AÑO 7 - Nº 05 - MAY 11



HOT VULNERABILITIES

Microsoft prepara un parche para la vulnerabilidad de día cero cookiejacking de Internet Explorer

Microsoft va a corregir un error de seguridad de día cero en Internet Explorer que puede permitir a los atacantes potenciales robar cookies de sesión de los usuarios, aunque ha dejado claro que no considera que la vulnerabilidad no representa un alto riesgo para los clientes y no ha detectado ataques activos en la naturaleza.

El único ataque creado alrededor de una explotación dirigida a la vulnerabilidad de día-cero fue demostrado en la reciente conferencia Hack in the Box en Amsterdam por el investigador de seguridad italiano Rosario Valotta.

Robar cookies de sesión, también conocido como cookiejacking, es similar a otro tipo de ataque denominado clickjacking, pero con un destino diferente.

Al mismo tiempo, teniendo en cuenta la publicidad que ha logrado la nueva vulnerabilidad de seguridad de IE en la semana pasada, es mejor que el fallo sea solucionado, especialmente si pensamos que se pueden construir ataques basados en ello.

Y aunque hasta el momento no han sido detectados ataques en la naturaleza, Brandon LeBlanc de Microsoft destacó que la compañía de Redmond ya está trabajando en un parche para el cookiejacking de día cero de IE.

La falta de ataques, combinada con la evaluación de bajo riesgo de este error significa que es muy poco probable que Microsoft ofrezca un parche fuera de banda. Probablemente, la actualización de seguridad diseñada para el cookiejacking de IE será incluida en el siguiente lote de actualizaciones para IE, cuando la empresa la finalice.

LeBlanc proporcionó informaciones adicionales sobre la razón por qué Microsoft no se da prisa en parchear este fallo:

"Para estar expuestos a riesgo tendría que suceder un número de cosas. Deberías ser engañado para interactuar con contenido malintencionado en un sitio web. Sólo después de esto, un tercero podría robar cookies de un sitio web donde habrías iniciado sesión anteriormente. Aunque esta amenaza ha sido demostrada por un investigador de seguridad, hasta la fecha no conocemos ningún ataque real en línea."

Prácticamente, incluso en situaciones cuando un atacante aprovecha la vulnerabilidad con éxito, las cookies de sesión no son robadas.

Además de la explotación, los usuarios también deben ser engañados a través de la ingeniería social para copiar los datos de la sesión y entregarlos, ya que el ataque funciona sólo si el nombre de usuario y la versión de Windows ejecutada por las víctimas son conocidas por el atacante.

"Esta es una forma de ataque de ingeniería social y este tipo de amenazas seguirá siendo una preocupación para los usuarios de Internet en todos los navegadores. Para este tipo de amenazas no se necesitan vulnerabilidades de software para que tenga éxito, por lo que siempre es una buena idea seguir las prácticas recomendadas – independientemente del navegador que utilizas - a fin de permanecer protegido," añadió LeBlanc

Fuente: SoftPedia

Envíanos tu comentario: contactos@infosecurityvip.com

 

Ediciones Anteriores

 

MAYO 2011

a Fundación Mozilla ha publicado siete boletines de seguridad (del MFSA2011-12 al MFSA2011-18) para solucionar 18 vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey).

Según la propia clasificación de Mozilla cuatro de los boletines presentan un nivel de gravedad "crítico", dos son de carácter "moderado" y un último considerado como "bajo".

Los boletines publicados son:

* MFSA 2011-12: Boletín crítico, que corrige diez problemas de seguridad de la memoria en el motor del navegador.

* MFSA 2011-13: Considerado crítico. Tres vulnerabilidades relacionadas con el tratamiento incorrecto de punteros.

* MFSA 2011-14: Boletín moderado, por una vulnerabilidad de robo de información a través del historial de formularios.

* MFSA 2011-15: Vulnerabilidad crítica de escalada de privilegios a través de Java Embedding Plugin (JEP) incluido en OS X.

* MFSA 2011-16: Boletín de gravedad moderada por una vulnerabilidad de escalada de directorios.

* MFSA 2011-17: Dos vulnerabilidades críticas en WebGLES.

* MFSA 2011-18: De gravedad baja, una vulnerabilidad en la función generate-id() de XSLT devuelve una cadena que puede revelar la dirección de un objeto en la memoria.

Se han publicado las versiones 4.0.1, 3.6.17 y 3.5.19 del navegador Firefox, la versión 3.1.10 de Thunderbird y la 2.0.14 de SeaMonkey; que corrigen todas estas vulnerabilidades, disponibles desde:

http://www.mozilla-europe.org/es/firefox/
http://www.mozillamessaging.com/es-ES/thunderbird/
http://www.seamonkey-project.org/

Resumen del boletín de seguridad de Microsoft de Mayo de 2011

Microsoft ha publicado dos boletines de seguridad (el MS11-035 y el MS11-036) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft un boletín presenta un nivel de gravedad "crítico", mientras que el otro se clasifica como "importante". En total se han resuelto tres vulnerabilidades.

Los boletines publicados son:

* MS11-035: Actualización "crítica" destinada a resolver una vulnerabilidad en el Servicio de Nombres Internet de Windows (WINS). La vulnerabilidad podría permitir la ejecución remota de código en un sistema afectado que ejecute el servicio WINS si un usuario recibe un paquete de réplica de WINS especialmente diseñado. Afecta a Windows Server 2003 y 2008.

* MS11-036: Se trata de una actualización "importante" destinada a solucionar dos vulnerabilidades en Microsoft Power Point. Afecta a Microsoft Office XP, Office 2003 y 2007; y Office 2004 y 2007 para Mac.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.
 

http://www.microsoft.com/spain/technet/security/bulletin/ms11-may.mspx

Fuente: Microsoft


ABRIL 2011 

Resumen del boletín de seguridad de Microsoft de abril de 2011

 

Identificador

Título de boletín y resumen ejecutivo

Clasificación

Software afectado

MS11-018

Actualización de seguridad acumulativa para Internet Explorer (2497640)

Crítica
Ejecución remota de código

Microsoft Windows,
Internet Explorer

MS11-019

Vulnerabilidades en el cliente SMB podrían permitir la ejecución remota de código (2511455)

Crítica
Ejecución remota de código

Microsoft Windows

MS11-020

Una vulnerabilidad en el servidor SMB podría permitir la ejecución remota de código (2508429)

Crítica
Ejecución remota de código

Microsoft Windows

MS11-027

Actualización de seguridad acumulativa de bits de interrupción de ActiveX (2508272)

Crítica
Ejecución remota de código

Microsoft Windows

MS11-028

Una vulnerabilidad en .NET Framework podría permitir la ejecución remota de código (2484015)

Crítica
Ejecución remota de código

Microsoft Windows

MS11-029

Una vulnerabilidad en GDI+ podría permitir la ejecución remota de código (2489979)

Crítica
Ejecución remota de código

Microsoft Windows,
Microsoft Office

MS11-030

Una vulnerabilidad en la resolución DNS podría permitir la ejecución remota de código (2509553)

Crítica
Ejecución remota de código

Microsoft Windows

MS11-031

Una vulnerabilidad en los motores de scripting de VBScript y JScript podría permitir la ejecución remota de código (2514666)

Crítica
Ejecución remota de código

Microsoft Windows

MS11-032

Una vulnerabilidad en el controlador de OpenType CFF (Compact Font Format) podría permitir la ejecución remota de código (2507618)

Crítica
Ejecución remota de código

Microsoft Windows

MS11-021

Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código (2489279)

Importante
Ejecución remota de código

Microsoft Office

MS11-022

Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código (2489283)

Importante
Ejecución remota de código

Microsoft Office,
Software de servidor de Microsoft

MS11-023

Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (2489293)

Importante
Ejecución remota de código

Microsoft Office

MS11-024

Una vulnerabilidad en Editor de portadas de fax de Windows podría permitir la ejecución remota de código (2527308)

Importante
Ejecución remota de código

Microsoft Windows

MS11-025

Una vulnerabilidad en la biblioteca Microsoft Foundation Class (MFC) podría permitir la ejecución remota de código (2500212)

Importante
Ejecución remota de código

Herramientas y software para desarrolladores de Microsoft

MS11-026

Una vulnerabilidad en MHTML podría permitir la divulgación de información (2503658)

Importante
Divulgación de información - Ejecución remota de código

Microsoft Windows

MS11-033

Una vulnerabilidad en los convertidores de texto de WordPad podría permitir la ejecución remota de código (2485663)

Importante
Ejecución remota de código

Microsoft Windows

MS11-034

Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (2506223)

Importante
Elevación de privilegios

Microsoft Windows

Fuente: Microsoft


MARZO 2011

Resumen del boletín de seguridad de Microsoft de marzo de 2011

Microsoft ha publicado tres boletines de seguridad (del MS11-015 y el MS11-017) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft un boletín presenta un nivel de gravedad "crític", mientras que los dos restantes se clasifican como "importantes". En total se han resuelto cuatro vulnerabilidades.

MS11-015: Actualización "crítica" destinada a resolver una vulnerabilidad en DirectShow y otra en el Reproductor de Windows Media y Windows Media Center. La más grave de ellas podría permitir la ejecución remota de código si un usuario abre un archivo de grabación de vídeo digital de Microsoft (.dvr-ms) especialmente diseñado. Afecta a Windows XP, Vista, Windows 7 y Windows Server 2008.

MS11-016: Se trata de una actualización "importante" destinada a solucionar una vulnerabilidad en Microsoft Groove 2007. El problema podría permitir la ejecución remota de código si un usuario abre un archivo legítimo relacionado con Groove, que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado.

MS11-017: Boletín "importante" destinado a corregir una vulnerabilidad en el cliente de Escritorio remoto de Windows. Este problema permitiría la ejecución remota de código si un usuario abre un archivo legítimo de configuración de Escritorio remoto (.rdp), que se encuentre en la misma carpeta de red que un archivo de biblioteca especialmente diseñado. Afecta a los Clientes de Conexión a Escritorio remoto 5.2, 6.0, 6.1 y 7.0.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más Info: http://www.microsoft.com/spain/technet/security/bulletin/ms11-mar.mspx

Casi 40 vulnerabilidades han sido descubiertas en el kernel de Ubuntu 10.04, también conocido como Lucid Lynx.

Los agujeros, que permiten exploits remotos y locales, también se aplican a las versiones correspondientes de Kubuntu, Edubuntu y Xubuntu. Las vulnerabilidades incluyen un problema en la forma en que Common Internet File System valida los paquetes de respuesta Internet Control Message Protocol (ICMP).

El problema permite a un atacante enviar paquetes de denegación de servicio. Además, un agujero en el Network File System v4 (NFSv4) echa a perder ciertas peticiones escritura permitiendo a usuarios maliciosos obtener privilegios de root.

Uno se imagina que luego de esto los programadores de Ubuntu corregirán todas estas vulnerabilidades, ya que las distros de Linux son conocidas por ser seguras y confiables, así que es de suponerse que pronto estarán parchados los problemas.

Fuente: tecnologia21


FEBRERO 2011

Resumen del boletín de seguridad de Microsoft de febrero de 2011

Identificador del boletín

Título de boletín y resumen ejecutivo

Clasificación máxima de gravedad y consecuencias de la vulnerabilidad

Software afectado

MS11-003

Actualización de seguridad acumulativa para Internet Explorer (2482017)

Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada y dos vulnerabilidades de las que se ha informado de forma pública en Internet Explorer. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer o si abre un archivo HTML legítimo que cargue un archivo de biblioteca especialmente diseñado. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Crítica
Ejecución remota de código

Microsoft Windows,
Internet Explorer

MS11-006

Una vulnerabilidad en el procesamiento de gráficos del shell de Windows podría permitir la ejecución remota de código (2483185)

Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en el procesador de gráficos del shell de Windows. Esta vulnerabilidad podría permitir la ejecución remota de código si un usuario visualiza una imagen en miniatura especialmente diseñada. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Crítica
Ejecución remota de código

Microsoft Windows

MS11-007

Una vulnerabilidad en el controlador de OpenType CFF (Compact Font Format) podría permitir la ejecución remota de código (2485376)

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el controlador OpenType CFF (Compact Font Format) de Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario consulta el contenido representado en una fuente CFF especialmente diseñada. El atacante no podría en ningún caso obligar a los usuarios a ver el contenido especialmente diseñado. Por lo tanto, tendría que atraerlos a un sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

Crítica
Ejecución remota de código

Microsoft Windows

MS11-004

Una vulnerabilidad en el servicio FTP de Internet Information Services (IIS) podría permitir la ejecución remota de código (2489256)

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en el servicio FTP de Microsoft Internet Information Services (IIS). La vulnerabilidad podría permitir la ejecución remota de código si un servidor FTP recibe un comando de FTP especialmente diseñado. El servicio FTP no se instala de forma predeterminada en IIS.

Importante
Ejecución remota de código

Microsoft Windows

MS11-005

Una vulnerabilidad en Active Directory podría permitir la denegación de servicio (2478953)

Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Active Directory. La vulnerabilidad podría permitir la denegación de servicio si un atacante envía un paquete especialmente diseñado a un servidor de Active Directory afectado. El atacante debe tener privilegios de administrador válidos en el equipo unido al dominio para aprovechar esta vulnerabilidad.

Importante
Denegación de servicio

Microsoft Windows

MS11-008

Vulnerabilidades en Microsoft Visio podrían permitir la ejecución remota de código (2451879)

Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Visio. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Visio especialmente diseñado. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Importante
Ejecución remota de código

Microsoft Office

MS11-009

Una vulnerabilidad en los motores de scripts de JScript y VBScript podría permitir la divulgación de información (2475792)

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en los motores de scripts de JScript y VBScript. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un sitio web especialmente diseñado. El atacante no podría obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

Importante
Divulgación de información

Microsoft Windows

MS11-010

Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2476687)

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el servicio de subsistema de tiempo de ejecución de cliente-servidor (CSRSS) de Microsoft Windows en Windows XP y Windows Server 2003.

La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema de un usuario e inicia una aplicación especialmente diseñada que continúe ejecutándose después de que el atacante cierre la sesión para obtener las credenciales de los usuarios posteriores. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Los usuarios anónimos o los usuarios remotos no pueden aprovechar esta vulnerabilidad.

Importante
Elevación de privilegios

Microsoft Windows

MS11-011

Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (2393802)

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante ha iniciado sesión localmente y ha ejecutado una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de aprovechar estas vulnerabilidades. Los usuarios anónimos o los usuarios remotos no pueden aprovechar estas vulnerabilidades.

Importante
Elevación de privilegios

Microsoft Windows

MS11-012

Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (2479628)

Esta actualización de seguridad resuelve cinco vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante ha iniciado sesión localmente y ha ejecutado una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de aprovechar estas vulnerabilidades. Los usuarios anónimos o los usuarios remotos no pueden aprovechar estas vulnerabilidades.

Importante
Elevación de privilegios

Microsoft Windows

MS11-013

Vulnerabilidades en Kerberos podrían permitir la elevación de privilegios (2496930)

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante local y autenticado instala un servicio malintencionado en un equipo unido al dominio.

Importante
Elevación de privilegios

Microsoft Windows

MS11-014

Una vulnerabilidad en el servicio de subsistema de autoridad de seguridad local podría permitir la elevación local de privilegios (2478960)

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el servicio de subsistema de autoridad de seguridad local (LSASS) en Windows XP y Windows Server 2003.

La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Los usuarios anónimos o los usuarios remotos no pueden aprovechar esta vulnerabilidad.

Importante
Elevación de privilegios

Microsoft Window

 

Software más vulnerable 2010


La compañía de seguridad Bit9 presentó un listado anual llamado Dirty Dozen con las aplicaciones con el mayor número de vulnerabilidades 2010.

Los navegadores Chrome y Safari seguidos de la suite Microsoft Office, obtienen el dudoso honor de ser las aplicaciones más vulnerables.

Hay que señalar que esta clasificación no solo perjudica a aquellas compañías que dan a conocer sus problemas de seguridad frente a aquellas que no dan información sobre sus vulnerabilidades, sino que no tiene en cuenta la rapidez con que las vulnerabilidades detectadas son solucionadas.

De todo lo anterior concluimos que este ranking de software más vulnerable no equivale necesariamente a software más inseguro.

Ranking Software más vulnerable 2010

1. Google Chrome: 76 vulnerabilidades publicadas
2. Safari: 60 vulnerabilidades publicadas
3. Microsoft Office: 57 vulnerabilidades publicadas
4. Adobe Reader y Acrobat: 54 vulnerabilidades publicadas
5. Mozilla Firefox: 51 vulnerabilidades publicadas
6. Sun Java Development Kit: 36 vulnerabilidades publicadas
7. Adobe Shockwave Player: 35 vulnerabilidades publicadas
8. Microsoft Internet Explorer: 32 vulnerabilidades publicadas
9. RealPlayer de RealNetworks: 14 vulnerabilidades publicadas
10. WebKit de Apple: 9 vulnerabilidades publicadas
11. Adobe Flash Player: 8 vulnerabilidades publicadas
12. QuickTime de Apple y Opera: 6 vulnerabilidades publicadas

Es interesante constatar que los cinco navegadores web más importante, IE, Firefox, Chrome,Opera y Safari se encuentra incluidos en esta clasificación, así como el software de Apple (Safari, Webkit y QuickTime) aparece hasta en tres ocasiones en este ranking.

 

Copyright © 2011 I-SEC. Todos los derechos reservados
Política de privacidad