777soft.net Informatica Ciencia y Tecnologia en 777soft

Algunas casas antivirus advierten de que una de las últimas vulnerabilidades de Internet Explorer 7 se está aprovechando activamente por atacantes para infectar sistemas. Lo curioso no es que un fallo (que se suponía previamente desconocido) esté siendo aprovechado poco después de hacerse público. La novedad introducida en este caso, es que se está realizando (ya por segunda vez) el ataque al navegador a través de documentos en formato Word.
El pasado martes 10 de febrero, en su boletín MS09-002, Microsoft solucionó dos vulnerabilidades críticas que afectaban sólo a Internet Explorer 7. Ambas permitían la ejecución de código arbitrario si la víctima visitase una web especialmente manipulada. Apenas una semana después de que Microsoft hiciese público el parche, se han detectado los primeros ataques. Una vez con el parche en su poder, los atacantes aplican ingeniería inversa para conocer las zonas de código que modifica la actualización, y averiguar los detalles técnicos concretos de la vulnerabilidad para así aprovecharla en su beneficio con exploits.

Normalmente este tipo de vulnerabilidades que permiten ejecución de código en el navegador necesitan que la víctima visite una web manipulada. En este caso, además de este vector, los atacantes se están ayudando de un documento Word con un objeto ActiveX incrustado en su interior. Cuando se interpreta con Word el documento, Internet Explorer 7 visita la web que sí contiene el exploit y se aprovecha la vulnerabilidad (si la víctima no ha aplicado el parche). Se establece un paso previo que al parecer puede resultar rentable al atacante: en vez de inducir a la visita de una página web, se incita al usuario a abrir un documento que, gracias a su interactividad con el navegador, abrirá una página web que sí permite infectar al sistema.

La ventaja adicional para los creadores del malware es que esto se produce de forma transparente al usuario. Pero sólo si se ha sido descuidado en la configuración de su paquete ofimático. Si se evita la ejecución de macros en Word, el control ActiveX no se instanciará y no se descargará nada. Por defecto Microsoft bloquea la ejecución de macros en Office. Obviamente, la visita directa a la página (sin abrir el documento) también infectará a la víctima siempre que no esté parcheada y no haya elevado la seguridad de su navegador para evitar la ejecución de JavaScript en sitios desconocidos.

Una vez infectado, como es habitual, el malware descarga diferentes componentes y robará información confidencial de la víctima. En diciembre se dio ya el primer caso de vulnerabilidades en Internet Explorer 7 aprovechadas a través de documentos Word…[]

Fuente Hispasec.com

MS09-002 Exploit in the wild uses MSWord Lure
http://www.avertlabs.com/research/blog/index.php/2009/02/17/ms09-002-exploit-in-the-wild-uses-msword-lure/

Another Exploit Targets IE7 Bug
http://blog.trendmicro.com/another-exploit-targets-ie7-bug/

Cumulative Security Update for Internet Explorer (961260)
http://www.microsoft.com/technet/security/bulletin/MS09-002.mspx

Posted under Hispasec, Internet, Microsoft, Seguridad informatica |

Adobe ha publicado una actualización para Flash Player que soluciona numerosos problemas de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario en el sistema vulnerable.
Flash Player es un popular reproductor multimedia de ficheros Shockwave Flash(SWF). Originalmente creado por Macromedia, paso a ser mantenido y distribuido por Adobe tras su adquisición de Macromedia en el 2005. Flash Player está disponible para una amplia gama de plataformas, como Microsoft Windows, Linux, Mac OS, Solaris, HP-UX, Pocket PC, Symbian y Palm OS entre otras.

A continuación se especifican las vulnerabilidades corregidas.

1- Una referencia a un objeto no válido podría permitir a un atacante remoto ejecutar código arbitrario a través de un archivo Flash especialmente manipulado. Esta vulnerabilidad, descubierta por Javier Vicente Vallejo y reportada a través de iDefense, fue notificada al equipo de Adobe el pasado mes de agosto.

2- Un error de validación de entrada que podría causar una denegación de servicio, e incluso permitir la ejecución remota de código.

3- Se ha corregido un error no especificado relacionado con Settings Manager que podría permitir ataques de clickjacking.

4- Un fallo no especificado relacionado con la visualización por pantalla del puntero del ratón podría permitir ataques de clickjacking en sistemas Windows.

5- Revelación de información sensible, a través del binario de Flash Player para Linux, que podría permitir una escalada de privilegios. Adobe no ha proporcionado detalles técnicos acerca de las vulnerabilidades, aunque especifica que explotando la primera, y posiblemente la segunda, un atacante podría ejecutar código arbitrario si el usuario reproduce un fichero SWF especialmente manipulado.

Los productos y versiones afectados son:
Adobe Flash Player version 10.0.12.36 y anteriores.
Adobe Flash Player version 10.0.15.3 para Linux y anteriores.
Adobe AIR 1.5.
Adobe Flash CS4 Professional.
Adobe Flash CS3 Professional.
Adobe Flex 3.

Fuente hispasec.com

Adobe Flash Player actualizar a las versiones 10.0.22.87 o 9.0.159.0, desde: http://get.adobe.com/es/flashplayer/  

Adobe Air, se recomienda instalar la última versión (v.1.5.1) desde: http://get.adobe.com/es/air/  

Security Advisories : APSB09-01 – Flash Player update available to
address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb09-01.html

Adobe Flash Player Invalid Object Reference Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=773

Posted under Adobe, Hispasec, Seguridad informatica |

En Intego han encontrado una copia pirata y troyanizada de iWork 09 circulando por las redes de pares. Lo relevante en este caso es que el software es para el sistema operativo Mac OS X. Los atacantes parecen seguir teniendo cierto interés en este sistema operativo.

Los investigadores han encontrado una copia completa y funcional de iWork 09 para Mac OS X en redes de torrent, pero con un añadido: OSX.Trojan.iServices.A. El troyano se oculta en el paquete iWorkServices.pkg. Se instala en la carpeta de inicio para asegurar su ejecución continuada en el sistema infectado. Según la compañía que lo ha descubierto, (que se dedica a vender software para proteger sistemas Macintosh) 20.000 usuarios ya lo han descargado gratuitamente desde estas redes. El iWork 09 cuesta unos 80 dólares.

El troyano no es muy sofisticado. Notifica a un servidor (perteneciente al atacante) de que un sistema ha sido infectado, lo introduce en su red controlada de bots y, entre otras cosas, está diseñado para provocar denegaciones de servicio distribuidas a servidores web a través de una avalancha de peticiones. Al parecer está programado en un principio para atacar al servidor dollarcardmarketing.com al que ya ha causado serios problemas de disponibilidad.

El malware para Mac va en aumento. En los últimos años en especial, los de la familia DNSChanger que modifican los servidores DNS para que la víctima se dirija a páginas arbitrarias. Lo interesante de este suceso es que el atacante ha buscado una forma relativamente poco usada de difundir el troyano. El iWork pirata está completo, no es un “fake”. Durante la instalación (sea original o no) el programa pedirá credenciales de root para poder ejecutarse y ahí es donde el atacante salva un importante escollo: el usuario entenderá que para ahorrarse el pago del software original e instalar el pirata, necesita temporalmente privilegios de administrador.

Aunque las vulnerabilidades para Mac OS X son muchas y muy graves, los atacantes todavía no las están aprovechando en masa para difundir malware en este sistema operativo. Esta técnica la dejan para usuarios de Windows, principalmente. Esto es así porque normalmente, el usuario de Windows trabaja como administrador por defecto (excepto en Vista), y la explotación de vulnerabilidades no requerirá elevación de privilegios. Así, de forma transparente el atacante podrá ejecutar e infectar a sus anchas de una sola vez.

Por el contrario, para las víctimas de Apple se valen normalmente de la ingeniería social para intentar tomar control del sistema. Quizás por el hecho de que habitualmente en Mac se trabaja con usuarios limitados. Si el atacante desea infectar realizando cambios significativos en el sistema, necesita conocer de alguna forma la clave de root o que el usuario se la proporcione, y ahí es donde entran “las malas artes” para hacer creer a la víctima que el malware camuflado las necesita. Si aprovechase vulnerabilidades de programas que se ejecutan bajo cuentas limitadas, la infección significativa del sistema no sería del todo transparente…[]

Fuente hispasec.com

Mac Trojan Horse OSX.Trojan.iServices.A Found
in Pirated Apple iWork 09
http://www.intego.com/news/ism0901.asp

Posted under Apple, Hispasec, Internet, Seguridad informatica |

SuSE ha publicado una actualización para múltiples paquetes que corrigen numerosos problemas de seguridad.

De forma resumida, las vulnerabilidades son:

Múltiples fallos de denegación de servicio en wireshark y en varios de sus disectores: GSM SMS, PANA, KISMET, RMI, Bluetooth ACL, PRP, MATE y Q931.

Salto de restricciones de seguridad y denegación de servicio en mysql.

Una comprobación de límites insuficiente en imap podría hacer que ciertas aplicaciones que hacen uso de la librería dejasen de responder.

Salto de la directiva de configuración $AllowedSender en rsyslog.

Un atacante podría inyectar código SQL al utilizar pgsql en courier-authlib.

Una actualización de nfs-utils corrige una vulnerabilidad que podría permitir a un atacante remoto saltarse ciertas restricciones de acceso de los Wrappers TCP.

Denegación de servicio en libxml2 causada por un bucle infinito al procesar archivos XML especialmente manipulados.

Una actualización de python que corrige vulnerabilidades de desbordamiento de enteros, en el módulo imageop y en el método expandtabs, que podrían permitir a un atacante remoto ejecutar código arbitrario o causar una denegación de servicio.

Múltiples fallos de seguridad en jhead podrían causar una denegación de servicio y permitir la ejecución de código arbitrario…sigue

Articulo en hispasec.com

[security-announce] SUSE Security Summary Report: SUSE-SR:2009:001
http://lists.opensuse.org/opensuse-security-announce/2009-01/msg00002.html

Posted under Hispasec, Linux, Seguridad informatica, Sistemas operativos |

Se ha anunciado la existencia de cuatro diferentes vulnerabilidades en los servidores RealNetworks Helix Server versiones 11 y 12, que podrían ser explotadas por usuarios maliciosos para provocar denegaciones de servicio o incluso comprometer los sistemas afectados.
El primero de los problemas reside en un desbordamiento de búfer en el tratamiento de comandos RTSP DESCRIBE que podría ser empleado para lograr ejecutar código arbitrario sin necesidad de autenticación ni interacción por parte del usuario.

Otro desbordamiento de búfer se produce a través de comandos RTSP SETUP, mediante el envío de tres peticiones específicamente creadas al puerto 554 del servidor afectado.

Un tercer desbordamiento de búfer en “DataConvertBuffer” también permite la ejecución de código arbitrario.

Por último, otro desbordamiento de búfer de datos codificados en Base64 en la autenticación NTLM también puede permitir la ejecución de código arbitrario.

Las vulnerabilidades están confirmadas en Helix Server versión 11.x y 12.x y en Helix Mobile Server versión 11.x y 12.x…[]

Fuente Hispasec.com
http://docs.real.com/docs/security/SecurityUpdate121508HS.pdf

Posted under Hispasec, Internet, Seguridad informatica, Technology, Tecnologia |

Se ha encontrado una vulnerabilidad en PHP, en la extensión de tratamiento de cadenas con tipografía multibyte, que podría permitir a un atacante ejecutar código arbitrario.
El fallo se debe a un desbordamiento de memoria basado en heap en la extensión mbstring que podría permitir la ejecución de código con los privilegios del servicio objetivo. El problema se da en el código que decodifica cadenas que contienen entidades HTML a cadenas Unicode (mbfilter_htmlent.c).

Las funciones afectadas (entre otras) son:
mb_convert_encoding()
mb_check_encoding()
mb_convert_variables()
mb_parse_str()

Son vulnerables todas las versiones anteriores a la 4.3.0 y 5.2.7. El problema ha sido solucionado en la versión 5.2.8 disponible en www.php.net

Fuente hispasec.com

Más Información:

PHP Buffer Overflow in Multibyte String Extension May Let Users Execute Arbitrary Code
http://securitytracker.com/alerts/2008/Dec/1021482.html

Posted under Hispasec, Internet, PHP, Seguridad informatica, Technology, Tecnologia |

Debian ha publicado una actualización del kernel que corrige múltiples fallos de seguridad que podrían causar una denegación de servicio o una elevación de privilegios.
Los problemas corregidos son:

* Denegación de servicio local o escalada de privilegios en rch/i386/kernel/sysenter.c a través de las funciones install_special_mapping, syscall y syscall32_nopage.

* Denegación de servicio local a través de los sistemas de archivos ext2 y ext3. Un usuario local con permisos para montar sistemas de archivos podría crear un sistema de archivos especialmente manipulado pudiendo hacer que el kernel envíe mensajes de error de forma indefinida.

* Salto de restricciones de seguridad a través de splice() en archivos abiertos con O_APPEND, que podría permitir la escritura en dicho archivo.

* Posibles denegaciones de servicio remoto a través del subsistema SCTP (kernel oops y kernel panic).

* Denegaciones de servicio local a través del sistema de archivos hfsplus. Un usuario local con permisos para montar sistemas de archivos podría crear un sistema de archivos especialmente manipulado que podría dar lugar a una corrupción de memoria o kernel oops.

* Denegación de servicio, a través del subsistema de sockets unix, que podría causar una corrupción de memoria o kernel panic.

* Denegación de servicio, a través de la función svc_listen de net/atm/proc.c. Un usuario local podría provocar un bucle infinito mediante dos llamadas a svc_listen hacia el mismo socket y, a continuación, una lectura del archivo /proc/net/atm/*em….sigue

Fuente hispasec.com

[DSA 1687-1] New Linux 2.6.18 packages fix several vulnerabilities
http://lists.debian.org/debian-security-announce/2008/msg00279.html

Posted under Hispasec, Internet, Linux, Seguridad informatica, Sistemas operativos, Technology, Tecnologia |