Cross site scripting en phpMyAdmin.

El conocido software escrito en PHP para la administración de bases de datos MySQL, es vulnerable a ataque cross site scripting.



El equipo de phpMyAdmin ha publicado una alerta informando de un fallo en la funcionalidad "structure snapshot" al no realizar correctamente la validación de los datos pasados a través de los parámetros tabla, columna e índice. Un atacante remoto podría ejecutar código JavaScript a través de una URL especialmente manipulada y de esta forma obtener, por ejemplo, la cookie de sesión del administrador.

La víctima debe usar Internet Explorer (versiones menores o iguales a la 8), para ejecutar código JavaScript a través de la funcionalidad de exportación de seguimiento, (tracking export, en tbl_tracking.php).

Esto parece ser posible debido a que Internet Explorer finaliza la interpretación de los nombres de fichero en la cabecera adjunta cuando llega al primer punto y coma cuando intenta determinar el content-type.

Un nombre de tabla especialmente manipulado, por ejemplo "test.html;", causaría el XSS.

La funcionalidad de seguimiento de informe, tracking report, también es vulnerable a otro XSS aunque en este caso, la explotación implica un token válido para poder realizar la manipulación de los parámetros de la URL. Por tanto, el atacante requiere de acceso a la base de datos de la víctima además de los permisos CREATE o ALTER TABLE. También debe poder habilitar la funcionalidad de seguimiento.

phpMyAdmin fue avisado el 26 de julio y ahora publica las soluciones.

Se recomienda la actualización a las versiones 3.3.10.4 o 3.4.4, o bien aplicar los diferentes parches listados en la web de phpMyAdmin.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4689/comentar

Más información:

phpMyAdmin Tracking XSS-Vulnerability
http://fd.the-wildcat.de/pma_e36aa9e2e0.php

PMASA-2011-13
http://www.phpmyadmin.net/home_page/security/PMASA-2011-13.php



Fuente:
Borja Luaces
bluaces@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

G Data InternetSecurity 2012 consigue la certificación AV-TEST.

Capacidad de detección y usabilidad, bajo la lupa de sus análisis.




Todos sabemos que hoy en día es necesario utilizar una solución de seguridad para proteger cualquier ordenador, corporativo o personal, contra ciberataques, malware y amenazas online.

La institución independiente AV-TEST ha examinado cuidadosamente 22 suites de seguridad para comprobar que cumplen con estos requisitos y concederles, o no, el aval de su certificación. El procedimiento ha puesto su acento en la protección antimalware, la capacidad de reparación y la facilidad de uso. Mientras que seis de los paquetes analizados no superaron las pruebas de AV-TEST, G Data InternetSecurity 2012 consiguió, por quinta vez consecutiva, la certificación AV-TEST.

“G Data InternetSecurity 2012 ha funcionado brillantemente en todos los aspectos de nuestro análisis. Esta solución de seguridad no solo ha ofrecido una completa protección contra las infecciones de malware sino que también ha conseguido unos impresionantes resultados reparando sistemas infectados”, ha resumido Andreas Marx, director ejecutivo de AV-TEST acerca del rendimiento de G Data.


Certificación AV-TEST

El crecimiento constante y sostenido de nuevas amenazas online y ataques contra ordenadores personales y corporativos hace indispensable utilizar una solución antivirus potente. El mercado ofrece un gran abanico de alternativas pero es casi imposible para el consumidor poder valorar la calidad de todas y cada una de ellas.

Como institución independiente, AV-TEST ha estado analizando y testando las actuales suites domésticas de seguridad en diferentes intervalos desde 2010. Su sofisticado procedimiento de análisis pone el acento en tres áreas diferentes: protección, capacidad de reparación y usabilidad. Para analizar el nivel de protección ofrecido por cada programa se utilizan complejos escenarios en los que las diferentes soluciones tienen que demostrar su efectividad para detectar y bloquear el malware en diferentes momentos del análisis.

La certificación AV-TEST asegura a cada usuario que el software de seguridad testado ha su-perado un análisis independiente y ofrece las máximas garantías.


G Data InternetSecurity 2012

G Data InternetSecurity 2012 protege contra cualquier amenaza online sin afectar al rendimiento del PC. Gracias a su tecnología de escaneado inteligente, los escaneos se realizan de forma automática cuando se detecta que el usuario no está utilizando el sistema. El nuevo sistema de comparación de archivos sospechosos en la nube, la protección frente atroyanos bancarios y su firewall silencioso son solo tres de las muchas tecnologías de protección que hacen asegura la navegación en Internet.

G Data InternetSecurity 2012 también incluye un plug-in para Outlook 2007/2010 que prote-ge frente a correos infectados y spam. Su control parental permite la navegación en determi-nadas franjas horarias y bloquea páginas web en función de su contenido.


Sobre AV-TEST

AV-TEST GmbH es un institución independiente que desarrolla su actividad en el terreno de la seguridad TI y la investigación antivirus centrando su atención en la detección y el análisis de las últimas amenazas que luego son utilizadas en completos análisis y comparativas de producto.

Las pruebas de AV TEST permiten analizar al momento el nuevo malware, detectar tenden-cias de virus en su fase inicial así como analizar y certificar las soluciones de seguridad. Los resultados de AV-TEST ofrecen una información muy valiosa y puede ser utilizada por los propios fabricantes para optimizar sus productos, por la prensa especializada y por aquellos consumidores que quieran informarse a fondo antes de seleccionar su producto de seguridad.

AV-TEST emplea 23 especialistas con una dilatada experiencia y profundos conocimientos técnicos. Sus laboratorios están equipados con una red global de 200 equipos entre clientes y servidores que almacenan y procesan más de 300 terabytes de datos maliciosos e inocuos recogidos por AV-TEST y que utilizan en sus diferentes pruebas.

Más información en www.av-test.org


G Data Software AG

Con sede en Bochum (Alemania), G Data Software AG es una innovadora multinacional alemana con una dilatada experiencia en el desarrollo de soluciones de seguridad. Especialista en seguridad online y pionera en protección antivirus, G Data, fundada en 1985, desarrolló su primer programa antivirus hace más de 20 años. Es pues uno de los fabricantes de software de seguridad más veteranos de todo el mundo. Fruto del I+D+i que la compañía despliega en el desarrollo de sus soluciones, en los últimos cinco años G Data ha recibido los más prestigiosos premios internacionales como proveedor de seguridad. Sus soluciones de seguridad para usuario final y empresas están disponibles en más de 90 países. Más información sobre la compañía y sus productos en www.gdata.es



Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Denegación de servicio en Apache a través de Range header.

Se ha publicado un sencillo exploit que permite provocar una denegación de servicio en todas las versiones de Apache.




Esto significa que se puede dejar sin servicio a los servidores web Apache con la configuración por defecto. De nuevo el responsable del descubrimiento ha sido Kingcope, que ha dado todos los detalles técnicos sin avisar previamente. En realidad el fallo se conocía desde 2007.

El día 19 de agosto, viernes, Kingcope hizo público un sencillo exploit en Perl que permitía provocar una denegación de servicio en Apache desde un solo sistema. Cuando menos, el rendimiento del servidor atacado se reducían considerablemente. Hacía mucho tiempo que no se publicaba un exploit que permitiese "echar abajo" un servidor entero desde un solo ordenador. Lo curioso es que Michal Zalewski descubrió algo muy parecido en enero de 2007. Usando un mismo vector de ataque, se conseguía un efecto diferente: Zalewski agotaba el ancho de banda, mientras que Kingcope consigue agotar los recursos físicos del servidor. Al no publicarse exploit entonces, sino simplemente explicar un comportamiento "extraño", no recibió demasiada atención.

No es la primera vez que Kingcope publica sin previo aviso. En septiembre de 2009 hizo público un fallo en IIS 5. En noviembre, una elevación de privilegios en FreeBSD y en julio, un grave problema en OpenSSH de FreeBSD. Siempre lleva hasta sus últimas consecuencias el "full disclosure" y suele enviar sin más a las listas de seguridad todos los detalles del problema. Con Apache no ha hecho una excepción.

La vulnerabilidad se encuentra en el módulo mod_deflate. Consiste en el agotamiento de recursos al crear múltiples peticiones con la cabecera Range manipulada. Según el exploit publicado se envía esta cabecera con la siguiente secuencia 0-,5-0,5-1,5-2...5-1299. Esto provoca que el servidor genere múltiples respuestas que son fragmentos de un mismo recurso, en definitiva, se trata de peticiones manipuladas de rangos de bytes de un mismo archivo o recurso a descargar. Además la petición se realiza con la cabecera "Accept-Enconding: gzip" que hace que el servidor vulnerable intente comprimir cada fragmento solicitado, consumiendo memoria y tiempo de procesador hasta que el proceso deja de responder.

"mod_deflate" es un módulo empleado por Apache para comprimir contenido antes de ser devuelto al cliente. Este módulo es instalado y habilitado por defecto en la instalación base de Apache.

No existe parche oficial por parte de Apache aunque sí que se han hecho públicos diferentes métodos para mitigar el ataque y la promesa de un parche en 48 horas (lo que acumularía una semana tras el aviso).

Se recomienda seguir las contramedidas que describe Apache, disponibles en la dirección:
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3c20110824161640.122D387DD@minotaur.apache.org%3e


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4688/comentar

Más información:

Apache httpd Remote Denial of Service (memory exhaustion)
http://www.exploit-db.com/exploits/17696/

Revival of an Unpatched Apache HTTPD DoS
http://isc.sans.edu/diary.html?storyid=11449



Fuente:
Borja Luaces
bluaces@hispasec.com
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Nueva versión beta de Panda Cloud Antivirus 1.9.1 con firewall.

La nueva versión beta 1.9.1 incluye un firewall inteligente basado en la Comunidad que asignará automáticamente privilegios de entrada y salida a los procesos en función de su peligrosidad.




Panda Security, The Cloud Security Company, anuncia el lanzamiento de la nueva versión beta 1.9.1 del primer antivirus desde la nube Panda Cloud Antivirus. La principal mejora que se añade en esta versión es la inclusión de un firewall inteligente que basa su funcionamiento en el conocimiento recogido por la Comunidad. Se trata de una de las herramientas más demandadas por los usuarios, que con esta nueva beta ven cumplidos sus deseos para maximizar su protección.

El nuevo firewall incluido en la versión beta Panda Cloud Antivirus 1.9.1 asignará automáticamente privilegios de entrada y salida a los procesos que se estén ejecutando en el equipo, en función del riesgo que conlleven.

En concreto, las características de la nueva funcionalidad serán:

1. Reglas de aplicación: Para que el usuario decida qué programas instalados en la computadora podrán acceder a Internet.

2. Reglas de sistema: las cuales se aplican a todos los programas. A diferencia de otros Firewalls, se encuentran integradas en la misma pantalla que las reglas de aplicación, lo que permite una priorización entre ambos tipos de reglas.

3. Prioridad de las reglas: Configuración del orden de aplicación de las reglas.

4. Gestión automática de permisos de los programas que establecen conexiones de red, en base al riesgo asociado al proceso por la Inteligencia Colectiva, de la siguiente forma:
• Creación automática de reglas entrantes y salientes para dar permisos a programas detectados como “Seguros”.
• Creación automática de reglas salientes para dar permisos a programas detectados como “Riesgo Bajo”.
• Regla automática de denegación, tanto para las conexiones entrantes como para las salientes aplicadas a los programas detectados como “Riesgo Alto”.

5. Alertas locales avisando de los intentos de conexión de las aplicaciones y posibilidad de crear desde las mismas alertas reglas para definir los permisos.

6. Importación / Exportación de reglas.

7. Notificación en el reporte de los intentos de conexión bloqueados a las aplicaciones.


Según Pedro Bustamante, Senior Research Advisor de Panda Security, “la filosofía del Firewall, al igual que la del producto, es la mínima intrusividad. Evita trasladar al usuario las decisiones haciendo uso de su gestión automática de permisos basada en el conocimiento del programa en la Inteligencia Colectiva, la cual está nutrida por nuestra comunidad. Además, para usuarios avanzados, permite la creación, edición y priorización de reglas de forma manual.”

Además de la inclusión de esta nueva herramienta, la nueva versión beta de Panda Cloud Antivirus 1.9.1 ha corregido fallos de versiones anteriores y aumenta la optimización de rendimiento en los análisis, tanto automáticos como los realizados por el propio usuario.

Los usuarios que ya cuenten con Panda Cloud Antivirus serán actualizados automáticamente a la nueva versión.


Sobre Panda Security

Fundada en 1990, Panda Security es la empresa líder a nivel mundial en soluciones de seguridad basadas en la nube. La compañía cuenta con productos traducidos a más de 23 idiomas y millones de clientes en 195 países. Panda Security fue la primera empresa de seguridad informática en aprovechar el potencial del ‘Cloud Computing’ con su tecnología de Inteligencia Colectiva. Este innovador modelo de seguridad puede analizar y clasificar de forma automática miles de nuevas muestras de malware al día, proporcionando a los clientes corporativos y a los usuarios domésticos la protección más eficaz contra las amenazas de Internet con mínimo impacto sobre el rendimiento de la PC. Panda Security cuenta con 61 oficinas repartidas por todo el mundo y oficinas centrales en Estados Unidos (Florida) y Europa (España).



Fuente:
Panda Security
Panda Antivirus
www.pandaantivirus.com.ar

PHP 5.3.8 corrige un fallo introducido por la propia PHP 6 días atrás

El pasado día 17 de agosto, se publicaba la nueva versión estable
(5.3.7) del popular lenguaje de programación PHP. Incluía la corrección de un error de seguridad en la función "crypt" al utilizarse para ...



... generar contraseñas con "sal" que podría causar un desbordamiento de memoria intermedia. Seis días después lanzan una nueva versión para corregir un error introducido en la corrección.

La función "crypt" de PHP, permite a los usuarios generar el hash de una cadena utilizando un algoritmo de cifrado. Acepta además un segundo valor que sería un valor hash (MD5, Blowfish o DES) que se usa de sal para la generación a su vez del hash de una contraseña. Los hashes de contraseñas con sal intentan evitar los ataques de diccionario. La versión 5.3.7 corregía un desbordamiento de de memoria intermedia en esta función.

Pero al corregir este error, el equipo de desarrollo de PHP ha introducido otro que, como mínimo, no permitía el correcto funcionamiento de la función y además introducía otro potencial problema de seguridad. En lugar de devolver el hash correcto calculado con la cadena, la función "crypt" devolvía el mismo valor de la sal ya introducido como segundo parámetro cuando se usaba una sal MD5.

Si se utilizaba sal Blowfish o DES, se calculaba correctamente.

Ej:

printf("MD5: %s\n", crypt('password', '$1$U7AjYB.O$'));

Debía devolver: MD5: $1$U7AjYB.O$L1N7ux7twaMIMw0En8UUR1 pero en realidad devolvía: MD5: $1$U7AjYB.O

Es destacable en este caso que el grave problema ha dejado a algunos usuarios con aplicaciones inservibles o bien totalmente expuestas, porque según se utilizase esta función, se validaría cualquier contraseña en ciertos escenarios.

PHP no ha tardado en reaccionar, y una vez identificado el error, han publicado una nueva revisión del código en el repositorio oficial, de forma que ya está disponible la versión estable 5.3.8, que soluciona este fallo.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4686/comentar

Más información:

crypt() returns only the salt for MD5
https://bugs.php.net/bug.php?id=55439

PHP 5.3.8 (Current stable)
http://php.net/downloads.php



Fuente:
Fernando Ramírez
framirez@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Práctico: Cómo ocultar las extensiones de ficheros gracias a la codificación Unicode.

No es algo nuevo pero últimamente, el malware se está aprovechando de esta característica especial de codificación que permite "engañar" al usuario para que crean que un archivo ejecutable no lo es, puesto que ...




... ciertos programas lo muestran de forma diferente. Vamos a ver cómo conseguir esto exactamente.

El objetivo del malware es (de toda la vida) intentar que se lance un fichero ejecutable en el sistema. La distribución por correo de estos binarios todavía goza de bastante éxito, así que los atacantes buscan nuevas formas de hacer pensar a la víctima que en realidad está lanzando un archivo inofensivo. Para conseguirlo, se están ayudando de un carácter especial de la codificación Unicode. Esta codificación está pensada para representar multitud de idiomas, incluidos los que se muestran de derecha a izquierda (como el árabe o hebreo). Para ellos, Unicode implementa una serie de códigos especiales llamados "Right to Left" (RTL). A todo lo escrito a partir de ese código Unicode, se le "dará la vuelta" cuando es representado, además de que el código en sí es invisible.

¿Qué ocurre si aprovechamos esta funcionalidad para los nombres de fichero? Pues que podemos hacer que un archivo "Presupuestoslx.cmd"
(con extensión real .cmd, o sea, ejecutable) le aparezca al usuario como "Presupuestocmd.xls" en el explorador de Windows, en su cliente de correo... en todos los programas que soporten esta codificación.
Veamos cómo y por qué.

En realidad, este nombre de archivo se ha "escrito" así: Presupuesto[U+202E]slx.cmd

Insertando el carácter invisible y especial [U+202E] en el punto exacto, pero Windows, lo mostrará (configurado para mostrar las extensiones...
si se ocultan ni siquiera serían necesarias estas técnicas para disfrazar a los ejecutables): Presupuestodmc.xls

No a todos los programas lo muestran igual. Por ejemplo en la siguiente imagen se observa que Total Commander lista el mismo fichero con su extensión real.

http://blog.hispasec.com/laboratorio/images/noticias/unicode1.png

Y, lo que es peor, Windows lo tratará como indica su extensión original, esto es, como un ejecutable "cmd", lo que significa que lo ejecutará si se lanza. Otros ejemplos:

* Presupuesto[U+202E]cod.exe, Windows lo mostrará como Presupuestoexe.doc
* Presupuesto[U+202E]txt.exe, Windows lo mostrará como Presupuestoexe.txt

Si se modifica el icono del archivo (trivial), el engaño es total.

Cómo conseguirlo de forma práctica

Para construir el nombre, podemos ayudarnos de charmap.exe (el mapa de
caracteres) en Windows. Copiamos y pegamos el carácter 202E en Unicode (que corresponde con el RTLO, Right to Left Override, aunque con otros caracteres se puede hacer) en el punto adecuado del nombre de archivo a la hora de renombrar, y se conseguirá el efecto.

http://blog.hispasec.com/laboratorio/images/noticias/unicode2.png

Cuando se deja el puntero sobre el fichero, se observará que se "sombrea" de forma diferente. Las flechas de dirección al recorrerlo también estarán "cambiadas".

http://blog.hispasec.com/laboratorio/images/noticias/unicode3.png

No sólo en las extensiones

Siempre que el programa soporte este tipo de codificación y no restringa el uso de RTL, es posible realizar algún tipo de engaño visual. Nuestro compañero José Mesa ha creado este correo en el que se engaña al usuario sobre el dominio de la dirección de correo a la que se responde. Por ejemplo, se recibe un email de moc.cesapsih@gmail.com, y al "responder a", el cliente lo hará a moc.liamg@hispasec.com. Para conseguirlo, simplemente se han usado uno de estos caracteres especiales en el fichero .eml para codificar la dirección. Hemos colgado el fichero aquí:

http://blog.hispasec.com/laboratorio/images/noticias/testUnicode.eml

Esta técnica es aplicable también a direcciones URL, por ejemplo.

En definitiva, nada nuevo. Esta funcionalidad se conoce desde hace tiempo pero sí es cierto que ahora, y sobre todo en China, parece que está siendo más aprovechado que nunca por los creadores de malware, puesto que no todas las soluciones de seguridad la tienen en cuenta...
y por tanto resulta más "sencillo" eludir restricciones.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4685/comentar

Más información:

Unicode Security Considerations
http://unicode.org/reports/tr36/tr36-8.html

Unicode Character 'RIGHT-TO-LEFT OVERRIDE' (U+202E)
http://www.fileformat.info/info/unicode/char/202e/index.htm

How to enter Unicode characters in Microsoft Windows
http://www.fileformat.info/tip/microsoft/enter_unicode.htm



Fuente:
Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Actualización del kernel de Ubuntu.

Se ha publicado una actualización del kernel de Ubuntu 8.04 LTS destinada a corregir nueve problemas de seguridad con diferentes impactos, incluyendo denegación de servicio, pérdidas de privacidad y hasta ...




... obtención de privilegios de root.


Los problemas están asociados a vulnerabilidades en el sistema de archivos /proc, en Bluetooth, el filtrado de red, la pila de red DCCP, dispositivos TPM, el subsistema IRDA y redes X.25.


Se recomienda actualizar a los paquetes versión 2.6.24-29.93, disponibles desde
https://launchpad.net/ubuntu/+source/linux/2.6.24-29.93


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4684/comentar

Más información:

Ubuntu Security Notice USN-1189-1
http://www.ubuntu.com/usn/usn-1189-1/



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Vulnerabilidad en HP Easy Printer Care.

Se ha anunciado una vulnerabilidad en el software HP Easy Printer Care
2.5 (y anteriores) que podría permitir a un atacante tomar el control de los sistemas afectados.




El software HP Easy Printer Care, compatible con un gran número de impresoras de la familia Laser Jet y Color Laser Jet de HP, está destinado a ayudar a los usuarios finales a realizar el mantenimiento de una impresora o un grupo de impresoras HP para que funcionen correctamente. Este software permite ver el estado de las impresoras HP, así como configurar alertas personalizadas de impresión y de consumibles.

La vulnerabilidad reside en un error de validación de entradas en el método "SaveXML()" de la clase XMLSimpleAccessor (HPTicketMgr.dll). Este problema podría permitir a un atacante crear archivos arbitrarios mediante secuencias de escalada de directorios (por ejemplo, al visitar una página web específicamente creada).

La versión afectada , no está soportada por HP, por lo que este fabricante recomienda su desinstalación de los sistemas. En caso contrario se recomienda asignar el kill bit para el control ActiveX vulnerable (CLSID) {466576F3-19B6-4FF1-BD48-3E0E1BFB96E9} . El kill bit se asigna modificando el valor de DWORD del CLSID del ActiveX a 0x00000400.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4683/comentar

Más información:

HPSBPI02698 SSRT100404 rev.1 - HP Easy Printer Care Software Running on Windows, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02949847

HP Easy Printer Care XMLSimpleAccessor Class ActiveX Control Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-11-261/



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Desbordamiento de búfer en Symantec VERITAS Storage Foundation

Se ha descubierto una vulnerabilidad en Symantec Veritas Storage Foundation que podría permitir a un atacante remoto tomar el control de los sistemas afectados.




Veritas Storage Foundation de Symantec es una solución para la administración del almacenamiento en línea. Basado en los productos Veritas Volume Manager y Veritas File System, ofrece un conjunto estándar de herramientas destinadas a centralizar la administración de los datos, hardware de almacenamiento y la protección de los datos.

El problema reside en múltiples desbordamientos de búfer en el servicio Veritas Enterprise Administrator (vxsvc), que podrían permitir a un atacante remoto ejecutar código arbitrario con privilegios de administrador.

Se ven afectados múltiples productos de la familia Veritas Storage Foundation 5.1SP2 (y versiones anteriores) para plataformas HP-UX, AIX, Linux, Solaris y Windows.


Symantec ha publicado actualizaciones para todos los productos afectados, disponibles desde la página de descargas del aviso en:
http://www.symantec.com/docs/TECH165536


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4682/comentar

Más información:

Security Advisories Relating to Symantec Products - Symantec Veritas Enterprise Administrator service (vxsvc) buffer overflows http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110815_00

Symantec Veritas Enterprise Administrator service (vxsvc) multiple buffer overflows
http://www.symantec.com/docs/TECH165536



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Actualización para Apple Mac OS X Lion.

Apple ha publicado una actualización para su sistema operativo Mac OS X Lion 10.7 que incluye mejoras generales del sistema operativo que ofrecen mayor estabilidad y compatibilidad para los sistemas Mac.




Esta nueva versión OS X Lion v10.7.1 viene a resolver diferentes problemas, como la parada del sistema al reproducir un vídeo en Safari, un fallo del sistema de audio al usar HDMI o un cable óptico de audio y se soluciona un problema en que se puede perder la cuenta de administrador en la migración a OS X Lion.

Por último se ha aumentado la fiabilidad de la conexión WIFI, así como la solución a un problema que impide la transferencia de datos, configuraciones y aplicaciones a un nuevo Mac con OS X Lion.

Se recomienda la actualización a todos los usuarios de Mac OS X Lion, a través de la funcionalidad de actualización (Software Update en el menú Apple) de Mac OS X o, descargándolas directamente desde:
http://www.apple.com/support/downloads/


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4681/comentar

Más información:

About the OS X Lion v10.7.1 Update
http://support.apple.com/kb/HT4764



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Actualización de seguridad para QuickTime.

Apple ha publicado una nueva versión de QuickTime (la 7.7), que solventa
16 problemas de seguridad en sus versiones para Windows y Mac OS.



Las vulnerabilidades están relacionadas con la reproducción de imágenes, vídeos o sonidos específicamente manipulados en múltiples formatos (algunas afectan en particular a los formatos Pict, JPEG2000, WAV, JPEG, GIF o H.264).

Los problemas podrían provocar una denegación de servicio o permitir la ejecución remota de código arbitrario.

La actualización puede instalarse a través de las funcionalidades de actualización automática (Software Update) de Apple, o descargándolas directamente desde:
http://www.apple.com/quicktime/download/


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4680/comentar

Más información:

About the security content of QuickTime 7.7
http://support.apple.com/kb/HT4826



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

RealNetworks publica actualización para RealPlayer.

RealNetworks ha anunciado una actualización para corregir once vulnerabilidades en RealNetworks RealPlayer, que podrían permitir a un atacante comprometer los sistemas afectados.




Se ven afectadas las versiones RealPlayer 11.0 a 11.1, RealPlayer SP 1.0 a 1.1.5, RealPlayer 14.0.0 a 14.0.5, RealPlayer Enterprise 2.0 a 2.1.5 y RealPlayer para Mac 12.0.0.1569.

Los problemas afectan a diferentes aspectos del reproductor, incluyendo la reproducción de archivos QCP o Flash, etiquetas ID3 MP3, al ActiveX, a los cuadros de diálogo, al Elemento de Códificación de Audio Avanzado o a la actualización automática. Y la mayoría de los problemas podrían permitir la ejecución remota de código arbitrario y comprometer los sistemas afectados.

Se recomienda actualizar a las versiones RealPlayer 14.0.6 (para Windows XP, Vista y Win7), RealPlayer 12.0.0.1701 para Mac OS X 10.3 a 10.6 y RealPlayer Enterprise 2.1.6 (para Windows XP, Vista y Win7)


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4679/comentar

Más información:

RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables.
http://service.real.com/realplayer/security/08162011_player/es/



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Vulnerabilidades en el servidor DNS de Windows.

Dentro del conjunto de boletines de seguridad de agosto publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS11-058) de dos vulnerabilidades ...




... (la más grave de carácter crítico) en el servidor DNS de Windows.


La vulnerabilidad más grave reside en la forma en que el servidor DNS de Windows trata en memoria una consulta NAPTR especialmente diseñada. Este problema podría permitir la ejecución remota de código en sistemas Windows Server 2008.

Un segundo problema consiste en una denegación de servicio debido a que el servidor DNS gestiona de forma incorrecta un objeto en memoria no inicializado. Esta vulnerabilidad afecta a Windows Server 2003 y 2008.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/spain/technet/security/bulletin/MS11-058.mspx

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4678/comentar

Más información:

Boletín de seguridad de Microsoft MS11-058 - Crítico Vulnerabilidades en el servidor DNS podrían permitir la ejecución remota de código (2562485) http://www.microsoft.com/spain/technet/security/bulletin/MS11-058.mspx



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Actualización del kernel para SuSE Linux Enterprise 10

SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server y Desktop en su versión 10 SP4 en la que se corrigen 11 vulnerabilidades de diverso alcance.




Los problemas corregidos están relacionados con la implementación del protocolo Datagram Congestion Control Protocol (DCCP); compartidos CIFS; el sistema de archivos NFS; particiones LDM y con diferentes funciones en kernel/taskstats.c, drivers/char/agp/generic.c, fs/proc/array.c, kernel/pid.c y drivers/scsi/mpt2sas/mpt2sas_ctl.c.

Los problemas podrían permitir evitar restricciones de seguridad, obtener información sensible, elevar los privilegios del usuario, realizar ataques de denegación de servicio, o ejecución de código arbitrario.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4677/comentar

Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2011:034)
http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00010.html



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Información corporativa en peligro.

Un reciente estudio elaborado por la consultora Harris Interactive revela la preocupante cifra del número de empleados que estarían dispuestos a vender información corporativa con una finalidad clara: el beneficio propio.



Parece ser que la lealtad a una empresa, o cualquier principio ético, pueden ser comprados por una módica cantidad de dinero, principalmente cuando se mezclan con situaciones problemáticas en la empresa, como despidos o bajas.

El 14% de los encuestados admiten que copiarían datos electrónicos y archivos para llevárselos cuando se vayan de la empresa, además de mostrarse cómodos en caso de que tuvieran que vender esa información confidencial por Internet, sin importar el destino final y su uso posterior.

No solamente una empresa está sometida a ataques externos de Hawking; el peligro puede encontrarse en su interior. El acceso a la documentación está al alcance de una serie de usuarios que incluyen empleados, personal externo, socios comerciales o proveedores.

Las infraestructuras en las que se trabaja cada vez son más amplias y complejas, pero también más accesibles.

La información confidencial exige controles de acceso, niveles de clasificación de documentos según la sensibilidad de los datos y un preciso seguimiento de las normas en vigor.

Se han invertido décadas tratando de trabajar en redes cada vez más extensas y fuertes frente a intrusos. Pero estas medidas han sido diseñadas para frustrar únicamente el acceso no autorizado, dejando libre el acceso autorizado.

Es necesario crear una conciencia en empresas y organizaciones para aprovechar los recientes casos de fugas de información o incidentes con datos personales para analizar el impacto que tendría si saliese a la luz información confidencial de su negocio por no tener las medidas necesarias a tiempo.



Fuente:
Iván Ontañón Ramos
Departamento Legal
Áudea Seguridad de la Información
www.audea.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Revelación de información sensible en Apache Tomcat.

Apache Software Foundation ha hecho pública la resolución de una nueva vulnerabilidad en Apache Tomcat. Esta vulnerabilidad con el
CVE-2011-2729 (afecta a las versiones 5, 6 y 7), y queda definida con un ...



... nivel de severidad de "Importante" al permitir la revelación de información sensible.


Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

Debido a un error en las políticas de seguridad del servicio jsvc se permitiría a las aplicaciones web tener acceso a ficheros y directorios pertenecientes al superusuario.

Esta situación sólo se daría si la instalación de Tomcat está bajo un sistema operativo Linux, el servicio jsvc fue compilado con libcap y se utilizó el parámetro -user.

Se recomienda actualizar Tomcat y aplicar las contramedidas necesarias:

Versiones afectadas

* Tomcat 7.0.0 a 7.0.19
Actualizar a la versión ya disponible 7.0.20:
http://tomcat.apache.org/download-70.cgi

* Tomcat 6.0.30 a 6.0.32 y Tomcat 5.5.32 a 5.5.33 Utilizar las contramedidas disponibles hasta que se hagan públicas las nuevas versiones (6.0.33 y 5.5.34 respectivamente):
* Actualizar el servicio jsvc a la versión 1.0.7 o posterior.
* No utilizar el parámetro -user para cambiar de usuario
* Recompilar el servicio jsvc sin libcap.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4676/comentar

Más información:

Fixed in Apache Tomcat 7.0.20
Important: Information disclosure CVE-2011-2729
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.20

Apache Tomcat - Security Updates
http://tomcat.apache.org/security.html



Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Actualización acumulativa para Internet Explorer.

Dentro del conjunto de boletines de seguridad de agosto publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS11-057) de una actualización acumulativa para Internet




... Explorer 6, 7, 8 y 9; que además solventa siete nuevas vulnerabilidades.


Dos de las vulnerabilidades corregidas residen en errores de desbordamiento de memoria al acceder a objetos no inicializados, borrados o dañados en Internet Explorer. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada.

Otra vulnerabilidad reside en la forma en que el navegador obtiene acceso a un objeto que se puede haber dañado debido a una condición de ejecución. La vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario.

Otros tres de los problemas residen en una divulgación de información, que mediante la creación de una página web maliciosa podrían permitir a un atacante conseguir acceso al contenido de otro dominio o zona de Internet Explorer.

Por último, el controlador de URIs de telnet se ve afectado por una vulnerabilidad de ejecución remota de código.

Este parche, al ser acumulativo, incluye todas las actualizaciones anteriores.

Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/spain/technet/security/bulletin/MS11-057.mspx


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4675/comentar

Más información:

Boletín de seguridad de Microsoft MS11-057 - Crítico Actualización de seguridad acumulativa para Internet Explorer (2559049) http://www.microsoft.com/spain/technet/security/bulletin/MS11-057.mspx



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

La seguridad de los tablets: ¿Qué virus se dirigen a estos dispositivos?

Informe de Kaspersky. Android se está convirtiendo en el Windows del mundo móvil y por lo tanto blanco de los ataques de cibercriminales.



El 43% de los usuarios de móvil en España tiene previsto comprar un tablet en el próximo semestre. El potencial de crecimiento de estos dispositivos en nuestro país es indudable, tal y como confirma Mobile Life, un estudio realizado recientemente por la consultora TNS. Ya sabemos que cualquier novedad supone un aliciente y reto para los ciberdelincuentes, y los tablets no iban a ser menos.

Según Dmitry Bestuzhev, director para América Latina del equipo Global de Investigación y Análisis (GReAT) de Kaspersky Lab, tanto los tablets como los smartphones han dotado a la seguridad de una nueva perspectiva: la movilidad. La seguridad se orientaba a evitar sobre todo que los archivos se infectasen. Los tiempos han cambiado, y ahora el enfoque se dirige a las aplicaciones maliciosas que se alojan en los mercados de aplicaciones y a proteger los datos frente a un ciberataque o al robo o pérdida del dispositivo.

La mayor parte de los virus de PCs no pueden infectar a un Tablet, pero también debemos tener en cuenta que muy pocos tablets cuentan con protección antivirus hoy en día. Por tanto, los cibercriminales, a pesar de no contar con muchos programas de código malicioso específicos, tienen grandes oportunidades de infectar exitosamente los tablets.


¿Qué virus se dirigen a los tablets?

Al igual que en los PCs, los virus pueden llegar a los tablets vía online o cuando sus equipos no están conectados a Internet (al insertar un USB u otros dispositivos, por ejemplo).

Si hablamos de los peligros que acechan a través de la red, los tipos de virus que atacan a los tablets varían y dependen en parte del sistema operativo que posean. Los tablets con sistema operativo Android pueden ser infectados por el malware que ataca únicamente a este sistema operativo. Lo mismo pasa con aquellas que poseen sistema operativo Windows.

En cuanto al comportamiento del malware, puede dirigirse al acceso remoto no autorizado de un tablet comprometido o al robo de información confidencial de carácter financiero, como logins, pins y contraseñas.

Aparte de los virus, también existen otras amenazas igualmente peligrosas – se trata de los ataques phishing y los ataques de envenenamiento de DNS que redirigen a un sitio malicioso a un usuario sin que se dé cuenta. En ambos casos cualquier usuario de cualquier tablet puede ser una víctima fácil.

Muchos de los programas maliciosos que atacan Android son clones casi idénticos a las aplicaciones legítimas y los usuarios generalmente confían y la descargan. Incluso aquellos que únicamente descargan aplicaciones del Android Market están en riesgo . En los últimos meses, Google se ha visto obligado a retirar más de cien aplicaciones maliciosas que se han vendido y promocionado desde su tienda online.

“Android se está convirtiendo en el Windows del mundo móvil y por lo tanto blanco de los ataques de cibercriminales. Ya ni siquiera es una novedad encontrar malware para Android, cada día surgen más aplicaciones maliciosas en el mercado de Google", apunta Bestuzhev.



Fuente:
Diario Ti
www.diarioti.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Gobierno británico desea interceptar a los ´vándalos de Facebook

Sentarían precedente. David Cameron considera instaurar medidas contra las redes sociales debido a los desórdenes que han afectado a Inglaterra en los últimos días.




Los disturbios que han tenido lugar en ciudades británicas durante los últimos días han disminuido en intensidad en las últimas horas.

Sin embargo, el Primer Ministro David Cameron considera que la situación podría agravarse nuevamente. Por lo tanto, considera instaurar medidas inmediatas contra los medios sociales que han sido utilizados por los organizadores de los disturbios.

En declaraciones hechas ante el parlamento británico el 11 de agosto, Cameron señaló que el flujo de información puede ser utilizado "para bien y para mal", y que cuando los usuarios recurren a las redes sociales para incitar a la violencia es necesario "salirles al camino".

Cameron explicó que el gobierno analiza, junto a los servicios de inteligencia, la posibilidad de impedir a los activistas comunicarse y planear actos de violencia.

Cameron se negó a especificar a qué medios se refiere, pero es un hecho que los activistas han tenido un gran nivel de actividad en Facebook y Twitter.



Fuentes:
BBC, The Register y Yahoo News
Diario Ti
www.diarioti.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Ejecución remota de código en BlackBerry Enterprise Server.

BlackBerry ha publicado una nueva actualización para corregir cinco graves vulnerabilidades en BlackBerry Enterprise Server. Los problemas podrían permitir a un atacante remoto ejecutar código arbitrario ...



... mediante imágenes PNG o TIFF especialmente manipuladas.


Los CVE de las vulnerabilidades, identificados con una puntuación CVSS de 10.0 (críticos), son: CVE-2010-1205, CVE-2010-3087, CVE-2010-2595, CVE-2011-0192 y CVE-2011-1167.


Las vulnerabilidades afectan a dos componentes principalmente:

* Servicio de conexión BlackBerry MDS que gestiona las conexiones TCP/IP y HTTP entre aplicaciones BlackBerry, tanto si residen en servidores empresariales, Web o de bases de datos. La vulnerabilidad se activaría al procesar las imágenes TIFF o PNG especialmente manipuladas incluidas en una página web.

* Agente BlackBerry Messaging encargado de la gestión del correo electrónico. El agravante en este caso es que no haría falta la interactuación del usuario, ni siquiera abrir un email, para explotar la vulnerabilidad. El código malicioso se ejecutará automáticamente ya que previamente el agente lo procesa en la recepción y se activa al cargar las imágenes TIFF o PNG especialmente manipuladas.


La actualización corrige dichas vulnerabilidades con una nueva versión de la librería 'image.dll' para las ediciones de Enterprise Server afectadas:

* BlackBerry Enterprise Server Express versión 5.0.1 a 5.0.3 para Microsoft Exchange
* BlackBerry Enterprise Server Express versión 5.0.2 y 5.0.3 para IBM Lotus Domino
* BlackBerry Enterprise Server versión 5.0.1 y 5.0.2 para Microsoft Exchange y IBM Lotus Domino
* BlackBerry Enterprise Server versión 5.0.3 para Microsoft Exchange y IBM Lotus Domino
* BlackBerry Enterprise Server versión 4.1.7 para Novell GroupWise
* BlackBerry Enterprise Server versión 5.0.1 para Novell GroupWise


Dada la diversidad de versiones y sistemas de correo afectados (Microsoft Exchange, IBM Lotus Domino y Novell GroupWise), se recomienda consultar el aviso publicado en:
http://btsc.webapps.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB27244
y descargar la actualización correspondiente.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4674/comentar

Más información:

[KB27244] Vulnerabilities in BlackBerry Enterprise Server components that process images could allow remote code execution
http://btsc.webapps.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB27244



Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Anonymous anuncia destrucción total de Facebook: 5 de noviembre

Los "hacktivistas" de Anonymous han anunciado en el foro Abovetopsecret.com que el próximo 5 de noviembre Facebook dejará de existir.




En su anuncio, Anonymous no especifica la forma en que se propone destruir Facebook. Normalmente, la organización utiliza ataques distribuidos de denegación de servicio (DDoS) para desconectar sitios.


Motivación política

Anteriormente, Anonymous ha realizado ataques contra el conglomerado mediático del magnate Rupert Murdoch y contra servicios de pago como PayPal y Mastercard.

A decir propio, sus motivaciones han sido políticas, con la finalidad de defender la libertad de expresión y la protección de la privacidad en Internet. La cuenta en Twitter @OP_Facebook, creada con motivo de la planeada acción, indica: "Facebook ha censurado nuestras cuentas sin razón alguna. Ha llegado la hora de ponerle fin. Esta es la auténtica operación de AnonOp que pondrá fin a la censura en Facebook".

Lo anterior implica que Anonymous atacará a Facebook en represalia por haber cerrado cuentas supuestamente pertenecientes a miembros de la organización.

En el comunicado difundido por Abovetopsecret, Anonymous defiende el derecho de los usuarios de Internet a no ser vigilados, perseguidos ni utilizados con fines comerciales.

La organización ha publicado además un vídeo en Facebook, donde una voz artificial explica los objetivos de la acción.


Celebran un antiguo rebelde

La fecha de la operación, el 5 de noviembre, no es casual. Ese día, en Gran Bretaña se rememora la "Noche de Guy Fawkes" (o Bonfire night, La noche de las hogueras) donde se simula que se quema en la hoguera a Guy Fawkes.


Wikipedia lo describe de la siguiente manera:

Guy Fawkes (York, Inglaterra; 13 de abril de 1570 - Londres; 31 de enero de 1606), también conocido como Guido Fawkes, fue un conspirador católico inglés, hijo de un notario de York, que sirvió en el Ejército Español de los Países Bajos. Perteneció a un grupo del Restauracionismo Católico de Inglaterra que planeó la "Conspiración de la pólvora", con el objetivo de hacer volar el Parlamento y asesinar al Rey Jacobo I, sus familiares y al resto de los miembros de la Cámara de los Lores mediante explosivos situados en la base del edificio, y que Fawkes debía hacer explotar cuando los parlamentarios estuviesen reunidos.

Arrestado el 5 de noviembre de 1605, declaró que quería volar el Parlamento para acabar con las persecuciones religiosas. Se negó a denunciar a sus cómplices y fue ejecutado.

Bajo el subtítulo de "Curiosidades", Wikipedia escribe: Curiosidades

El conspirador Guy Fawkes ha inspirado el personaje "V" de la historieta V de Vendetta de Alan Moore y David Lloyd, y la posterior película.

El fenómeno de Internet Anonymous, que lucha contra la censura en internet y en favor de la transparencia política, utiliza la imagen popularizada por el comic "V de Vendetta" como un símbolo de identidad.



Fuente:
Diario Ti
www.diarioti.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Adobe publica cinco boletines de seguridad.

Adobe ha publicado cinco boletines de seguridad (del APSB11-19 al
APSB11-23) para tratar problemas en Adobe Shockwave Player, Flash Media Server, Flash Player, Photoshop CS5 y RoboHelp. En total se han corregido 23 vulnerabilidades.



En el boletín, APSB11-19 se tratan siete vulnerabilidades para Adobe Shockwave Player 11.6.0.626 (y versiones anteriores) en sistemas Windows y Macintosh. Los problemas corregidos podrían permitir a a un atacante ejecutar código en los sistemas afectados. Se recomienda a los usuarios de Adobe Shockwave Player actualizar a Adobe Shockwave Player 11.6.1.629.

El aviso de seguridad APSB11-20 se refiere a una vulnerabilidad crítica en Adobe Flash Media Server (FMS) 4.0.2 (y anteriores), y Adobe Flash Media Server (FMS) 3.5.6 (y anteriores) para Windows y Linux. Esta vulnerabilidad podría permitir a un atacante provocar denegaciones de servicio en el sistema afectado. Se recomienda la actualización a Flash Media Server 4.0.3 o 3.5.7.

En el aviso APSB11-21 se solucionan 13 vulnerabilidades en Adobe Flash Player 10.3.181.36 (y anteriores) para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.185.25 (y anteriores) para Android.

Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados. Se recomienda a los usuarios de Windows, Macintosh, Linux y Solaris actualizar a Flash Player 10.3.183.5. Los usuarios de Android deben actualizar a Flash Player 10.3.186.3.

Existe otra vulnerabilidad crítica (APSB11-22) en Photoshop CS5 y CS5.1 (12.0 y 12.1) y versiones anteriores para Windows y Macintosh. El problema, que podría permitir un atacante tomar el control de los sistemas afectados, reside en el tratamiento de archivos .gif maliciosos. Se recomienda la actualización de Photoshop.

Por ultimo, una vulnerabilidad importante en RoboHelp 9 (versiones 9.0.1.232 y anteriores), RoboHelp 8, RoboHelp Server 9 y RoboHelp Server 8. Un atacante podría emplear una URL específicamente creada para construir ataques de cross-site scripting en instalaciones RoboHelp. Se recomienda actualizar las instalaciones de RoboHelp.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4673/comentar


Más información:

APSB11-19 Security update available for Adobe Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb11-19.html

APSB11-20 Security updates available for Adobe Flash Media Server
http://www.adobe.com/support/security/bulletins/apsb11-20.html

APSB11-21 Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb11-21.html

APSB11-22 Security updates available for Adobe Photoshop CS5
http://www.adobe.com/support/security/bulletins/apsb11-22.html

APSB11-23 Security updates available for RoboHelp
http://www.adobe.com/support/security/bulletins/apsb11-23.html



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

ESET aconseja tomar precauciones al conectarse a un Wi-Fi público

Las redes inalámbricas presentan riesgos para la seguridad de los usuarios como el sniffing, la fuga de información, la interceptación de accesos por medio de una red gemela y los intentos de ataque 0-day.




Con más de 10 millones de puntos de acceso Wi-Fi pagos o gratuitos alrededor del mundo, los usuarios pueden conectarse a Internet desde casi cualquier lugar, desde plazas hasta aeropuertos. Sin embargo, es importante tomar conciencia de los riesgos que representan este tipo de conexiones para la seguridad de la información.

De acuerdo a los descubrimientos de Online Security Brand Tracker, un proyecto global de investigación encargado por ESET y desarrollado por InSites Consulting entre Abril y Mayo de este año, casi la mitad de los usuarios de Internet alrededor del mundo se conectan a Internet por medio de dispositivos portátiles. Las notebooks son las más populares, con los 41% de los resultados, seguidas en segundo lugar por las netbooks (3%). Completan el podio de utilización los smartphones (2%) y las tablets (1%).

“Utilizar una conexión gratis en un lugar que no frecuentamos, como un aeropuerto, puede parecer un modo eficaz de resolver tareas diarias cuando contamos con poco tiempo para buscar alternativas más seguras. Sin embargo, puede tener un alto costo: las credenciales de acceso y el tráfico de la red puede ser espiado y capturado y la información que está siendo transmitida, robada”, aseguró Cameron Camp, investigador de ESET.

Entre las amenazas informáticas que puede propagarse por medio de una conexión Wi-Fi podemos mencionar:

• Sniffing: Software o hardware que puede capturar y guardar el tráfico de una red.

• Fuga de información: los cibercriminales pueden modificar el tráfico de la red de modo de obtener datos confidenciales, como credenciales bancarias.

• Interceptación de accesos por medio de una red gemela: configuración de redes para simular una conexión Wi-Fi segura.

• Intentos de ataque 0-day a sistemas operativos y aplicaciones: ataques a través de exploits previamente desconocidos.


Resulta importante ser especialmente precavido cuando se trata de una red inalámbrica cuyo nombre no reconoce o se asemeja cercanamente al de una oficial. Lo mismo ocurre en aquellos casos de redes donde no es necesaria una contraseña para lograr el acceso.

“El truco ocurre por medio de una tecnología proxy, que intercepta captura y almacena una copia de las comunicaciones Wi-Fi en el equipo del ciberatacante, enviando luego la información a la red inalámbrica correcta. Esto ralentizará el tráfico del equipo levemente, pero en el caso de conexiones muy congestionadas es díficil saber si estamos siendo víctimas de un ataque o simplemente hay demasiados usuarios conectados al mismo tiempo, agregó Cameron Camp.

Por otro lado, es fundamental asegurarse que el envío de datos se realice por medio de conexiones de protocolo seguro como https. También es recomendable utilizar una red privada virtual (VPN, del inglés Virtual Private Network) de modo que los datos circulen de manera cifrada y el atacante no pueda tener acceso a los mismos.

Además, ESET Smart Security 5 ofrece una útil característica para “redes fuera del hogar” que alerta al usuario cuando se conecta a un Wi-Fi público, de modo de ofrecerle la protección necesaria. Para probar el producto en su versión Release Candidate puede visitar: http://www.eset-la.com/landing/eset-smart-security-5-beta

Copyright © 1992–2011 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marca registrada de sus respectivas empresas.


Acerca de ESET

Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Londres (Reino Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (México).

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.



Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Boletines de seguridad de Microsoft en agosto 2011

Tal y como adelantamos, este martes Microsoft ha publicado trece boletines de seguridad (del MS11-057 y el MS11-069) correspondientes a su ciclo habitual de actualizaciones.




Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad "crítico", mientras que diez se clasifican como "importantes" y uno como “moderado”.

En total se han resuelto 22 vulnerabilidades.

Los boletines "críticos" son:

* MS11-057: Actualización acumulativa para Microsoft Internet Explorer que además soluciona siete nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 6, 7, 8 y 9.

* MS11-058: Se trata de una actualización destinada a solucionar dos vulnerabilidades en el servidor DNS de Windows. Afecta a Microsoft Windows Server 2003 y Windows Server 2008.

Los boletines clasificados como "importantes" son:

* MS11-059: Actualización para corregir una vulnerabilidad en Data Access Components que podría permitir la ejecución remota de código si el usuario abre un archivo Excel (.xlsx) especialmente manipulado.
Afecta a Windows 7 y Windows Server 2008 R2.

* MS11-060: Actualización que soluciona dos vulnerabilidades en Microsoft Visio que podrían permitir la ejecución remota de código si un usuario abre un archivo de Visio especialmente diseñado.

* MS11-061: Actualización para solucionar una vulnerabilidad de Cross-Site Scripting en el Acceso web a Escritorio remoto que podría permitir la elevación de privilegios. Afecta a Windows Server 2008 R2 para sistemas x64.

* MS11-062: Trata de una vulnerabilidad en el controlador NDISTAPI del Servicio de acceso remoto podría permitir la elevación de privilegios en Windows XP y Windows Server 2003.

* MS11-063: Boletín destinado a corregir una vulnerabilidad de elevación de privilegios a través del en el subsistema de tiempo de ejecución de cliente-servidor de Windows. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, 7 y Windows Server 2008.

* MS11-064: Actualización para corregir dos vulnerabilidades en la pila de TCP/IP de Windows podrían permitir la ejecución remota de código.
Afecta a Windows Vista, 7 y Windows Server 2008.

* MS11-065: Actualización destinada a solucionar una vulnerabilidad de denegación de servicio en el protocolo de Escritorio remoto. Afecta a Windows XP y Windows Server 2003.

* MS11-066: Actualización para corregir una vulnerabilidad de divulgación de información a través de los controles de gráficos de ASP.NET. Afecta a Microsoft Windows XP, Vista, 7 y Windows Server 2003 y 2008.

* MS11-067: Actualización para corregir una vulnerabilidad de divulgación de información a través de Microsoft Report Viewer al visitar una página web específicamente creada. Afecta a Microsoft Visual Studio 2005 y al Paquete redistribuible de Microsoft Report Viewer 2005.

* MS11-068: Actualización para corregir una vulnerabilidad en el kernel de Windows. Afecta a Windows Vista, Windows 7 y Windows Server 2008.


El último boletín clasificado como "moderado":

* MS11-069 Boletín en el que se ofrece una actualización para evitar una vulnerabilidad en Microsoft .Net Framework podría permitir la divulgación de información si un usuario visita una página web especialmente creada.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4672/comentar

Más información:

Microsoft Security Bulletin Summary for August 2011
http://www.microsoft.com/technet/security/bulletin/ms11-aug.mspx

Boletín de seguridad de Microsoft MS11-057 - Crítico Actualización de seguridad acumulativa para Internet Explorer (2559049) http://www.microsoft.com/spain/technet/security/bulletin/MS11-057.mspx

Boletín de seguridad de Microsoft MS11-058 - Crítico Vulnerabilidades en el servidor DNS podrían permitir la ejecución remota de código (2562485) http://www.microsoft.com/spain/technet/security/bulletin/MS11-058.mspx

Boletín de seguridad de Microsoft MS11-059 - Importante Una vulnerabilidad en Data Access Components podría permitir la ejecución remota de código (2560656)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-059.mspx

Boletín de seguridad de Microsoft MS11-060 - Importante Vulnerabilidades en Microsoft Visio podrían permitir la ejecución remota de código (2560978) http://www.microsoft.com/spain/technet/security/bulletin/MS11-060.mspx

Boletín de seguridad de Microsoft MS11-061 - Importante Una vulnerabilidad en Acceso web a Escritorio remoto podría permitir la elevación de privilegios (2546250)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-061.mspx

Boletín de seguridad de Microsoft MS11-062 - Importante Una vulnerabilidad en el controlador NDISTAPI de Servicio de acceso remoto podría permitir la elevación de privilegios (2566454)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-062.mspx

Boletín de seguridad de Microsoft MS11-063 - Importante Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2567680)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-063.mspx

Boletín de seguridad de Microsoft MS11-064 - Importante Vulnerabilidades en la pila de TCP/IP podrían permitir la ejecución remota de código (2563894) http://www.microsoft.com/spain/technet/security/bulletin/MS11-064.mspx

Boletín de seguridad de Microsoft MS11-065 - Importante Una vulnerabilidad en el protocolo de Escritorio remoto podría permitir la denegación de servicio (2570222)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-065.mspx

Boletín de seguridad de Microsoft MS11-066 - Importante Una vulnerabilidad en el control de gráficos de Microsoft podría permitir la divulgación de información (2567943)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-066.mspx

Boletín de seguridad de Microsoft MS11-067 - Importante Una vulnerabilidad en Microsoft Report Viewer podría permitir la divulgación de información (2578230) http://www.microsoft.com/spain/technet/security/bulletin/MS11-067.mspx

Boletín de seguridad de Microsoft MS11-068 - Moderado Una vulnerabilidad en el kernel de Windows podría permitir la denegación de servicio (2556532) http://www.microsoft.com/spain/technet/security/bulletin/MS11-068.mspx

Boletín de seguridad de Microsoft MS11-069 - Moderado Una vulnerabilidad en .NET Framework podría permitir la divulgación de información (2567951) http://www.microsoft.com/spain/technet/security/bulletin/MS11-069.mspx



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Múltiples vulnerabilidades en TYPO3.

Según un nuevo reporte oficial de seguridad, se han descubierto 12 vulnerabilidades en TYPO3, relacionadas con Cross-site scripting, revelación de información, denegación de servicio y fallos en las políticas de seguridad en general.




TYPO3 es un gestor CMS web e intranet, enfocado al nivel empresarial, situándose por detrás de Drupal o Joomla a nivel de uso, según las estadísticas W3Techs.

Cuatro de las vulnerabilidades descubiertas son críticas por su impacto:

* Cross-Site Scripting: un fallo a la hora de tratar las URLs en la propiedad 'JSWindow' de la función 'typolink', podría permitir (en la configuración por defecto) la ejecución de código script.

* Revelación de información: mediante el uso de la propiedad "getText" de los títulos en los contenidos, es posible recabar información de la base de datos de TYPO3.

* Denegación de servicio: los editores del Backend serían capaces de borrar ficheros arbitrarios del servidor web, debido a la incorrecta serialización de los datos.

* Falta de políticas de acceso: usuarios del Backend serían capaces de ejecutar cualquier componente ExtDirect sin tener asociación previa.


Se recomienda actualizar TYPO3 a las versiones 4.3.12, 4.4.9 o 4.5.4 según corresponda.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4671/comentar

Más inromación:

TYPO3-CORE-SA-2011-001: Multiple vulnerabilities in TYPO3 Core
http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-001/

Usage Statistics and Market Share of Typo3 for Websites, August 2011
http://w3techs.com/technologies/details/cm-typo3/all/all



Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Blackhat 2011: Presentación del ´battery hack´ y su solución

Como ya comentamos en una anterior UAD, el Dr. Charlie Miller había encontrado una vulnerabilidad en las baterías utilizadas por algunos Macbook de Apple, que compartían una idéntica contraseña para acceder al control y ...




... monitorización de las mismas.


La presentación realizada por Miller en la Blackhat 2011 (Las Vegas, EEUU), desgrana y analiza las características del protocolo SMBus/i2c y del chip BQ20Z80 de Texas Instruments utilizado para comunicarse con la batería. Para ello, emplea los comando SBS (Smart Battery System), consiguiendo extraer su firmware, y lo que es más importante, modificarlo totalmente, pudiendo cambiar el nombre, ID, fechas, voltajes de funcionamiento... y por supuesto el password oficial. Para ello se proporciona el código necesario (Caulkgun) para que el usuario pueda cambiar la contraseña por defecto (aunque se advierte que futuras actualizaciones de Apple no funcionarán debido a dicho cambio).

Lo que sí se confirma a través de su PDF es que una posible modificación del firmware podría dejar inutilizada e incluso dañarla (mediante un sobrevoltaje y el posterior calentamiento de la misma) y por ende del equipo: "Due to the nature of the Smart Battery System, changes made to the smart battery firmware may cause safety hazards such as overcharging, overheating, or even fire."

Aunque deja claro, que sólo es una posibilidad remota y que no ha sido comprobada, ya que, como comenta: "quiero poder seguir llevando mi portátil en avión", ("Would like to continue to take my laptop on airplanes").

El código necesario para compilar la aplicación en IDA Pro así como el whitepaper y las presentaciones (muy recomendable su lectura) está disponible en su web oficial.

De este estudio pormenorizado se extrae la conclusión de que en ningún momento se ha cambiado la contraseña de fábrica de los chips y que no había ninguna protección que evitaran su modificación.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4670/comentar

Más información:

Battery Firmware Hacking, Dr. Charlie Miller Black Hat USA 2011
http://www.accuvant.com/capability/accuvant-labs/security-research/featured-presentation



Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Múltiples vulnerabilidades en Bugzilla.

Desde la web de Bugzilla se han anunciado un total de siete vulnerabilidades que han sido solventadas en las nuevas versiones de su software.



Entre ellas podemos encontrar ataques de Cross Site Sripting, inyección de cabeceras en correos electrónicos o revelación de información sensible.

Bugzilla es una aplicación web diseñada para crear un sistema de seguimiento de errores y se distribuye bajo la Licencia Pública de Mozilla. Esta aplicación es utilizada por un gran número de proyectos de software libre, entre los que se encuentran proyectos como Apache, Linux Kernel o Eclipse entre otros muchos.


Las vulnerabilidades corregidas son las siguientes:

* Dos ataques de Cross Site Scripting, uno de ellos podía ser explotado a través de un parche especialmente manipulado, que al ser visualizado en modo "Raw Unified" por algunos navegadores antiguos (como por ejemplo Internet Explorer 8 y anteriores y las versiones anteriores a Safari 5.0.6). El segundo, requería que la cookie BUGLIST fuera modificada para contener código HTML, que sería mostrado al ver el reporte de algún bug.

* Un usuario remoto autenticado podría averiguar si un grupo existe a través de una URL especialmente manipulada al crear o editar un bug, o realizando una búsqueda personalizada.

* La vulnerabilidad con el CVE CVE-2011-2381 podría permitir a un atacante remoto inyectar cabeceras en los correos 'flagmails' a través de un archivo adjunto especialmente manipulado que contuviese el carácter de nueva línea.

* Un usuario con acceso a la sesión del usuario que se desea atacar, podía modificar la dirección de correo utilizada para enviar correos electrónicos de para las confirmaciones (CVE-2011-2978).

* Por último, un usuario local podría tener acceso temporal a los archivos adjuntos a través de la vulnerabilidad con el CVE-2011-2977.

Todas estas vulnerabilidades han sido corregidas en las versiones 3.4.12, 3.6.6, 4.0.2 y 4.1.3 de Bugzilla.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4669/comentar


Más información:

4.1.2, 4.0.1, 3.6.5, and 3.4.11 Security Advisory
http://www.bugzilla.org/security/3.4.11/



Fuente:
Javier Rascón
jrascon@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Microsoft publicará 13 boletines de seguridad el próximo martes

Siguiendo con su ciclo habitual de publicación de parches de seguridad los segundos martes de cada mes, Microsoft publicará el próximo 9 de agosto 13 boletines de seguridad, del MS11-057 al MS11-070, con un número ...




... indeterminado de vulnerabilidades cada uno, pero que completarán 22 vulnerabilidades en total.


Los fallos afectan a toda la gama de sistemas operativos Windows, Internet Explorer y Visio, a .NET Framework 3.5, Visual Studio 2005 y Report Viewer 2005.

Dos de los boletines consideran los fallos en Internet Explorer y Windows Server 2008 como críticos, lo que conlleva ejecución remota de código. La mayoría de los boletines, 9 en total, son calificados como importantes, y afectan a Windows, Visio y Visual Studio, por lo que se deduce que afecta a un componente común compartido por estos paquetes.

Además, como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool que estará disponible desde Microsoft Update, Windows Server Update Services, y centro de descarga.

Debido a la característica crítica de los boletines de Internet Explorer, recomendamos encarecidamente la aplicación urgente de esta próxima actualización a sus equipos, en cuanto se encuentre disponible.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4668/comentar

Más información:

Microsoft Security Bulletin Advance Notification for August 2011:
http://www.microsoft.com/technet/security/bulletin/ms11-aug.mspx



Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Pekín rechaza informe contrario a China y acusa a McAfee de marketing ilegítimo

"Sólo quieren conseguir nuevos clientes". McAfee reveló esta semana la existencia de una gran organización de intrusión y sabotaje informático que durante años ha infiltrado y atacado sistemas de una serie de gobiernos y organizaciones.




Todas las evidencias apuntan hacia China, su gobierno desmiente las acusaciones señalando que se trata de una campaña de McAfee para conseguir nuevos clientes.


El informe de la empresa de seguridad indica que en total las empresas comprometidas, abarcan 14 países y más de 30 organizaciones únicas que van desde el gobierno federal de los EE.UU., las compañías de comunicaciones por satélite, la seguridad nacional de EE.UU, el gobierno canadiense, el vietnamita, el de Taiwán, entre otros.

El análisis de McAfee revela que la operación del caso ha tenido una duración de cinco años, y ha sido realizada probablemente por una nación-estado. La razón sería que ninguna organización particular o incluso delincuentes pueden disponer de los recursos o grado de coordinación necesarios.

Las pistas electrónicas conducen además hacia China, que por años ha sido sospechosa de realizar ataques, sabotajes y hurto de información desde países, empresas y organizaciones.

La reacción china ante las revelaciones de McAfee ha sido manifestada por el gobierno de Pekín mediante uno de los canales oficiales del Partido Comunista, China Daily.

Según el diario, "vincular a China a ciberataques es directamente irresponsable", agregando que el informe de McAfee es inconsistente con la realidad. Sin embargo, el diario no publica información concreta que refute, en los hechos, el material de McAfee.

Según China Daily, el informe tiene como única finalidad conseguir nuevos clientes para McAfee.

Este tipo de reacción coincide con la estrategia informativa utilizada normalmente por China. En junio pasado, luego de que Google denunciara la intervención de cuentas de Gmail, el gobierno de ese país optó por burlarse de Google señalando que las acusaciones "divirtieron a muchos chinos", debido a que las pistas de Google apuntaban a una escuela de cocineros como origen de los ataques. Esta lógica lleva a suponer que China sólo daría crédito a evidencia que lleve a las propias oficinas del gobierno.



Fuente:
Diario Ti
www.diarioti.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

06 de agosto de 2011

Cisco ha publicado una alerta en el que se advierte de que ciertos CDs de garantía contenían un enlace a un sitio de terceros que resultaba ser un repositorio de malware.




Los discos que enlazaban a este contenido se han repartido desde diciembre de 2010 hasta este mes, y contenían un enlace a una página web que albergaba malware. Por si fuera poco, en caso de que el disco fuese abierto con un navegador, el usuario, sin ningún tipo de advertencia previa, sería redirigido a dicha página.

Por suerte, la página no se encontraba activa en el momento de repartirse los discos, por lo que según el informe, ningún cliente ha resultado infectado por medio de sus discos de garantía. Sin embargo, en caso de volver a reestablecerse el servicio en esta página, se podría llegar a producir alguna infección en los clientes que accediesen a ella.

Tanto los números de referencia de los discos afectados, como el contenido original y sin ningún tipo de peligro, están disponibles en la propia página del aviso de Cisco.
http://www.cisco.com/en/US/products/products_security_response09186a0080b8b122.html


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4667/comentar

Más información:

Infected Cisco Information Packet and Warranty CDs
http://www.cisco.com/en/US/products/products_security_response09186a0080b8b122.html



Fuente:
Javier Rascón
jrascon@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
Los discos que enlazaban a este contenido se han repartido desde diciembre de 2010 hasta este mes, y contenían un enlace a una página web que albergaba malware. Por si fuera poco, en caso de que el disco fuese abierto con un navegador, el usuario, sin ningún tipo de advertencia previa, sería redirigido a dicha página.

Por suerte, la página no se encontraba activa en el momento de repartirse los discos, por lo que según el informe, ningún cliente ha resultado infectado por medio de sus discos de garantía. Sin embargo, en caso de volver a reestablecerse el servicio en esta página, se podría llegar a producir alguna infección en los clientes que accediesen a ella.

Tanto los números de referencia de los discos afectados, como el contenido original y sin ningún tipo de peligro, están disponibles en la propia página del aviso de Cisco.
http://www.cisco.com/en/US/products/products_security_response09186a0080b8b122.html


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4667/comentar

Más información:

Infected Cisco Information Packet and Warranty CDs
http://www.cisco.com/en/US/products/products_security_response09186a0080b8b122.html



Fuente:
Javier Rascón
jrascon@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Estudio: Mozilla es el fabricante que menos tarda en resolver vulnerabilidades.

RealNetworks, el que más demora en resolver fallos. La media global son 6 meses. Hemos realizado un estudio sobre once fabricantes para conocer cuánto tardan en corregir sus vulnerabilidades reportadas de forma privada.




Sobre 1045 fallos, la conclusión es que la media global es de 177 días, mientras que RealNetworks tarda 321 días y Mozilla sólo 74.

El tiempo que un fabricante tarda en hacer pública una solución para una vulnerabilidad es una de las métricas más importantes para conocer cómo maneja la seguridad. Suele existir cierta controversia en este aspecto.

Se achaca a los fabricantes que tardan demasiado en disponer de una solución efectiva que ofrecer a sus clientes o usuarios. Mucho más cuando la vulnerabilidad es conocida y por tanto sus clientes "perciben" el peligro de utilizar ese software. En Hispasec hemos realizado un estudio sobre 1.045 vulnerabilidades de los fabricantes: Novell, HP, Microsoft, Apple, IBM, CA, Symantec, Oracle, Adobe, Mozilla y RealNetworks desde 2005.

Este es una actualización del estudio realizado en 2009. Si hace dos años se analizaron 449 vulnerabilidades desde 2005 hasta septiembre de 2009, ahora se amplía el cálculo desde 2005 hasta final de julio de 2011 con 1.045. Además, se añaden dos fabricantes a la comparativa:

RealNetworks y Mozilla que curiosamente son el que peor y mejor media tienen respectivamente.
http://blog.hispasec.com/laboratorio/images/noticias/mediavulns.png

Algunas de las conclusiones del nuevo estudio son que la media de los grandes fabricantes es de seis meses para solucionar una vulnerabilidad, independientemente de su gravedad. Encontramos ejemplos en los que una vulnerabilidad es solucionada dos años después de ser descubierta, y otros en los que se tardan apenas unos días. La mayoría de las vulnerabilidades se resuelven antes de 6 meses (un 67,53%), pero aun así en cerca del 10% de los casos se necesita más de un año para arreglarlas.


Los resultados obtenidos se podrían clasificar en dos grandes grupos:

* RealNetworks, Oracle, IBM, HP y Microsoft que pasan de la media global.

* Novell, Apple, CA, Symantec, Adobe y Mozilla que bajan de la media global, destacando Mozilla como el que disfruta de la media más baja.

El 93% de las vulnerabilidades de Mozilla y el 83,60% de las de Novell, se corrigen antes de los 6 meses, mientras que RealNetworks y Microsoft lo consiguen solo en el 33,3 y 52% de los casos respectivamente.

Todos los datos y el informe completo, está disponibles desde:

http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades_v2.pdf


El anterior informe:
http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4666/comentar



Fuente:
Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Actualización del kernel para OpenSUSE.

Se ha publicado la actualización del kernel para OpenSUSE 11.4 a la versión 2.6.37.6, en la que se corrigen hasta 14 vulnerabilidades de diversa índole y efectos.




Los problemas corregidos podrían permitir la realización de ataques de denegación de servicio, elevación de privilegios, e incluso el compromiso total del sistema a atacantes locales.

Los problemas corregidos están relacionados con la interfaz /proc/PID/io; con kernel/taskstats.c; con drivers/char/agp/generic.c; con ip_expire(); con kernel/pid.c; con los sistemas de archivos ext4, proc y NFS y con particiones LDM.

Se recomienda actualizar a la última versión del kernel, a través de la instrucción:
zypper in -t patch kernel-4932.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4665/comentar

Más información:

openSUSE-SU-2011:0860-1 (moderate): kernel: security and bugfix update
https://hermes.opensuse.org/messages/10455026



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Contraseña por defecto en Cisco TelePresence Recording Server

Cisco ha confirmado una vulnerabilidad en Cisco TelePresence Recording Server 1.7.2.0 que podría permitir a un atacante remoto conseguir acceso de root en los sistemas afectados.




El problema reside en la existencia de cuenta administrative activa por defecto y que tiene una contraseña común. Un atacante remoto podría conseguir acceso de root y realizar cambios de configuración.

El problema afecta a la versión 1.7.2.0, mientras que Cisco TelePresence Recording Server con versiones de software 1.7.0 y 1.7.1 no están afectados.

Cisco ha publicado la version Cisco TelePresence Recording Server Software Release 1.7.2.1 que corrige el problema.

No es la primera vez que Cisco se ve afectado por un problema de este tipo. Anteriormente, Cisco NetFlow Collection Engine y Cisco Wireless Location Appliances también incluyeron cuentas administrativas con contraseñas por defecto.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4663/comentar

Más información:

Cisco Security Advisory: Cisco TelePresence Recording Server Default Credentials for Root Account Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20110729-tp.shtml

una-al-dia (13/10/2006) Contraseña por defecto en Cisco Wireless Location Appliances
http://www.hispasec.com/unaaldia/2911

una-al-dia (26/04/2007) Credenciales por defecto en Cisco NetFlow Collection Engine
http://www.hispasec.com/unaaldia/3098



Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Symantec sigue liderando el negocio del software de seguridad

Según las estimaciones de Gartner, la compañía californiana habría registrado en 2010 una cuota de mercado del 18,9%.



La consultora Gartner ha publicado un estudio en el que analiza el estado del mercado software de seguridad y sus principales jugadores.

La firma pone de relevancia que el líder en el sector, Symantec, obtuvo el año pasado un 18,9% de penetración. Aunque la empresa afincada en Mountain View todavía cuenta con un margen amplio respecto al segundo fabricante de soluciones de seguridad (McAfee tiene un 10,4%) su cuota de mercado habría descendido notablemente desde 2006. Hace cinco años Symantec disponía de un 29,5% y una ventaja de un 17,2% sobre la compañía de Santa Clara.

La caída también se ha dado en Trend Micro, IBM y CA, quienes ocupan la tercera, cuarta y quinta posición. Trend Micro ha pasado de un 8,1% de marketshare a un 6,3% en estos cuatro ejercicios, y el Gigante Azul ha reducido su presencia del 5,3 al 4,9%. Por su parte CA obtuvo en 2010 un 3,8%, mientras en 2006 contaba con un 5%.




En total estos cinco primeros players concentrarían un 44,3% del negocio. Esta cifra ha caído de forma sustancial, ya que en 2006 seis de cada diez productos de software de seguridad venidos correspondían a una de estas cinco empresas.



Fuente:
Alberto Payo
ItEspresso
www.itespresso.es/es

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Presidentes latinoamericanos, la estrategia de ingeniería social del mes.

Durante julio, la utilización de nombres de presidentes y famosos para despertar la curiosidad del usuario y propagar malware confirmó que la Ingeniería Social continúa siendo una de las metodologías de ataque más utilizadas.



Este mes, una campaña de propagación de malware regionalizado explotó diferentes temáticas relacionadas con los presidentes Hugo Chavez, Álvaro Colom Caballeros y Dilma Rousseff. Además, la noticia del fallecimiento de la cantante Amy Winehouse fue utilizada para la distribución de un troyano bancario, según informó la compañía de seguridad informática ESET.

En julio, un correo electrónico conteniendo supuestamente un vídeo de Hugo Chávez hablando de su enfermedad fue enviado masivamente a usuarios venezolanos con el objetivo de distribuir un troyano, detectado por ESET como Win32/TrojanDownloader.Agent.QUT. Apenas días después, la misma metodología de ataque se repitió en Guatemala con el envío de un falso video de un accidente del presidente Álvaro Colom que enlazaba directamente a un código malicioso.

Esa misma semana fue también el turno de Brasil, que sufrió un ataque similar al resto de los reportados: un correo electrónico anunciaba archivos secretos y fotos de Dilma Rouseff y su supuesta novia cuando en realidad se trataba de un enlace directo al instalador del código malicioso.

El troyano bancario posee una rutina de pharming local - tipo de ataque que permite redireccionar un nombre de dominio a una dirección distinta de la original - que no sólo afecta a bancos brasileños sino que también modifica el archivo hosts para otros bancos de la región como Chile, Argentina o Perú, entre otros. También bloquea el acceso a sitios web de empresas antivirus.

Además, durante este mes, otros presidentes de la región vieron usurpadas sus cuentas en redes sociales por grupos hacktivistas. Tal fue el caso de Juan Manuel Santos, actual presidente de Colombia y Álvaro Uribe, ex-presidente del mismo país, cuyos Facebook y Twitter respectivamente fueron utilizados por Anonymous para proclamar una “falsa independencia” del país.

La lamentable noticia de la muerte de Amy Winehouse también sirvió de excusa a los cibercriminales para la propagación de sus amenazas informáticas. El asunto del correo indicaba que contenía una foto exclusiva del cuerpo de la cantante británica. Se encontraron más 10.000 archivos de texto conteniendo cuentas de Hotmail robadas a través de este método.

Copyright © 1992–2011 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marca registrada de sus respectivas empresas.


Acerca de ESET

Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Londres (Reino Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (México).

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.


Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com