Framework que además permite la intercomunicación entre distintas aplicaciones usando un interfaz propio para cada aplicación. El modelo usado por Android permite que los distintos programas informen al resto de que capacidades tienen y así el resto de programas pueden usarlas sin necesidad de implementarlas, claro está siguiendo ciertas reglas de seguridad.

Esta vulnerabilidad evade este control y permite que no se pida autorización al usuario para acceder a la cámara y el audio.

Las APIs oficiales son para Java; no obstante se podrían usar otros lenguajes, pero estos programas deberían compilarse para ARM (el procesador usado en la mayor parte de los dispositivo móviles actuales).

En la actualidad este sistema operativo es usado en algunos modelos de HTC y otras compañías, aunque el numero de dispositivos con este sistema operativo no es muy elevado.

Está solucionado en las versiones Android 1.5 CDBxx, CRCxx y COCxx donde xx son dígitos.

 

Ediciones Anteriores:

JUNIO 2009

Boletín de Junio de Microsoft

Críticos:

MS09-018 -> Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en implementaciones de Active Directory en Microsoft Windows 2000 Server y Windows Server 2003, y Active Directory Application Mode (ADAM) cuando se instala en Windows XP Professional y Windows Server 2003. La vulnerabilidad más grave podría permitir la ejecución remota de código.

MS09-019 -> Esta actualización de seguridad resuelve siete vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

MS09-021 -> Esta actualización de seguridad resuelve varias vulnerabilidades de las que se ha informado de forma privada que podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel especialmente diseñado que incluya un objeto de registro con formato incorrecto. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría lograr el control total de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

MS09-022 -> Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en el administrador de trabajos en cola de Windows. La vulnerabilidad más grave podría permitir la ejecución remota de código si un servidor afectado recibe una solicitud RPC especialmente diseñada. Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

MS09-024 -> Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en los convertidores de Microsoft Works. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Works especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

MS09-027 -> Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada que podrían permitir la ejecución remota de código si un usuario abre un archivo de Word especialmente diseñado. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

MAYO 2009

Vulnerabilidades en Microsoft Office PowerPoint permiten la ejecución remota de código (MS09-017)

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y varias vulnerabilidades de las que se ha informado de forma privada en Microsoft Office PowerPoint que podrían permitir la ejecución remota de código si un usuario abre un archivo de PowerPoint especialmente diseñado. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría lograr el control total de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Clasificación: Crítica - Ejecución remota de código

Software afectado: Microsoft Office

Más Información: http://www.microsoft.com/spain/technet/security/bulletin/ms09-may.mspx

Actualizaciones de seguridad para Adobe Reader y Acrobat

Se ha identificado una vulnerabilidad grave en Adobe Reader 9.1 y Acrobat 9.1, y en versiones anteriores. Esta vulnerabilidad (CVE-2009-1492) podría bloquear la aplicación y permitir que un intruso se hiciera con el control del sistema afectado. A partir del 4 de junio de 2009, existen informes que indican que se está explotando este problema. Asimismo, se ha detectado una segunda vulnerabilidad que parece afectar a Adobe Reader, sólo para UNIX (CVE-2009-1493).

Adobe recomienda que los usuarios de Adobe Reader 9.1 y Acrobat 9.1, y de versiones anteriores, actualicen a Adobe Reader 9.1.1 y Acrobat 9.1.1. Adobe recomienda que los usuarios de Acrobat 8 actualicen a Acrobat 8.1.5, y que los usuarios de Acrobat 7 actualicen a Acrobat 7.1.2. Para los usuarios de Adobe Reader que no puedan actualizar a Adobe Reader 9.1.1, Adobe ha proporcionado las actualizaciones de Adobe Reader 8.1.5 y Adobe Reader 7.1.2.

Clasificación: Crítica - Control total del sistema

Software afectados: Adobe Reader 9.1 y versiones anteriores. Adobe Acrobat Standard, Pro, Pro Extended 9.1 y versiones anteriores.

Más Información: http://www.adobe.com/es/support/security/bulletins/apsb09-06.html

ABRIL 2009

Parche Acumulativo de Oracle

Se ha publicado el parche acumulativo de Abril de 2009 para los siguientes productos de Oracle: Oracle Database, Oracle Application Server, Oracle Collaboration Suite, Oracle E-Business Suite, Oracle PeopleSoft Enterprise PeopleTools y BEA. Este parche soluciona múltiples vulnerabilidades que pueden comprometer la integridad, confidencialidad y disponibilidad de dichos productos asi como la información manejada por ellos.

Versiones vulnerables:

Oracle Database 11g, versión 11.1.0.6, 11.1.0.7
Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4
Oracle Database 10g, versión 10.1.0.5
Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0
Oracle Outside In SDK HTML Export 8.2.2, 8.3.0
Oracle XML Publisher 5.6.2, 10.1.3.2, 10.1.3.2.1
Oracle BI Publisher 10.1.3.3.0 10.1.3.3.1, 10.1.3.3.2, 10.1.3.3.3, 10.1.3.4
Oracle E-Business Suite Release 12, versión 12.0.6
Oracle E-Business Suite Release 11i, versión 11.5.10.2
PeopleSoft Enterprise PeopleTools versiones: 8.49
PeopleSoft Enterprise HRMS versiones: 8.9 y 9.0
Oracle WebLogic Server 10.3
Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 through 9.2 MP3
Oracle WebLogic Server 8.1 through 8.1 SP6
Oracle WebLogic Server 7.0 through 7.0 SP7
Oracle WebLogic Portal 8.1 through 8.1 SP6
Oracle Data Service Integrator 10.3.0 y Oracle AquaLogic Data Services Platform (BEA ALDSP) 3.2, 3.0.1, 3.0
Oracle JRockit (formerly BEA JRockit) R27.6.2 (JDK/JRE 6, 5, 1.4.2)

Más información: http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html

Boletín de seguridad de Abril para Microsoft:

Microsoft ha publicado ocho boletines de seguridad (del MS09-009 al MS09-016) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico", otros dos son "importantes" y un último con nivel moderado".

Más Información: http://www.microsoft.com/technet/security/bulletin/ms09-apr.mspx








Copyright © 2009 I-SEC. Todos los derechos reservados

Política de privacidad