- http://www.darkreading.com/database_security/security/client/showArticle.jhtml?articleID=220300592&subSection=End+user/client+security
- http://www.scmagazineus.com/URLZone-touted-as-most-sophisticated-banking-trojan-yet/article/151096/
- http://news.cnet.com/8301-27080_3-10363836-245.html?part=rss&subj=news&tag=2547-1009_3-0-20
- http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/
lunes, 5 de octubre de 2009
New Sophisticated URLZone Trojan
New, sophisticated malware is making it harder to detect some fraudulent online bank transactions. The URLZone Trojan horse program communicates with a command server to find out precisely how much money to take from the accounts it is plundering to evade detection and where to send the money; the Trojan also alters users' online bank statements so the fraudulent transactions do not show up. The Trojan exploits a vulnerability in Firefox, Opera, Internet Explorer 6, IE 7, and IE 8.
Security Essentials. Newly Released Security Tools Form Microsoft
Microsoft Security Essentials Not Available to Pirates.
Users running unlicensed or improperly licensed copies of Microsoft Windows will not be able to install the company's newly-released Security Essentials antivirus software. To install the software, users will be required to validate their copies of Windows operating systems.
Microsoft does allow users running pirated copies of Windows to download Internet Explorer 8 (IE 8), touted as the company's most secure browser yet. Microsoft also allows patches to be downloaded to pirated copies of Windows through Windows Update. There are other free anti-virus alternatives available, but the patches are available only from Microsoft.
Users running unlicensed or improperly licensed copies of Microsoft Windows will not be able to install the company's newly-released Security Essentials antivirus software. To install the software, users will be required to validate their copies of Windows operating systems.
Microsoft does allow users running pirated copies of Windows to download Internet Explorer 8 (IE 8), touted as the company's most secure browser yet. Microsoft also allows patches to be downloaded to pirated copies of Windows through Windows Update. There are other free anti-virus alternatives available, but the patches are available only from Microsoft.
martes, 25 de agosto de 2009
Microsoft Suspend Hotmail Attach-Photo Feature
Microsoft Suspends Hotmail Attach-Photo Feature
Microsoft has temporarily suspended the Attach-Photo feature in Hotmail because of security issues. The problem lies in the way the feature interacts with Internet Explorer (IE). Hotmail users can still attach photos to their messages through other methods. Attach-Photo was disabled in late July; Microsoft plans to restore the feature by the end of September. Users complained because they were not notified that the feature would be removed.
http://www.theregister.co.uk/2009/08/21/hotmail_attach_photo_pulled/
http://www.computerworld.com/s/article/9136958/Microsoft_Hotmail_users_angry_over_pulled_photo_feature?source=rss_news
Microsoft has temporarily suspended the Attach-Photo feature in Hotmail because of security issues. The problem lies in the way the feature interacts with Internet Explorer (IE). Hotmail users can still attach photos to their messages through other methods. Attach-Photo was disabled in late July; Microsoft plans to restore the feature by the end of September. Users complained because they were not notified that the feature would be removed.
http://www.theregister.co.uk/2009/08/21/hotmail_attach_photo_pulled/
http://www.computerworld.com/s/article/9136958/Microsoft_Hotmail_users_angry_over_pulled_photo_feature?source=rss_news
US Firms. Taget for Criminals
Cyber Criminals Targeting Smaller US Firms; Get Millions
Organized cyber-gangs in Eastern Europe are increasingly preying on small and mid-size companies in the United States, setting off a multimillion-dollar online crime wave that has begun to worry the nation's largest financial institutions.
The attacks are amazingly simple and the amount of money taken is large. The firms do not know how to protect themselves. In some cases where credit card theft has occurred, they have had to shut down because they lost the ability to process credit cards. Small businesses are being affected greatly by poor security practices. It isn't a risk issue. It is a survival one.
http://www.washingtonpost.com/wp-dyn/content/article/2009/08/24/AR2009082402272.html?hpid=topnews
Organized cyber-gangs in Eastern Europe are increasingly preying on small and mid-size companies in the United States, setting off a multimillion-dollar online crime wave that has begun to worry the nation's largest financial institutions.
The attacks are amazingly simple and the amount of money taken is large. The firms do not know how to protect themselves. In some cases where credit card theft has occurred, they have had to shut down because they lost the ability to process credit cards. Small businesses are being affected greatly by poor security practices. It isn't a risk issue. It is a survival one.
http://www.washingtonpost.com/wp-dyn/content/article/2009/08/24/AR2009082402272.html?hpid=topnews
miércoles, 12 de agosto de 2009
Last Week Attack on Facebook and Twitter
The denial-of-service attacks that hobbled Twitter and Facebook last week were not conducted through botnets, but instead were the result of a spam campaign aimed at a taking out accounts that belong to a pro-Republic of Georgia blogger. The social networking and blogging sites suffered deteriorating service as spam recipients clicked on links that pointed to accounts belonging to the blogger known as Cyxymu. The links pointed to Cyxymu's accounts on YouTube and LiveJournal as well. The blogger has written an open letter asking Russian President Dmitry Medvedev to launch an investigation to find the culprits.
http://www.theregister.co.uk/2009/08/07/twitter_attack_theory/
http://www.computerworld.com/s/article/9136379/Security_researchers_zero_in_on_Twitter_hackers
http://www.theregister.co.uk/2009/08/10/cyxymu_letter_to_medvedev/
http://news.bbc.co.uk/2/hi/technology/8194395.stm
http://voices.washingtonpost.com/securityfix/2009/08/twitter_facebook_google_attack.html
http://www.theregister.co.uk/2009/08/07/twitter_attack_theory/
http://www.computerworld.com/s/article/9136379/Security_researchers_zero_in_on_Twitter_hackers
http://www.theregister.co.uk/2009/08/10/cyxymu_letter_to_medvedev/
http://news.bbc.co.uk/2/hi/technology/8194395.stm
http://voices.washingtonpost.com/securityfix/2009/08/twitter_facebook_google_attack.html
You delete your cookies?
Researchers from the University of California, Berkeley have reported that more than half of the Internet's websites are using Adobe Flash cookies to track users' behavior and interests, but these cookies are mentioned in just four privacy policies, though other suites mention the use of "tracking technology." Flash cookies differ from regular cookies because they are unaffected by browser privacy controls. Flash cookies are even being used to re-establish cookies for users after those users delete the more familiar cookies. The researchers' report was submitted earlier this week as a comment on the deferral government's proposal to re-establish the use of cookies on federal websites. For more information, see
http://www.wired.com/epicenter/2009/08/you-deleted-your-cookies-think-again/
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1446862
http://www.wired.com/epicenter/2009/08/you-deleted-your-cookies-think-again/
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1446862
martes, 11 de agosto de 2009
Revision del libro IPv6 Security por Sott Hogg y Eric Vynke
Revision del libro "IPv6 Security "
IPv6 Security , por Scott Hogg y Eric Vyncke es un libro para lo que yo estaba esperando; en otros libros tales como IPv6 Essentials, 2 Ed, Running Ipv6 , IPv6 Networks Administration, son buenos, pero necesitaba mas informacion acerca de la seguridad en IPv6; este librolo cubre. Les recomiendo la lectura de este material
IPv6 Security , por Scott Hogg y Eric Vyncke es un libro para lo que yo estaba esperando; en otros libros tales como IPv6 Essentials, 2 Ed, Running Ipv6 , IPv6 Networks Administration, son buenos, pero necesitaba mas informacion acerca de la seguridad en IPv6; este librolo cubre. Les recomiendo la lectura de este material
Denegacion de Servicio a tarves de paquetes SIP en Asterisk
Se ha confirmado la existencia de una vulnerabilidad en Asterisk, que podría permitir a un atacante remoto provocar una denegación de servicio en los sistemas vulnerables.
Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El problema reside en el tratamiento de paquetes SIP específicamente creados, que podría provocar el consumo de toda la memoria disponible para la red SIP con la consiguiente caída del servicio. Aunque la vulnerabilidad se presenta en múltiples versiones de Asterisk, solo es potencialmente explotable en las versiones 1.6.1 y superiores, ya que esas versiones son las primeras que han permitido superar los paquetes SIP de 1.500 bytes.
El problema se encuentra solucionado en las versiones 1.2.34, 1.4.26.1, 1.6.0.12 y 1.6.1.4.
Para la descarga de la correción:
Asterisk Project Security Advisory - AST-2009-005
Remote Crash Vulnerability in SIP channel driver
http://downloads.asterisk.org/pub/security/AST-2009-005.html
Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El problema reside en el tratamiento de paquetes SIP específicamente creados, que podría provocar el consumo de toda la memoria disponible para la red SIP con la consiguiente caída del servicio. Aunque la vulnerabilidad se presenta en múltiples versiones de Asterisk, solo es potencialmente explotable en las versiones 1.6.1 y superiores, ya que esas versiones son las primeras que han permitido superar los paquetes SIP de 1.500 bytes.
El problema se encuentra solucionado en las versiones 1.2.34, 1.4.26.1, 1.6.0.12 y 1.6.1.4.
Para la descarga de la correción:
Asterisk Project Security Advisory - AST-2009-005
Remote Crash Vulnerability in SIP channel driver
http://downloads.asterisk.org/pub/security/AST-2009-005.html
jueves, 23 de julio de 2009
Acrobat and Flash Player Zero-Day Vuln
A Security Advisory has been posted in regards to the Adobe Reader, Acrobat and Flash Player issue discussed in the Adobe PSIRT blog on July 21 ("Potential Adobe Reader, Acrobat, and Flash Player issue", CVE-2009-1862). A critical vulnerability exists in the current versions of Flash Player (v9.0.159.0 and v10.0.22.87) for Windows, Macintosh and Linux operating systems, and the authplay.dll component that ships with Adobe Reader and Acrobat v9.x for Windows, Macintosh and UNIX operating systems. This vulnerability (CVE-2009-1862) could cause a crash and potentially allow an attacker to take control of the affected system. There are reports that this vulnerability is being actively exploited in the wild via limited, targeted attacks against Adobe Reader v9 on Windows.
We are in the process of developing a fix for the issue, and expect to provide an update for Flash Player v9 and v10 for Windows, Macintosh, and Linux by July 30, 2009 (the date for Flash Player v9 and v10 for Solaris is still pending). We expect to provide an update for Adobe Reader and Acrobat v9.1.2 for Windows, Macintosh, and UNIX by July 31, 2009.
Deleting, renaming, or removing access to the authplay.dll file that ships with Adobe Reader and Acrobat v9.x mitigates the threat for those products, but users will experience a non-exploitable crash or error message when opening a PDF that contains SWF content. Depending on the product, the authplay.dll that ships with Adobe Reader and Acrobat 9.x for Windows is typically located at C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll or C:\Program Files\Adobe\Acrobat 9.0]\Acrobat\authplay.dll. Windows Vista users should consider enabling UAC (User Access Control) to mitigate the impact of a potential exploit. Flash Player users should exercise caution in browsing untrusted websites. Adobe is in contact with Antivirus and Security vendors regarding the issue and recommend users keep their anti-virus definitions up to date.
We will continue to provide updates on this issue via the Security Advisory section of the Adobe web site, as well as the Adobe PSIRT blog.
This posting is provided "AS IS" with no warranties and confers no rights.
We are in the process of developing a fix for the issue, and expect to provide an update for Flash Player v9 and v10 for Windows, Macintosh, and Linux by July 30, 2009 (the date for Flash Player v9 and v10 for Solaris is still pending). We expect to provide an update for Adobe Reader and Acrobat v9.1.2 for Windows, Macintosh, and UNIX by July 31, 2009.
Deleting, renaming, or removing access to the authplay.dll file that ships with Adobe Reader and Acrobat v9.x mitigates the threat for those products, but users will experience a non-exploitable crash or error message when opening a PDF that contains SWF content. Depending on the product, the authplay.dll that ships with Adobe Reader and Acrobat 9.x for Windows is typically located at C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll or C:\Program Files\Adobe\Acrobat 9.0]\Acrobat\authplay.dll. Windows Vista users should consider enabling UAC (User Access Control) to mitigate the impact of a potential exploit. Flash Player users should exercise caution in browsing untrusted websites. Adobe is in contact with Antivirus and Security vendors regarding the issue and recommend users keep their anti-virus definitions up to date.
We will continue to provide updates on this issue via the Security Advisory section of the Adobe web site, as well as the Adobe PSIRT blog.
This posting is provided "AS IS" with no warranties and confers no rights.
martes, 21 de julio de 2009
JavaScript DOM Flaw Affects Most Browsers
A security flaw in JavaScript's Document Object Model (DOM) affects most major web browsers. The flaw could be exploited to allocate large portions of memory, which could crash the applications. The flaw affects all tested versions of Internet Explorer (IE) as well as older versions of Opera, Chrome, Safari and Firefox, although the newer versions of most browsers, with the exception of IE, have been patched against the vulnerability.
More info, read:
http://www.theregister.co.uk/2009/07/17/universal_browser_crash_bug/
http://www.h-online.com/security/DOM-flaw-can-crash-many-browsers--/news/113779
http://www.g-sec.lu/one-bug-to-rule-them-all.html
More info, read:
http://www.theregister.co.uk/2009/07/17/universal_browser_crash_bug/
http://www.h-online.com/security/DOM-flaw-can-crash-many-browsers--/news/113779
http://www.g-sec.lu/one-bug-to-rule-them-all.html
Adobe distribuye una versión vulnerable de Adobe Reader Oficial
Desde la página oficial de Adobe "Get Reader" los usuarios pueden descargar la última versión 9.1 del lector de PDF. El problema es que esta versión tiene 14 fallos de seguridad. Están solucionados, y existe versión que los corrige, pero Adobe confía (sin advertirlo explícitamente) en que sean los propios usuarios los que, tras la descarga, actualicen manualmente el lector.
Después de la versión 9.1, Adobe publicó la 9.1.1, e incluso más tarde, la 9.1.2 para solucionar graves problemas de seguridad. Pero no las distribuye para usuarios de Mac y Windows. Para usuarios de Linux, sin embargo, sí que se puede descargar directamente la versión 9.1.2. El sistema de actualización de Adobe se ejecuta por defecto una vez a la semana, con lo que, si el usuario no se percata de que acaba de descargar una versión vulnerable, no obtendrá la última actualización hasta una semana más tarde desde su descarga. Este es el escenario más probable, puesto que es lógico pensar que los usuarios concluyan que acaban de descargar la última versión no vulnerable cuando acuden al sitio oficial si no son advertidos de lo contrario. Pero no es así.
Varios usuarios descargaron la última versión de Reader desde el sitio oficial de Adobe, y ejecutaron la herramienta PSI (Personal Security Inspector) de Secunia para comprobar si en su sistema existía algún software vulnerable. Lo que en principio parecía un fallo de detección del programa, ha sido ahora confirmado. Descargaban la versión 9.1 vulnerable.
Un parche o versión corregida que no se ha difundido oficialmente, no es un parche real. Una política mucho más correcta hubiese sido, o bien ofrecer directamente para descarga directa las versiones no vulnerables, o bien obligar, una vez descargado, a ejecutar automáticamente el actualizador durante la instalación, para que los parches sean aplicados. A efectos prácticos, Adobe estaba abriendo deliberadamente una ventana de tiempo en el que permitía que sus clientes se mantuviesen vulnerables a ataques que están siendo aprovechados activamente. Normalmente a través de ficheros PDF especialmente manipulados, y que permiten la ejecución de código en el sistema.
Esta actitud solo sería "permisible" cuando el parche no está convenientemente probado. Esto es, que no introduzca errores de inestabilidad, que solucione todos los vectores por los que una vulnerabilidad puede ser aprovechada, que no exija recompilación, etc. Esto ocurrió, por ejemplo, con la penúltima vulnerabilidad en Firefox. Aunque el problema estaba localizado e incluso existían versiones en desarrollo no vulnerables, Firefox ofreció durante días la versión vulnerable en su página oficial hasta que integró la solución en una nueva versión. Pero cuando el parche está más que aprobado, e incluso ya integrado en nuevas versiones, no hay excusas para retrasar su aplicación.
No se entiende esta política de Adobe, que anda despistado intentando implantar nuevas políticas de seguridad, pero parece que debe todavía aprender mucho al respecto.
Después de la versión 9.1, Adobe publicó la 9.1.1, e incluso más tarde, la 9.1.2 para solucionar graves problemas de seguridad. Pero no las distribuye para usuarios de Mac y Windows. Para usuarios de Linux, sin embargo, sí que se puede descargar directamente la versión 9.1.2. El sistema de actualización de Adobe se ejecuta por defecto una vez a la semana, con lo que, si el usuario no se percata de que acaba de descargar una versión vulnerable, no obtendrá la última actualización hasta una semana más tarde desde su descarga. Este es el escenario más probable, puesto que es lógico pensar que los usuarios concluyan que acaban de descargar la última versión no vulnerable cuando acuden al sitio oficial si no son advertidos de lo contrario. Pero no es así.
Varios usuarios descargaron la última versión de Reader desde el sitio oficial de Adobe, y ejecutaron la herramienta PSI (Personal Security Inspector) de Secunia para comprobar si en su sistema existía algún software vulnerable. Lo que en principio parecía un fallo de detección del programa, ha sido ahora confirmado. Descargaban la versión 9.1 vulnerable.
Un parche o versión corregida que no se ha difundido oficialmente, no es un parche real. Una política mucho más correcta hubiese sido, o bien ofrecer directamente para descarga directa las versiones no vulnerables, o bien obligar, una vez descargado, a ejecutar automáticamente el actualizador durante la instalación, para que los parches sean aplicados. A efectos prácticos, Adobe estaba abriendo deliberadamente una ventana de tiempo en el que permitía que sus clientes se mantuviesen vulnerables a ataques que están siendo aprovechados activamente. Normalmente a través de ficheros PDF especialmente manipulados, y que permiten la ejecución de código en el sistema.
Esta actitud solo sería "permisible" cuando el parche no está convenientemente probado. Esto es, que no introduzca errores de inestabilidad, que solucione todos los vectores por los que una vulnerabilidad puede ser aprovechada, que no exija recompilación, etc. Esto ocurrió, por ejemplo, con la penúltima vulnerabilidad en Firefox. Aunque el problema estaba localizado e incluso existían versiones en desarrollo no vulnerables, Firefox ofreció durante días la versión vulnerable en su página oficial hasta que integró la solución en una nueva versión. Pero cuando el parche está más que aprobado, e incluso ya integrado en nuevas versiones, no hay excusas para retrasar su aplicación.
No se entiende esta política de Adobe, que anda despistado intentando implantar nuevas políticas de seguridad, pero parece que debe todavía aprender mucho al respecto.
martes, 14 de julio de 2009
Zero-Day Flaw in Office Web Components ActiveX Control
Microsoft Warns of Zero-Day Flaw in Office Web Components ActiveX Control
Just one day before its scheduled security release, Microsoft has issued an advisory warning of attacks that exploit an arbitrary code execution vulnerability in the Spreadsheet ActiveX control in Microsoft Office Web Components. Attackers could use the attack to gain user rights equal
to those of the local user. The flaw affects numerous Microsoft products. The advisory includes instructions for setting the kill bit for the control in the registry.
http://isc.sans.org/diary.html?storyid=6778
http://www.microsoft.com/technet/security/advisory/973472.mspx
http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
http://www.eweek.com/c/a/Security/Microsoft-Warns-of-New-Attack-as-Patch-Tuesday-Nears-854317/
http://www.scmagazineus.com/Another-ActiveX-zero-day-bug-from-Microsoft/article/139939/
http://www.h-online.com/security/Microsoft-warns-of-vulnerability-in-Office-Web-Component--/news/113752
http://voices.washingtonpost.com/securityfix/2009/07/microsoft_newly_discovered_ms.html
http://www.computerworld.com/s/article/9135471/Microsoft_admits_new_ActiveX_zero_day_bug?source=rss_security
Just one day before its scheduled security release, Microsoft has issued an advisory warning of attacks that exploit an arbitrary code execution vulnerability in the Spreadsheet ActiveX control in Microsoft Office Web Components. Attackers could use the attack to gain user rights equal
to those of the local user. The flaw affects numerous Microsoft products. The advisory includes instructions for setting the kill bit for the control in the registry.
http://isc.sans.org/diary.html?storyid=6778
http://www.microsoft.com/technet/security/advisory/973472.mspx
http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
http://www.eweek.com/c/a/Security/Microsoft-Warns-of-New-Attack-as-Patch-Tuesday-Nears-854317/
http://www.scmagazineus.com/Another-ActiveX-zero-day-bug-from-Microsoft/article/139939/
http://www.h-online.com/security/Microsoft-warns-of-vulnerability-in-Office-Web-Component--/news/113752
http://voices.washingtonpost.com/securityfix/2009/07/microsoft_newly_discovered_ms.html
http://www.computerworld.com/s/article/9135471/Microsoft_admits_new_ActiveX_zero_day_bug?source=rss_security
Vulnerabilidad en Firefox 3.5
Ofrecemos este boletín con carácter de urgencia. Se ha publicado un exploit para Mozila Firefox 3.5 que permite la ejecución de código si un usuario visita una página web especialmente manipulada. No existe parche oficial disponible.
Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y "aprovechar" así la creciente cuota de mercado de usuarios de Firefox.
El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de
código JavaScript del navegador a la hora de manejar ciertas etiquetas ("font", entre ellas) HTML.
No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de "0 day", aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.
Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).
Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y "aprovechar" así la creciente cuota de mercado de usuarios de Firefox.
El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de
código JavaScript del navegador a la hora de manejar ciertas etiquetas ("font", entre ellas) HTML.
No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de "0 day", aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.
Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).
0 day en Microsoft Office Web Component
Por sorpresa, Microsoft ha publicado que se están detectando ataques contra Microsoft Office Web Components a través de Internet Explorer que permiten la ejecución de código. Este es el tercer "0 day" de Microsoft (todos con ActiveX) en mes y medio.
Microsoft Office Web Components es una colección de controles COMs (Component Object Model) que se usa para publicar contenido de Office en en la web a través de Internet Explorer. En pocas palabras, un ActiveX.
En él, existe un fallo que permite a un atacante ejecutar código arbitrario si la víctima visita una web especialmente manipulada. El software afectado es el siguiente:
* Microsoft Office XP Service Pack 3
* Microsoft Office 2003 Service Pack 3
* Microsoft Office XP Web Components Service Pack 3
* Microsoft Office 2003 Web Components Service Pack 3
* Microsoft Office 2003 Web Components para Microsoft Office 2007 Service Pack 1
* Microsoft ISA Server 2004 Standard Edition Service Pack 3
* Microsoft I ISA Server 2004 Enterprise Edition Service Pack 3
* Microsoft ISA Server 2006
* ISA Server 2006 Supportability Update
* Microsoft ISA Server 2006 Service Pack 1
* Microsoft Office Small Business Accounting 2006
Con esto, Microsoft acumula tres "0 day" sin solución. Se supone que hoy, en su ciclo habitual de actualizaciones, al menos solucionará uno de ellos. No se recordaba una actividad parecida desde el verano de 2006. Entonces, los atacantes se cebaron en Office. En aquel momento se popularizaron las amenazas directas y personalizadas contra compañías que recibían este intento de infección. Se trataba de ataques perpetrados especialmente contra ellos. Se descubrieron una media de dos vulnerabilidades por mes durante julio y agosto en Word, Excel o PowerPoint. Además, se detectaron siempre los ataques muy poco tiempo después del segundo martes de cada mes, con lo que normalmente fue necesario esperar casi todo un mes para que Microsoft cumpliese su siguiente ciclo de actualizaciones y poder estar protegido. Se observó entonces un claro cambio de tendencia en la forma en la que aparecieron estos problemas, unida a una obsesiva y oportunista fijación contra este software de Microsoft.
Para mitigar el problema en Microsoft Office Web Component se recomienda activar el kill bit del control ActiveX para evitar que sea llamado por Internet Explorer. Es posible hacerlo guardando este archivo con extensión .reg y ejecutarlo como administrador:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
Microsoft Office Web Components es una colección de controles COMs (Component Object Model) que se usa para publicar contenido de Office en en la web a través de Internet Explorer. En pocas palabras, un ActiveX.
En él, existe un fallo que permite a un atacante ejecutar código arbitrario si la víctima visita una web especialmente manipulada. El software afectado es el siguiente:
* Microsoft Office XP Service Pack 3
* Microsoft Office 2003 Service Pack 3
* Microsoft Office XP Web Components Service Pack 3
* Microsoft Office 2003 Web Components Service Pack 3
* Microsoft Office 2003 Web Components para Microsoft Office 2007 Service Pack 1
* Microsoft ISA Server 2004 Standard Edition Service Pack 3
* Microsoft I ISA Server 2004 Enterprise Edition Service Pack 3
* Microsoft ISA Server 2006
* ISA Server 2006 Supportability Update
* Microsoft ISA Server 2006 Service Pack 1
* Microsoft Office Small Business Accounting 2006
Con esto, Microsoft acumula tres "0 day" sin solución. Se supone que hoy, en su ciclo habitual de actualizaciones, al menos solucionará uno de ellos. No se recordaba una actividad parecida desde el verano de 2006. Entonces, los atacantes se cebaron en Office. En aquel momento se popularizaron las amenazas directas y personalizadas contra compañías que recibían este intento de infección. Se trataba de ataques perpetrados especialmente contra ellos. Se descubrieron una media de dos vulnerabilidades por mes durante julio y agosto en Word, Excel o PowerPoint. Además, se detectaron siempre los ataques muy poco tiempo después del segundo martes de cada mes, con lo que normalmente fue necesario esperar casi todo un mes para que Microsoft cumpliese su siguiente ciclo de actualizaciones y poder estar protegido. Se observó entonces un claro cambio de tendencia en la forma en la que aparecieron estos problemas, unida a una obsesiva y oportunista fijación contra este software de Microsoft.
Para mitigar el problema en Microsoft Office Web Component se recomienda activar el kill bit del control ActiveX para evitar que sea llamado por Internet Explorer. Es posible hacerlo guardando este archivo con extensión .reg y ejecutarlo como administrador:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
lunes, 13 de julio de 2009
Antivirus de Pagos VS Gratuitos
David Hall, jefe de producto de Symantec, ha realizado declaraciones en
contra de las soluciones antivirus gratuitas. "No son suficientes para
mantener al usuario seguro". Si bien lleva razón en que los antivirus
por sí solos no son suficientes para asegurar a nadie, no es relevante
el hecho de que sean gratuitos o no. La declaración viene después de
que Microsoft lance su propio antivirus gratuito Security Essentials.
Según este ejecutivo de Symantec, los antivirus gratuitos no pueden
mantener el nivel de las suites como las que ofrece Symantec. "Si hoy
en día sólo confías en antivirus gratuitos para protegerte, no estás
obteniendo la protección que necesitas para mantenerte limpio y evitar
el robo de identidad". "Microsoft Security Essentials es una versión
'incompleta' de OneCare [producto de pago de Microsoft]... y los
usuarios no necesitan 'menos' protección, necesitan 'más'".
Obviamente el comentario proviene de alguien cuya misión es elevar las
ventas de su producto Symantec, pero no es oportuno desprestigiar
tecnología ajena para conseguirlo. Hall también reconoce lo obvio: "los
antivirus deberían ser considerados la última defensa" pero de sus
opiniones sobre los productos "gratuitos" (que considera versiones
inferiores), se puede concluir que un usuario, por el hecho de haber
comprado un antivirus, está más y mejor protegido.
¿Qué diferencia hay entre un antivirus gratuito y uno de pago?
Existen diferencias además de en el precio, pero no suelen estar en el
motor antivirus. La mayoría de los motores (tecnología de detección y
base de firmas) son compartidos entre las versiones gratuitas y las de
pago. Lo que suelen añadir las versiones de pago son capas adicionales
de protección, que pueden ser más o menos útiles para el usuario. Si nos
restringimos a la detección por motores, hoy en día, el usuario corre el
mismo riesgo de infección con un producto de pago que con uno gratuito.
En este sentido, los antivirus han perdido la batalla ante el malware,
todos por igual. Una tecnología de detección más cara no la hace
necesariamente mejor. Se paga por servicios adicionales añadidos al
motor antivirus.
El mensaje, o el titular que puede extraerse de las declaraciones de
Hall por tanto es erróneo (sobre todo el desafortunado "usar antivirus
gratuitos es peligroso"). Los antivirus gratuitos no son necesariamente
peor que los de pago, a nivel de detección. Este matiz es muy
importante. A mediados de esta década, cuando el problema del malware
fue patente, las casas antivirus accedieron a añadir nuevas capas de
protección en sus productos: cortafuegos, análisis de comportamiento,
antiphishing, antirootkit, protección de identidad, antispam... Un
producto de pago ofrece más capas de protección, y esto sin duda más
beneficioso para el usuario. Como los antivirus gratuitos suelen
prescindir de estas capas y centrarse en el "antivirus", el razonamiento
de Hall es que los antivirus gratuitos no son lo que necesita un
usuario. No hay que olvidar tampoco, que los antivirus gratuitos no
suelen ofrecer soporte.
¿Qué necesita entonces un usuario?
El caso es que en parte Hall lleva razón. El antivirus es necesario,
pero no lo más importante hoy en día para evitar el malware, y por eso
las capas adicionales son necesarias. Pero la detección de los antivirus
gratuitos es igual de pobre que la de los de pago. El hecho de añadir
tecnología de protección adicional, como cortafuegos, antispam, etc, en
forma de suites de pago, mejora la seguridad, y es el usuario el que
debe decidir qué necesita y si está dispuesto a pagar por esa protección
extra. Por supuesto, siempre teniendo en cuenta que ninguna tecnología
protege al usuario por completo: al igual que con la detección, también
los antivirus tienen serios y numerosos problemas para reconocer las
conexiones salientes no legítimas (en sus cortafuegos), para clasificar
el spam (en sus sistemas antispam), para catalogar el phishing (en sus
sistemas antiphishing) y para ofrecer ayuda útil y real a un usuario (en
sus “call centers” de soporte). El problema del malware supera a todos
en todos los aspectos.
Además, Hall también dice que las casas antivirus que ofrecen productos
gratuitos no poseen los recursos para lidiar con las amenazas de
seguridad. Esto es incompleto. Las casas antivirus con productos
exclusivamente de pago tampoco disponen de esos recursos hoy en día.
Nadie los tiene.
Conclusión
En definitiva, la realidad es que si un usuario necesita un antivirus (y
solo un antivirus) puede optar por las soluciones gratuitas porque son
igual de efectivas que el resto. Siempre podrá complementarla con otros
productos específicos de otros fabricantes que completen su seguridad.
Si quiere una suite integrada con soporte, sin duda la elección está en
los productos de pago, y en ellos encontrará un excelente escudo contra
muchas amenazas. Pero siempre deberá tener en cuenta que los antivirus
no son la solución definitiva. Hoy en día los consejos contra el
malware, por orden de importancia, podrían ser:
* No usar Windows como administrador.
* Actualizar con los parches de seguridad, tanto de programas como del
sistema operativo.
* Mantenerse informado.
Y sí, también un antivirus, un antispam, una barra antiphishing, un
antirootkit... gratuitos o no.
viernes, 5 de junio de 2009
Actualizaciones Mes de Junio 2009 Windows
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan diez boletines de seguridad. Las actualizaciones afectan a Office en general, Internet Explorer, Windows y Excel y Word en particular
Si en mayo se publicó una sola actualización para PowerPoint (que solucionaba 14 vulnerabilidades), este mes Microsoft prevé publicar diez actualizaciones el martes 9 de junio. Seis boletines son críticos, tres importantes y uno moderado. De los siete boletines dedicados a Windows, las versiones de 2000 y XP se llevan la peor parte, pues se ven afectados por todos. Vista y 2008, sin embargo, solo se ven afectados por cuatro de estos siete boletines, cosa que viene siendo habitual. Vista se ha desarrollado casi desde sus inicios dentro de un marco mucho más volcado en la seguridad dentro de Microsoft, y parece que el esfuerzo se va notando.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
Después de un mes de relativa "calma", con un solo boletín para PowerPoint (aunque cargado de correcciones), Microsoft prepara un martes colmado de actualizaciones. Una vez más, parece que no le ha dado tiempo a preparar un parche para la grave vulnerabilidad en DirectX descubierta a finales de mayo cuando ya estaba siendo aprovechada.
Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora. Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.
Si en mayo se publicó una sola actualización para PowerPoint (que solucionaba 14 vulnerabilidades), este mes Microsoft prevé publicar diez actualizaciones el martes 9 de junio. Seis boletines son críticos, tres importantes y uno moderado. De los siete boletines dedicados a Windows, las versiones de 2000 y XP se llevan la peor parte, pues se ven afectados por todos. Vista y 2008, sin embargo, solo se ven afectados por cuatro de estos siete boletines, cosa que viene siendo habitual. Vista se ha desarrollado casi desde sus inicios dentro de un marco mucho más volcado en la seguridad dentro de Microsoft, y parece que el esfuerzo se va notando.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
Después de un mes de relativa "calma", con un solo boletín para PowerPoint (aunque cargado de correcciones), Microsoft prepara un martes colmado de actualizaciones. Una vez más, parece que no le ha dado tiempo a preparar un parche para la grave vulnerabilidad en DirectX descubierta a finales de mayo cuando ya estaba siendo aprovechada.
Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora. Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.
martes, 2 de junio de 2009
Cryptography
Cryptography is the science of encrypting, or hiding, information—something people have sought to do since they began using language. Although language allowed them to communicate with one another, people in power attempted to hide information by controlling who was taught to read and write. Eventually, more complicated methods of concealing information by shifting letters around to make the text unreadable were developed.
The Spartans of ancient Greece would write on a ribbon wrapped around a specific gauge cylinder. When the ribbon was unwrapped, it revealed a strange string of letters.
The message could be read only when the ribbon was wrapped around the same gauge cylinder. This is an example of a transposition cipher, where the same letters are used but the order is changed.
The Romans typically used a different method known as a shift cipher. In this case,
one letter of the alphabet is shifted a set number of places in the alphabet for another letter. A common modern-day example of this is the ROT13 cipher, in which every letter is rotated 13 positions in the alphabet: n is written instead of a, o instead of b, and so on.
These ciphers were simple to use and also simple to break. Because hiding information was still important, more advanced transposition and substitution ciphers were required. As systems and technology became more complex, ciphers were frequently automated by some mechanical or electromechanical device. A famous example of a modern encryption machine is the German Enigma machine from World War II. This machine used a complex series of substitutions to perform encryption, and interestingly enough it gave rise to extensive research in computers.
Cryptanalysis, the process of analyzing available information in an attempt to return the encrypted message to its original form, required advances in computer technology for complex encryption methods. The birth of the computer made it possible to easily execute the calculations required by more complex encryption algorithms. Today, the computer almost exclusively powers how encryption is performed. Computer technology has also aided cryptanalysis, allowing new methods to be developed, such as linear and differential cryptanalysis. Differential cryptanalysis is done by comparing the input plaintext to the output ciphertext to try and determine the key used to encrypt the information.
Linear cryptanalysis is similar in that it uses both plaintext and ciphertext, but it puts the plaintext through a simplified cipher to try and deduce what the key is likely to be in the full version of the cipher.
This chapter examines the most common symmetric and asymmetric algorithms in use today, as well as some uses of encryption on computer networks.
The Spartans of ancient Greece would write on a ribbon wrapped around a specific gauge cylinder. When the ribbon was unwrapped, it revealed a strange string of letters.
The message could be read only when the ribbon was wrapped around the same gauge cylinder. This is an example of a transposition cipher, where the same letters are used but the order is changed.
The Romans typically used a different method known as a shift cipher. In this case,
one letter of the alphabet is shifted a set number of places in the alphabet for another letter. A common modern-day example of this is the ROT13 cipher, in which every letter is rotated 13 positions in the alphabet: n is written instead of a, o instead of b, and so on.
These ciphers were simple to use and also simple to break. Because hiding information was still important, more advanced transposition and substitution ciphers were required. As systems and technology became more complex, ciphers were frequently automated by some mechanical or electromechanical device. A famous example of a modern encryption machine is the German Enigma machine from World War II. This machine used a complex series of substitutions to perform encryption, and interestingly enough it gave rise to extensive research in computers.
Cryptanalysis, the process of analyzing available information in an attempt to return the encrypted message to its original form, required advances in computer technology for complex encryption methods. The birth of the computer made it possible to easily execute the calculations required by more complex encryption algorithms. Today, the computer almost exclusively powers how encryption is performed. Computer technology has also aided cryptanalysis, allowing new methods to be developed, such as linear and differential cryptanalysis. Differential cryptanalysis is done by comparing the input plaintext to the output ciphertext to try and determine the key used to encrypt the information.
Linear cryptanalysis is similar in that it uses both plaintext and ciphertext, but it puts the plaintext through a simplified cipher to try and deduce what the key is likely to be in the full version of the cipher.
This chapter examines the most common symmetric and asymmetric algorithms in use today, as well as some uses of encryption on computer networks.
lunes, 25 de mayo de 2009
Escalada de directorios a través de TFTP en CiscoWorks
Escalada de directorios a través de TFTP en CiscoWorks
CiscoWorks Common Services se ve afectado por una vulnerabilidad que podría permitir a un atacante remoto sin autenticar acceder a diversos archivos del sistema.
CiscoWorks Common Services representa un conjunto común de servicios de administración compartidos por las aplicaciones CiscoWorks. CiscoWorks es una familia de productos basados en estándares de Internet para la administración de redes y dispositivos. Son muchos los productos CiscoWorks que usan y dependen de Common Services.
Cisco ha publicado una actualización para corregir una vulnerabilidad (de la que no ha especificado detalles) en TFTP, del conjunto de servicios de CiscoWorks Common Services. El fallo podría permitir a un atacante remoto no autenticado efectuar un ataque de escalada de directorios y obtener o modificar información sensible y potencialmente causar una denegación de servicio.
La vulnerabilidad solo afecta a CiscoWorks sobre plataformas Microsoft Windows.
Cisco ha publicado la actualización cwcs3.x-win-CSCsx07107-0.zip disponible desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cw2000-cd-one
CiscoWorks Common Services se ve afectado por una vulnerabilidad que podría permitir a un atacante remoto sin autenticar acceder a diversos archivos del sistema.
CiscoWorks Common Services representa un conjunto común de servicios de administración compartidos por las aplicaciones CiscoWorks. CiscoWorks es una familia de productos basados en estándares de Internet para la administración de redes y dispositivos. Son muchos los productos CiscoWorks que usan y dependen de Common Services.
Cisco ha publicado una actualización para corregir una vulnerabilidad (de la que no ha especificado detalles) en TFTP, del conjunto de servicios de CiscoWorks Common Services. El fallo podría permitir a un atacante remoto no autenticado efectuar un ataque de escalada de directorios y obtener o modificar información sensible y potencialmente causar una denegación de servicio.
La vulnerabilidad solo afecta a CiscoWorks sobre plataformas Microsoft Windows.
Cisco ha publicado la actualización cwcs3.x-win-CSCsx07107-0.zip disponible desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cw2000-cd-one
Gumblar en los medios y en "Google" particular
Gumblar es un espécimen de origen chino que llevaba cierto tiempo circulando, se detectó y comenzó a seguir desde finales de marzo. Los medios se han fijado en él (siempre recordando que la noticia origen es de una casa antivirus) por el preocupante y rápido aumento de infectados que se ha contabilizado en las últimas semanas. Ha llegando a doblar el número de victimas semanalmente; también se le atribuye el 42 por ciento de las nuevas infecciones detectadas en sitios web.
El comportamiento del ejemplar es interesante. Gumblar se nutre de dos vías diferentes, la principal es infectando un sitio web a través de contraseñas FTP capturadas o explotando vulnerabilidades de servidor conocidas. Una vez consigue acceder al servidor web, inyecta código javascript en las páginas alojadas pero intenta evadir aquellas que son más susceptibles de ser examinadas ocasionalmente por un administrador, como la página principal o un index.html. Adicionalmente, cada vez que el script se inserta, es ofuscado de diferente forma para eludir la identificación mediante firma de los motores de los antivirus.
La segunda vía toma forma cuando el sitio web infectado es visitado. El script es ejecutado por el cliente e intenta explotar en el un abanico de exploits que van desde vulnerabilidades multiplataforma en el reproductor Flash o el lector de archivos PDF Adobe Reader hasta específicas de Internet Explorer. Si consigue su objetivo (entre otras acciones ya comunes entre el malware) instalará un troyano en la máquina del visitante que se dedicará a inspeccionar el tráfico con, a su vez, dos funciones a destacar: examinar el tráfico en busca de contraseñas de servidores FTP para usarlas en nuevas infecciones y la inyección de tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole resultados manipulados que apuntan a sitios fraudulentos. Ser el "Google" particular (e insospechado) de un buen número de "clientes" puede resultar muy lucrativo.
En las últimas infecciones se ha detectado, como no podía ser de otra forma, la instalación de un componente para asociar al nodo infectado a una botnet.
Los dominios principales de los que se sirve el malware son entre otros "gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware descarga otros componentes desde otras localizaciones que todavía siguen activas. Estos binarios tienen un nivel de detección de poco más del 50% de los motores según el análisis en virusTotal.com.
El comportamiento combinado de Gumblar no deja de ser interesante aunque todavía no se conozca la incidencia a largo plazo del espécimen.
El comportamiento del ejemplar es interesante. Gumblar se nutre de dos vías diferentes, la principal es infectando un sitio web a través de contraseñas FTP capturadas o explotando vulnerabilidades de servidor conocidas. Una vez consigue acceder al servidor web, inyecta código javascript en las páginas alojadas pero intenta evadir aquellas que son más susceptibles de ser examinadas ocasionalmente por un administrador, como la página principal o un index.html. Adicionalmente, cada vez que el script se inserta, es ofuscado de diferente forma para eludir la identificación mediante firma de los motores de los antivirus.
La segunda vía toma forma cuando el sitio web infectado es visitado. El script es ejecutado por el cliente e intenta explotar en el un abanico de exploits que van desde vulnerabilidades multiplataforma en el reproductor Flash o el lector de archivos PDF Adobe Reader hasta específicas de Internet Explorer. Si consigue su objetivo (entre otras acciones ya comunes entre el malware) instalará un troyano en la máquina del visitante que se dedicará a inspeccionar el tráfico con, a su vez, dos funciones a destacar: examinar el tráfico en busca de contraseñas de servidores FTP para usarlas en nuevas infecciones y la inyección de tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole resultados manipulados que apuntan a sitios fraudulentos. Ser el "Google" particular (e insospechado) de un buen número de "clientes" puede resultar muy lucrativo.
En las últimas infecciones se ha detectado, como no podía ser de otra forma, la instalación de un componente para asociar al nodo infectado a una botnet.
Los dominios principales de los que se sirve el malware son entre otros "gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware descarga otros componentes desde otras localizaciones que todavía siguen activas. Estos binarios tienen un nivel de detección de poco más del 50% de los motores según el análisis en virusTotal.com.
El comportamiento combinado de Gumblar no deja de ser interesante aunque todavía no se conozca la incidencia a largo plazo del espécimen.
viernes, 22 de mayo de 2009
Mac OS X - Falla en Java Sin parchar
Una falla en Java aun permanece sin parchar en OS X.
En diciembre del 2008, Sun Microsystem anunciaba una falla en su maquina virtual de Javaque podría ser explotada para ejecutar codigo en computadoras vulnerables.
Aunque el problema ha sido tomado en cuenta en windows y distribuciones principales de Linux, Apple no ha corregido esta vulnerabilidad, aún cuando recientemente a puesto atencion a una principal actualizacion. L afalla esta siendo explotada activamente, y el codigo del ataque que se dirije a usuarios Mac OS X ha sido posteado en un intento por llamar la atencion sobre la vulnerabilidad no parchada. Los uauarios Mac se les recomeinda dehabilitar applets de Java en sus navegadores hasta que que la correcion (fix) este disponible.
Los usuarios Mac frecuentemente asumen que sus maquinas no son vulnerables a ataques, pero la realidad indica otra cosa. Noticias de esta ultima falla de seguridad es otra indicacion que Mac OS X no es invencible a ataques.
Apple se basa en software abierto/terceros, y su inhabilidad para liberar parches oportunamente de manera sincronica con otros distribuidores es una gran amenaza de que es mitigado por la obsuridad de la plataforma.
Una empresa moderna de software de hoy día no puede darse el lujo de esperar varios meses para liberar un parche para una vulnerabilidad publicamente conocida. Microsoft ha aprendido esta leccion de una fea manera. ( Quizas esté en proceso, pero de los errores pasados se aprende)
En diciembre del 2008, Sun Microsystem anunciaba una falla en su maquina virtual de Javaque podría ser explotada para ejecutar codigo en computadoras vulnerables.
Aunque el problema ha sido tomado en cuenta en windows y distribuciones principales de Linux, Apple no ha corregido esta vulnerabilidad, aún cuando recientemente a puesto atencion a una principal actualizacion. L afalla esta siendo explotada activamente, y el codigo del ataque que se dirije a usuarios Mac OS X ha sido posteado en un intento por llamar la atencion sobre la vulnerabilidad no parchada. Los uauarios Mac se les recomeinda dehabilitar applets de Java en sus navegadores hasta que que la correcion (fix) este disponible.
Los usuarios Mac frecuentemente asumen que sus maquinas no son vulnerables a ataques, pero la realidad indica otra cosa. Noticias de esta ultima falla de seguridad es otra indicacion que Mac OS X no es invencible a ataques.
Apple se basa en software abierto/terceros, y su inhabilidad para liberar parches oportunamente de manera sincronica con otros distribuidores es una gran amenaza de que es mitigado por la obsuridad de la plataforma.
Una empresa moderna de software de hoy día no puede darse el lujo de esperar varios meses para liberar un parche para una vulnerabilidad publicamente conocida. Microsoft ha aprendido esta leccion de una fea manera. ( Quizas esté en proceso, pero de los errores pasados se aprende)
Java Flaw Still Unpatched in OS X
Java Flaw Still Unpatched in OS X
In December 2008, Sun Microsystems warned of a flaw in its Java virtual machine that could be exploited to execute code on vulnerable computers.
Although the problem has been addressed in Windows and major Linux distributions, Apple has not issued a fix for the vulnerability, despite having recently issued a major security upgrade. The flaw is being actively exploited, and attack code that specifically targets the flaw in Mac OS X has been posted in an attempt to draw attention to the unpatched vulnerability. Mac users are urged to disable Java applets in their browsers until a fix is made available.
Mac users too often assume that their machines are not vulnerable to attacks, but reality dictates otherwise. News of this latest security flaw is yet another indication that Mac OS X is by no means invincible to attacks.
Apple's reliance on third party / open source software, and it's inability to release timely patches in sync with other vendors is a big threat currently only mitigated by the obscurity of the platform.
A modern day software company just can't afford to wait months to release a patch for a publicly known vulnerability. Microsoft learned this lesson the hard way.
In December 2008, Sun Microsystems warned of a flaw in its Java virtual machine that could be exploited to execute code on vulnerable computers.
Although the problem has been addressed in Windows and major Linux distributions, Apple has not issued a fix for the vulnerability, despite having recently issued a major security upgrade. The flaw is being actively exploited, and attack code that specifically targets the flaw in Mac OS X has been posted in an attempt to draw attention to the unpatched vulnerability. Mac users are urged to disable Java applets in their browsers until a fix is made available.
Mac users too often assume that their machines are not vulnerable to attacks, but reality dictates otherwise. News of this latest security flaw is yet another indication that Mac OS X is by no means invincible to attacks.
Apple's reliance on third party / open source software, and it's inability to release timely patches in sync with other vendors is a big threat currently only mitigated by the obscurity of the platform.
A modern day software company just can't afford to wait months to release a patch for a publicly known vulnerability. Microsoft learned this lesson the hard way.
miércoles, 20 de mayo de 2009
Vulnerabilidad en Microsoft IIS 6.0
Quizás tecnicamente no sea un virus...pero lo cierto es que la falla del Microsoft IIS 6.0 heredó las fallas de su antecesor. Cuantas veces no hemos escuchado que se han descubierto fallas que afectaban a versiones anteriores de un software, y que algunas se vuelven "0-day". Esta tambien por ejemplo la falla del telnet en Solaris, por mencionar algunas. ¿Cual es entonces el problema?. A mi parecer, y sin ser éste muy técnico, al Control de Versiones, a los parches mal parchados o que se "olvidaron", por que la nueva version se escribe desde cero, o por que nuevas características se han incluido, y de ahi me paso a lo que siempre he renegado, la mas facil utilizacion del usuario..poner en bandeja de plata todo...para que con un simple click se haga todo, no más tiempo "perdido". La complejidad del software tambien juega un papel muy importante. Bueno, despues de todo: "La seguridad es teórica".
miércoles, 13 de mayo de 2009
Vulnerability in Windows 7 Release Candidate
Vulnerability in Windows 7 Release Candidate
A flaw has been found in the most recent Windows 7 Release Candidate; Microsoft has issued a hotfix for the vulnerability. The flaw affects the 32-bit (x86) English-language version of Windows 7 build 7100. The problem is that "the folder that is created as the root folder of the system drive is missing entries in its security descriptor." This could cause "applications that reference folders under the root" to fail to install or uninstall successfully and "applications that reference these folders may fail."
Knowledge Base : http://support.microsoft.com/kb/970789
A flaw has been found in the most recent Windows 7 Release Candidate; Microsoft has issued a hotfix for the vulnerability. The flaw affects the 32-bit (x86) English-language version of Windows 7 build 7100. The problem is that "the folder that is created as the root folder of the system drive is missing entries in its security descriptor." This could cause "applications that reference folders under the root" to fail to install or uninstall successfully and "applications that reference these folders may fail."
Knowledge Base : http://support.microsoft.com/kb/970789
sábado, 9 de mayo de 2009
Windows 7 Release Candidate - Puntos a favor y en contra
Algunos puntos en desacuerdo en la implementacion de Windows 7 Release Candidate, son por no implementar ciertos cambios que deberían mejorar la seguridad. La esperanza que se tenía de Windows 7, es que se cambiara la practica de ocultar por default la extension de los archivos en Explorer, peroesta nueva version aun oculta las extensiones. El problema es que la mayoría de las configuraciones en los equipos no establecen esta directiva, por lo tanto los atacantes pueden usar esta caracteristica para hacer que un archivo, por ejemplo archivo.txt.exe, sea vista como un archivo inofensivo, archito.txt. Y como otro punto en desacuerdo en notar, la Version de Windows 7 (AutoPlay), deshabilita todas las unidades extraibles de ejecutar la caracteristica del autorun, pero no lo hace para unidades de CD/DVD. Por cierto, tambien no lo hace para particiones adicionales del disco ( ntfs/fat32).
Suscribirse a:
Entradas (Atom)