iso 27000  dropzones

biometría

comunidad antihackers
malware
Infosecurity Buenos Aires 2010
Antirrobo
intypedia

stuxnet
vulnerabilidades
ciberguerras

noticias bolsa
agenda lectores
pases

Ediciones Anteriores:

SEPTIEMBRE 2010

Twitter y la inseguridad: cinco de sus vulnerabilidades más sonadas

En varias ocasiones Twitter ha entregado mensajes directos a destinatarios que no correspondían. Por suerte personalmente nunca lo he sufrido pero sí otros, a quienes obviamente no les hizo ninguna gracia.

XSS de David Naylor: de este fallo se habló bastante y ahora entenderéis por qué. Resulta que David Naylor descubrió una vulnerabilidad en Twitter del tipo cross-site scripting y la reportó a Twitter. Nada raro hasta aquí. La cosa se desmadró un poco cuando los de la red social aseguraron que lo habían arreglado pero no fue así, la vulnerabilidad seguía existiendo ya que la solución implementada por Twitter no lo solucionaba.

¿Que no me sigues? Pues ya hago yo que si: probablemente este caso lo recuerden. Por el mes de mayo un usuario de Twitter fanático de la banda de rock Accept escribió un tweet en su cajón de texto que ponía “accept pwnz”. La sorpresa llegó cuando le dio a enviar ya que en vez de aparecer el tweet en el timiline notó que automáticamente el usuario @pwnz le empezó a seguir. Sí, acababa de descubrir un bug el cual permitía a cualquiera forzar la aparición de su usuario entre los seguidores de cualquier otro.

¿Solo 140 caracteres?: es sabido por todos que Twitter permite como máximo utilizar 140 caracteres en cada tweet. Pues bien, este mes de agosto la red social de microblogging se llenó de tweets bastantes más largos. ¿Qué pasaba? Lo de siempre, que un usuarios descubrió un bug en el nuevo acortador de URLs mediante el cual se podían escribir mensajes de más de 2.000 caracteres de extensión.

Más XSS y acortadores de URLs: varios bugs del tipo XSS se han encontrado en Twitter hasta la fecha como hemos visto, y el último llegó este mismo mes de septiembre. Concretamente el fallo permitió robar las cookies de aproximadamente 117 mil usuarios que picaron en un enlace acortado con bit.ly el cual aparentemente parecía legítimo.

Fuente: Hipertextual.com

Vulnerabilidad de escalada de privilegios en el kernel Linux

Esta vulnerabilidad permite escalar privilegios y obtener permisos de root mediante un exploit que ya está en circulación.

Esta vulnerabilidad permite escalar privilegios y obtener permisos de root mediante un exploit que ya está en circulación. Es realmente grave ya que socava uno de los pilares de la seguridad de Linux: una de las causas de que no haya mucho virus para este sistema es que, aunque consigan entrar en el sistema, para hacer algo grave y salir del entorno del usuario necesitan ser root y no es fácil de conseguir.

En concreto, el problema está causado por un error en el kernel de 64 bits, en la emulación para ejecutar binarios de 32 bits. Un fallo en un argumento da al binario que se está emulando permisos de superusuario.

Lo más curioso de todo es que este bug ya se resolvió en 2007, pero en 2008, nadie sabe por qué, el parche se eliminó volviendo a abrir el agujero. Por esto, el exploit que se creó para esa primera vulnerabilidad sólo ha necesitado una pequeña modificación para volver a funcionar. También por esto mismo, la vulnerabilidad ha sido parcheada rápidamente, y dentro de poco aparecerán los kernel actualizados para las diferentes distribuciones.

Para evitarlo, lo de siempre: no descargar ni ejecutar archivos sospechosos, y actualizar el kernel en cuanto esté disponible la nueva versión.
http://www.h-online.com/open/news/item/Hole-in-Linux-kernel-provides-root-rights-Update-1081317.html

Diversas vulnerabilidades en dispositivos Cisco IOS

El primero de los problemas reside en la funcionalidad SSL VPN al configurarse con una redirección HTTP, que podrían perder bloques de control de transmisión (TCBs) al procesar una desconexión SSL anormal, provocando la denegación de servicio.

La segunda vulnerabilidad está provocada por un error en Network Address Translation (NAT) al trasladar paquetes SIP, H.323 o H.225.0, que puede provocar el reinicio de los dispositivos vulnerables.

Otros errores se presentan en las implementaciones de H.323 y de IGMP (Internet Group Management Protocol) versión 3; y o en el tratamiento de mensajes SIP (Session Initiation Protocol) al procesar paquetes o mensajes específicamente construidos.

Se ven afectadas las versiones de Cisco IOS 12.x, 15.x y Cisco IOS XE 2.x. Dada la diversidad de problemas y versiones afectadas se aconseja consultar la tabla de versiones vulnerables y contramedidas en los avisos publicados por Cisco.
 

Más Información: http://www.cisco.com/

AGOSTO 2010

Dos vulnerabilidades en el agente de HP Operations

Se han confirmado dos vulnerabilidades en el Agente de HP Operations, que podrían permitir a un atacante lograr comprometer los sistemas afectados.

Los problemas afectan a las versiones del Agente 7.36 y 8.6 bajo plataforma Windows, y los CVE asignados son CVE-2010-3004 y CVE-2010-3005.

Un usuario local podrá elevar sus privilegios y un atacante remoto podrá ejecutar código arbitrario en los sistema afectado. Sin embargo HP no ha facilitado más información sobre los problemas.

Se han publicado las siguientes actualizaciones para evitar estos problemas:

Para el agente de HP Operations v7.36 los hotfixes: QCCR1A106920 y QCCR1A106834.

Para el agente de HP Operations v8.6 los hotfixes: QCCR1A106558 y QCCR1A106917.

Más Información:

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02002298

Boletines de seguridad de la Fundación Mozilla.

La Fundación Mozilla ha publicado 15 boletines de seguridad (del MFSA2010-49 al MFSA2010-63) para solucionar diversas vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey).

La Fundación Mozilla ha publicado 15 boletines de seguridad (del MFSA2010-49 al MFSA2010-63) para solucionar diversas vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey).

Según la propia clasificación de Mozilla diez de los boletines presentan un nivel de gravedad "crítico", dos son de carácter "alto", otro es "moderado" y dos últimos considerados como "bajos".

Los boletines publicados son:

* MFSA 2010-63: Boletín de gravedad baja, en el que se trata una fuga de información a través de statusText en XMLHttpRequest.

* MFSA 2010-62: Este boletín moderado, trata una vulnerabilidad de cross site scripting al copiar y pegar o arrastrar y soltar en un documento designMode.

* MFSA 2010-61: Boletín de gravedad alto. Salto de los filtros XSS al inyectar JavaScript codificado UTF-7 mediante el uso de etiquetas <object>

* MFSA 2010-60: Boletín de carácter alto, relacionado con un cross site scripting en el uso de SJOW. Sólo afecta a Firefox 3.5.12 y Thunderbird 3.0.7.

* MFSA 2010-59: Boletín de carácter crítico, relacionado con que SJOW crea cadenas que terminan en un objeto externo.

* MFSA 2010-58: Boletín de carácter crítico. Fuentes especialmente construidas pueden aplicarse a un documento y provocar la caída (con posibilidad de ejecución de código arbitrario) en sistemas Mac.

* MFSA 2010-57: Boletín crítico. Ejecución remota de código en normalizeDocument.

* MFSA 2010-56: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en nsTreeContentView.

* MFSA 2010-55: Este boletín es de gravedad baja (aunque crítico en Gecko 1.9.1 y anteriores). El borrado del árbol XUL puede provocar la caída de la aplicación, y en función de la versión podría permitir la ejecución de código remoto.

* MFSA 2010-54: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en nsTreeSelection.

* MFSA 2010-53: Boletín de carácter critico por un desbordamiento de búfer en nsTextFrameUtils::TransformText.

* MFSA 2010-52: Vulnerabilidad considerada crítica en la carga de dll en Windows XP.

* MFSA 2010-51: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en el uso del plugin de array DOM.

* MFSA 2010-50: Boletín considerado como crítico, trata de un desbordamiento de entero en el Frameset.

* MFSA 2010-49: Boletín de carácter crítico, trata de diversos problemas relacionados con el uso de la memoria del motor del navegador.

Más Información:

http://www.mozilla-europe.org/es/firefox/
http://www.mozillamessaging.com/es-ES/thunderbird/
http://www.seamonkey-project.org/

JULIO 2010

Vulnerabilidades críticas de jailbreak de Apple

La firma de seguridad francesa Vupen publicó un informe acerca de dos fallas críticas en el IOS de Apple, la primera corrompe la memoria del dispositivo a través de documentos PDF o páginas web. La segunda permite que atacantes externos disfruten de privilegios elevados y eludan las restricciones de seguridad impuestas por el sistema operativo.

Estas vulnerabilidades en conjunto permitirían que cualquier dispositivo que funcione con IOS sea controlado remotamente por personas entendidas en el tema.

Un portavoz de Apple informó que la compañía está al tanto de las fallas, pero no ofreció detalles al respecto. Sin embargo es probable que la futura actualización cubra estas deficiencias.

También se indica que la aplicación denominada JailbreakMe utiliza las fallas mencionadas para desbloquear los dispositivos y permitir la instalación de software de terceros; peculiaridades que fueron reconocidas por expertos en seguridad como un trabajo de gran calidad porque no se necesita ejecutar aplicación alguna en un ordenador, todo el proceso se desarrolla en el iPhone, iPad o iPod Touch.

Más Información: http://www.vupen.com/english/advisories/2010/1992

Google corrige errores de vulnerabilidad críticos en Chrome

Con la actualización a su versión 5.0.375.125 trata un error de vulnerabilidad por la que sus desarrolladores aseguran que se dan 2 errores de riesgo que podrían corromper el acceso a la memoria cuando se utiliza el renderizado de código. También ha sido documentado un tercer fallo, pero de menor riesgo.

A todos los usuarios de Google Chrome se les aconseja actualizar lo antes posible para su seguridad.

En un programa de Seguridad de Chromium por la que se premia a sus usuarios al detectar fallos en el navegador, Google ha ido reportando vulnerabilidades de seguridad. Estos errores de seguridad fueron descubiertos por José A. Vazquez y Aki Helin de Oulu University Secure Programming Group(OUSPG) y Michail Nikolaev, premiados como decimos por Google con 500$ por el trabajo de seguridad facilitado. Estos errores de seguridad han sido resueltos a través de la última actualización estable, sp3x de SecurityReason. Más Información: http://www.google.es/chrome

Publicada nueva versión de Apache
Se ha publicado la versión 2.2.16 del servidor web Apache, con objeto de corregir dos vulnerabilidades de denegación de servicio en los módulos "mod_cache" y "mod_dav" y otra de divulgación de información sensible en "mod_proxy_http".

El primer problema reside en la forma en que se procesan las solicitudes por los módulos "mod_cache" y "mod_dav". Un atacante remoto podría causar una denegación de servicio en determinadas condiciones mediante el envío de peticiones HTTP especialmente manipuladas. Hay que señalar que el módulo "mod_cache" se ve afectado solamente si se hace uso de la directiva "CacheIgnoreURLSessionIdentifiers".

También se ha corregido un error en la detección de tiempo de espera en "mod_proxy_http.c" que podría permitir que bajo determinadas condiciones, el servidor devuelva una respuesta destinada a otro usuario. Sólo se ven afectados los sistemas operativos Windows, Netware y OS2.

Más Información: http://httpd.apache.org/download.cgi

JUNIO 2010

MAYO 2010

Boletín de seguridad de Microsoft MS10-030 – Crítico

Una vulnerabilidad en Outlook Express y Windows Mail podría permitir la ejecución remota de código (978542)

Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Outlook Express, Windows Mail y Windows Live Mail. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un servidor de correo electrónico malintencionado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

La actualización de seguridad corrige la vulnerabilidad al validar correctamente las respuestas del servidor de correo electrónico. Para obtener más información acerca de la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección siguiente, Información sobre la vulnerabilidad.

Recomendación. La mayoría de los clientes tienen habilitada la actualización automática y no deben realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente.

Boletín de seguridad de Microsoft MS10-031 - Crítico

Una vulnerabilidad en Microsoft Visual Basic para Aplicaciones podría permitir la ejecución remota de código (978213)

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Visual Basic para Aplicaciones. La vulnerabilidad podría permitir la ejecución remota de código si una aplicación host abre y pasa un archivo especialmente diseñado al módulo de tiempo de ejecución de Visual Basic para Aplicaciones. Si un usuario inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Esta actualización de seguridad se considera crítica para todas las versiones compatibles del SDK de Microsoft Visual Basic para Aplicaciones y las aplicaciones de terceros que usan Microsoft Visual Basic para Aplicaciones. Esta actualización de seguridad también se considera importante para todas las ediciones compatibles de Microsoft Office XP, Microsoft Office 2003 y 2007 Microsoft Office System.

Más Información: http://www.microsoft.com/latam/protect/computer/updates/bulletins/201005.mspx

ABRIL 2010

Boletines de Seguridad de Microsoft

MS10-019 afecta a todas las versiones de Windows. Aunque le otorgamos un 2 en el índice de explotación, esta vulnerabilidad permitiría a un atacante alterar el contenido ejecutable firmado (archivos PE y CAB) sin invalidar la firma. Observe que el contenido WU/MU no se ve afectado por este problema debido a las revisiones adicionales realizadas cuando se verifica el contenido firmado.

MS10-026 no afecta a Windows 7, a Windows Server 2008 R2 ni a las versiones Itanium de Windows Server 2008 y Windows Server 2003. Sin embargo, es crítico en Windows 2000, XP, Server 2003 y Server 2008. La vulnerabilidad podría activarse simplemente con visitar una página web que aloje un archivo AVI especialmente diseñado que comience a transmitirse al cargarse la página.

MS10-027 sólo afecta a los usuarios de Windows 2000 y Windows XP que pudieran sufrir una explotación con simplemente visitar una página web especialmente diseñada.

Más Información: http://www.microsoft.com/latam/protect/computer/updates/bulletins/201004.mspx

Actualización de Seguridad Redhat (Vulnerabilidades en Acroread)

Múltiples vulnerabilidades han sido identificadas en varios productos Redhat, que podrían ser explotados por atacantes para evitar restricciones de seguridad, causando una negación de servicio o comprometer un sistema, estas son causadas por errores en Acroread.

Productos afectados:
RHEL Desktop Supplementary (v. 5 client)
RHEL Supplementary (v. 5 server)
RHEL Supplementary EUS (v. 5.4.z server)
Red Hat Enterprise Linux Extras (v. 4)
Red Hat Enterprise Linux Extras (v. 4.8.z)
Más Información: http://rhn.redhat.com/

MARZO 2010

ENERO 2010 - FEBRERO 2010

Vulnerabilidades en TCP/IP de Windows podrían permitir la ejecución remota de código (974145)

Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si se envían paquetes especialmente diseñados a un equipo con IPv6 habilitado. Un atacante podría intentar aprovechar la vulnerabilidad mediante la creación de paquetes ICMPv6 especialmente diseñados y su envío a un sistema como IPv6 habilitado. Esta vulnerabilidad sólo se puede aprovechar si el atacante está en el vínculo.

Más información: http://www.microsoft.com/spain/technet/security/Bulletin/ms10-009.mspx

DICIEMBRE 2009

Boletín de diciembre

Microsoft ha publicado en el mes de diciembre nuevos boletines de seguridad, siguiendo con su normativa de publicaciones de boletines mensuales. Los boletines de seguridad de este mes son los siguientes, en orden de gravedad:

Crítica (3):

Boletín de seguridad de Microsoft MS09-071
Vulnerabilidades en el Servicio de autenticación podrían permitir ejecución remota de código (974318)
http://www.microsoft.com/spain/techn.../ms09-071.mspx

Boletín de seguridad de Microsoft MS09-074
Una vulnerabilidad en Microsoft Office Project podría permitir ejecución remota de código (967183)
http://www.microsoft.com/spain/techn.../ms09-074.mspx

Boletín de seguridad de Microsoft MS09-072
Actualización de seguridad acumulativa para Internet Explorer (976325)
http://www.microsoft.com/spain/techn.../ms09-072.mspx

Importante (3):

Boletín de seguridad de Microsoft MS09-069
Una vulnerabilidad en el servicio del subsistema de autoridad de seguridad local (LSASS) podría permitir la denegación de servicio (974392)
http://www.microsoft.com/spain/techn.../ms09-069.mspx

Boletín de seguridad de Microsoft MS09-070
Vulnerabilidades en Servicios de federación de Active Directory podrían permitir ejecución remota de código (971726)
http://www.microsoft.com/spain/techn.../ms09-070.mspx

Boletín de seguridad de Microsoft MS09-073
Una vulnerabilidad en los convertidores de texto de WordPad y Office podría permitir ejecución remota de código (975539)
http://www.microsoft.com/spain/techn.../ms09-073.mspx

NOVIEMBRE 2009

Problemas de seguridad en Internet Explorer

Se han dado a conocer dos problemas de seguridad relacionados con Internet Explorer. Un fallo es muy grave y permite la ejecución de código arbitrario en el sistema con solo visitar una página web. El otro fallo es mucho más leve, y solo permite que un atacante obtenga información confidencial a través de archivos PDF impresos desde el navegador.

De la primera vulnerabilidad, la más grave, se han dado todos los detalles de forma pública. No se han observado de forma masiva ataques que la aprovechen, pero dadas las circunstancias, parece que no tardarán en aparecer. El fallo está en el manejo de punteros en la función "getElementsByTagName" de mshtml.dll al procesar objetos CSS. Un atacante remoto podría ejecutar código arbitrario con los privilegios del usuario que corra Internet Explorer con solo visitar una página especialmente manipulada.

Microsoft ya ha reconocido el fallo y está trabajando en un parche para solucionarlo. Solo afecta a las versiones 6 y 7 del navegador. Si no es posible usar la versión 8, como contramedida, se recomienda elevar la seguridad de las zonas de Internet Explorer a "Alta" para las páginas no confiables. O desactivar directamente el "Active Scripting" en las "Opciones de Internet", pestaña de "seguridad", "nivel personalizado".

El otro problema de seguridad encontrado en el navegador es mucho menos peligroso. Cuando se abren en Internet Explorer páginas web almacenadas en el disco duro y se imprimen con cualquier impresora virtual en formato PDF, el navegador añade en el archivo información que no debería estar ahí, como la ruta local de la página que se ha impreso en PDF. Lo añade en el interior del archivo de forma que no se ve a simple vista. Es necesario abrir el archivo PDF con un editor para observarlo. Un atacante con acceso al documento PDF podría obtener así información sensible a partir de esas rutas locales, como por ejemplo los nombres de usuario y versión del sistema operativo analizando el archivo con un editor.

La persona que ha alertado sobre este último problema, advierte que con el buscador Google, es muy sencillo encontrar ficheros PDF que han sido impresos en este formato a través del navegador y que contienen la ruta del disco duro donde estaban alojados. En la mayoría de las ocasiones si esta ruta es la de "Mis documentos" en Windows, podrían incluir el nombre de usuario que las generó.

Este fallo afecta a todas las versiones incluida la 8. Microsoft no lo considera un problema de seguridad, así que aunque ha reconocido el problema, no parece que vaya a aplicar un parche. Lo más probable es que posteriores versiones del navegador, o bien un posible futuro Service Pack, anulen este comportamiento. Mientras tanto, se recomienda que si se imprimen con impresoras virtuales páginas HTLM interpretadas con Internet Explorer, se abra posteriormente el archivo PDF con cualquier editor, se busque la información sensible y se elimine.

Fuente Hispasec.com

OCTUBRE 2009

Este mes de Octubre, Microsoft ha liberado 13 boletines de seguridad, como viene siendo habitual todos los segundos Martes de cada mes.

En esta ocasión se compone de 8 actualizaciones críticas, y 5 Importantes que solucionan varias vulnerabilidades, por lo que es recomendable actualizar los sistemas lo antes posible.

Actualizaciones críticas:

* MS09-050: Vulnerabilidades en Smbv2 podrían permitir la ejecución remota de código (975517).
* MS09-051: Vulnerabilidades en el módulo de tiempo de ejecución de Windows Media podrían permitir la ejecución remota de código (975682).
* MS09-052: Una vulnerabilidad en el Reproductor de Windows Media podría permitir la ejecución remota de código (974112).
* MS09-054: Actualización de seguridad acumulativa para Internet Explorer (974455)
* MS09-055: Actualización de seguridad acumulativa de bits de interrupción de ActiveX (973525).
* MS09-060: Vulnerabilidades en los controles ActiveX de Microsoft Active Template Library (ATL) podrían permitir la ejecución remota de código en Microsoft Office (973965).
* MS09-061: Vulnerabilidades en Microsoft .NET Common Language Runtime podrían permitir la ejecución remota de código (974378).
* MS09-062: Vulnerabilidades en GDI+ podría permitir la ejecución remota de código (957488)

Actualizaciones importantes:

* MS09-053: Vulnerabilidades en el servicio FTP de Internet Information Services podrían permitir la ejecución remota de código (975254).
* MS09-056: Vulnerabilidades en Windows CryptoAPI podrían permitir la suplantación de identidad (spoofing) (974571)
* MS09-057: Una vulnerabilidad en los servicios de Index Server podría permitir la ejecución remota de código (969059)
* MS09-058: Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (971486).
* MS09-059: Una vulnerabilidad en el servicio del subsistema de autoridad de seguridad local podría permitir la denegación de servicio (975467).

Más información: http://www.microsoft.com/spain/technet/security/bulletin/ms09-oct.mspx

SEPTIEMBRE 2009

Cisco parchea una docena de vulnerabilidades de sus routers

Cisco Systems ha enviado su segundo boletín bianual de parches de seguridad para el firmware de sus routers. Con él, el fabricante ha cubierto doce brechas existentes en sus productos.

Cisco describe las brechas en 11 notas sobre seguridad emitidas el miércoles, indicando que afectan a los conmutadores y routers que utilizan el software Cisco Unified Communications Manager, así como una diversidad de servicios de los dispositivos que utilizan el sistema operativo Cisco IOS.

“La explotación de las vulnerabilidades de forma individual podría tener dos efectos diferentes, una brecha de confidencialidad o un problema de denegación de servicio” (DoS), explica Cisco en el texto donde describe las actualizaciones.

Entre los parches de este boletín se incluye uno para un agujero en IOS que podría facilitar al atacante eludir las políticas de control de acceso desplegadas sobre los dispositivos que utilizan la funcionalidad Object Groups for ACL. De esta forma, aquel conseguiría acceso a partes de la red a las que no se permite la entrada.

• Existen múltiples errores no especificados en el manejador de conexiones TCP. Esto podría ser aprovechado por una atacante remoto para causar una denegación de servicio a través del envío de paquetes TCP especialmente manipulados.

• Un fallo en el software de NTP podría causar que los dispositivos se reinicien. Un atacante remoto podría causar una denegación de servicio mediante la repetición de esta vulnerabilidad.

• Otra vulnerabilidad reside en el Control de Listas de Acceso (ACLs) y podría permitir a un atacante remoto saltarse estas restricciones de seguridad.

• Otro boletín hace referencia a un problema en la implementación de H.323 podría causar que el dispositivo se reinicie. Un atacante remoto podría aprovechar esta vulnerabilidad para causar una denegación de servicio mediante la repetición de la explotación de este fallo.

• Un fallo en la implementación del protocolo SIP podría permitir a un atacante remoto causar una denegación de servicio cuando este activo "Cisco Unified Border Element".

• Otro de los problemas corregidos reside en un fallo en un dispositivo configurado con sslVpn o ssh que podría causar que el dispositivo se reinicie mediante un paquete TCP especialmente manipulado.

• Un fallo en la autenticación proxy https podría permitir a un atacante remoto eludir la autenticación del servidor proxy o eludir la página web de consentimiento.

• Existe un error no especificado en la implementación del protocolo IKE. Esto podría ser aprovechado por un atacante remoto, que consumiera todas las asociaciones disponibles, para causar una denegación de servicio que evitara nuevas conexiones IPSec a través de vectores no especificados.

• Existen dos fallos en dispositivos configurados con túneles IP y Cisco Express Forwarding.

• Otro problema corregido se presenta en la implementación del protocolo SIP cuando está configurado con la opción "Cisco IOS Zone-Based Policy Firewall SIP Inspection" activada. Esto podría permitir a un atacante remoto causar una denegación de servicio cuando a través del envío de un paquete SIP especialmente manipulado.

• Por último, un fallo en la autenticación de la sección "Extension Mobility" podría permitir a un atacante remoto ejecutar código arbitrario siempre que este activa la función "auto-registration".
  

Más Información: www.cisco.com/warp/public/707/cisco-sa-20090923-bundle.shtml

Fuente: CSO.es

AGOSTO 2009

Vulnerabilidad de Cross-Site Scripting en IBM Tivoli Identity Manager

Se ha anunciado una vulnerabilidad en IBM Tivoli Identity Manager 5.0 por la que un atacante remoto podría construir ataques de cross-site scripting.

Tivoli Identity Manager es un producto de IBM destinado a realizar una gestión de la información de usuarios automatizada y basada en políticas que permite gestionar con eficacia cuentas de usuario, permisos de acceso y contraseñas desde su creación hasta su caducidad, en entornos y recursos de IT heterogéneos.

El problema, reside en un error en la consola de autoservicio en el tratamiento del parámetro LAST y que podría ser aprovechado por un atacante remoto para lograr la ejecución de código script arbitrario.

Para corregir esta vulnerabilidad IBM ha publicado el Interim Fix Interim Fix 5.0.0.6-TIV-TIM-IF0031.

http://www-01.ibm.com/support/docview.wss?rs=0&uid=swg1IZ54747

Debian ha publicado una actualización del kernel 2.6 que corrige múltiples fallos de seguridad

Podrían causar denegaciones de servicio, elevación de privilegios o pérdidas de información sensible.

Un error en la función "udp_sendmsg" cuando se usa la bandera "MSG_MORE" en sockets UDP. Un atacante local sin privilegios podría causar una denegación de servicio o elevar privilegios a través de vectores no especificados.

Un segundo problema reside en una falta de validación de argumentos en el driver eisa-eeprom para la arquitectura hppa. Esto podría permitir a un atacante local obtener información sensible.

Existe un error en el tratamiento de bytes de alineamiento en la función "do_sigaltstack" en sistemas 64 bits. Esto podría ser empleado por un atacante local para obtener información sensible.

Otro problema se presenta al liberar el puntero "current->clear_child_tid" en la función "execre". Esto podría permitir a un atacante local causar una denegación de servicio a través de llamadas al sistema especialmente manipuladas.

Por ultimo, un error de referencia a puntero nulo en el driver md de "drivers/md/md.c". Esto podría permitir a un atacante local causar una denegación de servicio a través de llamadas especialmente manipuladas a ciertas funciones de la familia "suspend_*".

Se recomienda actualizar a través de las herramientas automáticas apt-get.

http://lists.debian.org/debian-security-announce/2009/msg00189.html

Denegación de servicio en el kernel de Solaris 8, 9, 10 y OpenSolaris

Sun ha publicado una actualización para los sistemas operativos Solaris 8, 9, 10 y OpenSolaris, para evitar una vulnerabilidad en el kernel que podría provocar condiciones de denegación de servicio.

Existe un error, no especificado, relacionado con la interacción de los subsistemas de memoria virtual y sistema de ficheros en el kernel de Solaris. Esto podría ser aprovechado por un atacante local autenticado para causar una denegación de servicio a través de vectores no especificados.

http://sunsolve.sun.com/search/document.do?assetkey=1-66-257848-1

JULIO 2009

Debilidades Wireless en IPhone

Dos expertos en seguridad informática, Lothar Gramelspacher y Max Moser, han revelado conductas de riesgo en la versión 3.0 del sistema operativo del iPhone en redes locales inalámbricas.

Cuando un iPhone detecta una WLAN pide a la red establecer contacto con un sitio web de Apple. Si establece contacto supone que todo está funcionando correctamente. Si no obtiene respuesta en lo absoluto, supone que la WLAN no tiene conexión a Internet.

El problema surge cuando recibe otro tipo de respuesta. Entonces, la rutina WLAN del iPhone supone que se encuentra en un portal donde se pide al usuario identificarse para obtener acceso a la red. Esta es una situación típica para zonas WLAN en hoteles, cafeterías y aeropuertos.

El iPhone responde automáticamente abriendo su navegador. La idea de los creadores del sistema operativo es que el usuario pueda proporcionar sus datos de login y clave de acceso.

Según Moser y Gramelspacher, este procedimiento hace que el iPhone quede disponible para una herramienta de penetración, disponible públicamente, denominada Karmetasploit.

Esto implica que intrusos pueden instalar una WLAN, y atraer teléfonos iPhone en la medida que se acerquen y aprovechando vulnerabilidades de Safari hacerse de información almacenada en el aparato.

En su blog, Moser explica que Apple "ha caído en la vieja trampa en que la seguridad es sacrificada en beneficio de la funcionalidad". El experto propone cambiar la funcionalidad WLAN del iPhone para salvaguardar la seguridad del usuario.

Moser ha publicado un vídeo donde explica la forma de secuestrar un iPhone cuando este entra a un área cubierta por una WLAN maligna.

Ver soluciones:  www.smobilesystems.com

Fuente: Diario Ti

Problema de seguridad en Android

Se ha descubierto un error de validación a la hora de manejar los permisos encargados de verificar el acceso a la cámara y al audio (Manifest.permission.CAMERA y Manifest.permission.AUDIO_RECORD respectivamente) en Andorid. Esto podría ser aprovechado por un atacante para obtener grabaciones de audio y video sin el consentimiento del usuario.

Cualquier aplicación Android necesitará la confirmación explícita del usuario para acceder a un solo de los recursos de audio y vídeo. Pero si se crea (y el usuario instala) una aplicación que no pida el uso de esos permisos, por error, los tendrá implícitamente (podrá usar el micrófono y la cámara) sin necesidad de que el usuario lo sepa.

Android es un sistema operativo para móviles basado en el kernel de Linux. Inicialmente lo desarrolló Google pero luego ha pasado a pertenecer a la Open Handset Alliance (formada por alrededor de 50 empresas del sector). Android trabaja con dos licencias, GPLv2 para componentes como los parches del kernel y Apache 2 para las aplicaciones ya que permite su comercialización de manera más simple.

Android está pensado para trabajar de manera similar a un Framework que además permite la intercomunicación entre distintas aplicaciones usando un interfaz propio para cada aplicación. El modelo usado por Android permite que los distintos programas informen al resto de que capacidades tienen y así el resto de programas pueden usarlas sin necesidad de implementarlas, claro está siguiendo ciertas reglas de seguridad.

Esta vulnerabilidad evade este control y permite que no se pida autorización al usuario para acceder a la cámara y el audio.

Las APIs oficiales son para Java; no obstante se podrían usar otros lenguajes, pero estos programas deberían compilarse para ARM (el procesador usado en la mayor parte de los dispositivo móviles actuales).

En la actualidad este sistema operativo es usado en algunos modelos de HTC y otras compañías, aunque el numero de dispositivos con este sistema operativo no es muy elevado.

Está solucionado en las versiones Android 1.5 CDBxx, CRCxx y COCxx donde xx son dígitos.

JUNIO 2009

Boletín de Junio de Microsoft

Críticos:

MS09-018 -> Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en implementaciones de Active Directory en Microsoft Windows 2000 Server y Windows Server 2003, y Active Directory Application Mode (ADAM) cuando se instala en Windows XP Professional y Windows Server 2003. La vulnerabilidad más grave podría permitir la ejecución remota de código.

MS09-019 -> Esta actualización de seguridad resuelve siete vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

MS09-021 -> Esta actualización de seguridad resuelve varias vulnerabilidades de las que se ha informado de forma privada que podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel especialmente diseñado que incluya un objeto de registro con formato incorrecto. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría lograr el control total de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

MS09-022 -> Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en el administrador de trabajos en cola de Windows. La vulnerabilidad más grave podría permitir la ejecución remota de código si un servidor afectado recibe una solicitud RPC especialmente diseñada. Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

MS09-024 -> Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en los convertidores de Microsoft Works. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Works especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

MS09-027 -> Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada que podrían permitir la ejecución remota de código si un usuario abre un archivo de Word especialmente diseñado. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

MAYO 2009

Vulnerabilidades en Microsoft Office PowerPoint permiten la ejecución remota de código (MS09-017)

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y varias vulnerabilidades de las que se ha informado de forma privada en Microsoft Office PowerPoint que podrían permitir la ejecución remota de código si un usuario abre un archivo de PowerPoint especialmente diseñado. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría lograr el control total de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Clasificación: Crítica - Ejecución remota de código

Software afectado: Microsoft Office

Más Información: http://www.microsoft.com/spain/technet/security/bulletin/ms09-may.mspx

Actualizaciones de seguridad para Adobe Reader y Acrobat

Se ha identificado una vulnerabilidad grave en Adobe Reader 9.1 y Acrobat 9.1, y en versiones anteriores. Esta vulnerabilidad (CVE-2009-1492) podría bloquear la aplicación y permitir que un intruso se hiciera con el control del sistema afectado. A partir del 4 de junio de 2009, existen informes que indican que se está explotando este problema. Asimismo, se ha detectado una segunda vulnerabilidad que parece afectar a Adobe Reader, sólo para UNIX (CVE-2009-1493).

Adobe recomienda que los usuarios de Adobe Reader 9.1 y Acrobat 9.1, y de versiones anteriores, actualicen a Adobe Reader 9.1.1 y Acrobat 9.1.1. Adobe recomienda que los usuarios de Acrobat 8 actualicen a Acrobat 8.1.5, y que los usuarios de Acrobat 7 actualicen a Acrobat 7.1.2. Para los usuarios de Adobe Reader que no puedan actualizar a Adobe Reader 9.1.1, Adobe ha proporcionado las actualizaciones de Adobe Reader 8.1.5 y Adobe Reader 7.1.2.

Clasificación: Crítica - Control total del sistema

Software afectados: Adobe Reader 9.1 y versiones anteriores. Adobe Acrobat Standard, Pro, Pro Extended 9.1 y versiones anteriores.

Más Información: http://www.adobe.com/es/support/security/bulletins/apsb09-06.html

ABRIL 2009

Parche Acumulativo de Oracle

Se ha publicado el parche acumulativo de Abril de 2009 para los siguientes productos de Oracle: Oracle Database, Oracle Application Server, Oracle Collaboration Suite, Oracle E-Business Suite, Oracle PeopleSoft Enterprise PeopleTools y BEA. Este parche soluciona múltiples vulnerabilidades que pueden comprometer la integridad, confidencialidad y disponibilidad de dichos productos asi como la información manejada por ellos.

Versiones vulnerables:

Oracle Database 11g, versión 11.1.0.6, 11.1.0.7
Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4
Oracle Database 10g, versión 10.1.0.5
Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0
Oracle Outside In SDK HTML Export 8.2.2, 8.3.0
Oracle XML Publisher 5.6.2, 10.1.3.2, 10.1.3.2.1
Oracle BI Publisher 10.1.3.3.0 10.1.3.3.1, 10.1.3.3.2, 10.1.3.3.3, 10.1.3.4
Oracle E-Business Suite Release 12, versión 12.0.6
Oracle E-Business Suite Release 11i, versión 11.5.10.2
PeopleSoft Enterprise PeopleTools versiones: 8.49
PeopleSoft Enterprise HRMS versiones: 8.9 y 9.0
Oracle WebLogic Server 10.3
Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 through 9.2 MP3
Oracle WebLogic Server 8.1 through 8.1 SP6
Oracle WebLogic Server 7.0 through 7.0 SP7
Oracle WebLogic Portal 8.1 through 8.1 SP6
Oracle Data Service Integrator 10.3.0 y Oracle AquaLogic Data Services Platform (BEA ALDSP) 3.2, 3.0.1, 3.0
Oracle JRockit (formerly BEA JRockit) R27.6.2 (JDK/JRE 6, 5, 1.4.2)

Más información: http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html

Boletín de seguridad de Abril para Microsoft:

Microsoft ha publicado ocho boletines de seguridad (del MS09-009 al MS09-016) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico", otros dos son "importantes" y un último con nivel moderado".

Más Información: http://www.microsoft.com/technet/security/bulletin/ms09-apr.mspx