Septiembre del 2005

Traspaso de proteccion antivirus mediante nombres de archivo con caracteres especiales

Por marcelo-ar - 30 de Septiembre, 2005, 8:23, Categoría: General

Varios programas antivirus no escanean los archivos cuyos nombres contengan caracteres ASCII especiales, además, en lugar de bloquearlos, simplemente los ignoran.
Esto ocurre con los caracteres menores al hexadecimal 20 (decimal 32), equivalente al espacio.

Sistemas vulnerables chequeados:

 * BitDefender Antivirus

 * Trustix Antivirus
 * Avast! Antivirus
 * Cat Quick Heal Antivirus
 * Abacre Antivirus
 * VisNetic Antivirus (falla únicamente con escaneo manual)
 * AntiVir Personal Edition Antivirus
 * ClamWin Antivirus
 * Antiy Ghostbusters Professional Edition

Sistemas no vulnerables chequeados:

 * Kaspersky Antivirus

 * AVG Free

Créditos:
La información ha sido provista por SecuBox Labs

Referencias:
SecuriTeam: AntiVirus Filename Bypassing

Error en Internet Explorer 6.0 al procesar ciertos archivos embebidos permite ataques XSS

Por marcelo-ar - 29 de Septiembre, 2005, 0:29, Categoría: General

Título original:
Microsoft Internet Explorer 6.0 embedded content cross site scripting

Sven Vetsch reporta una vulnerabilidad del tipo XSS (Cross Site Scripting) en Internet Explorer.
Según el autor del reporte es posible utilizar contenido embebido especialmente manipulado para ejecutar código script arbitrario en el contexto de seguridad de un sitio.

El problema reside en el manejo del contenido de ciertos archivos como por ejemplo una imagen gif.
En un archivo *.gif, en primer lugar, se provee el encabezado del mismo. El contenido restante del archivo podría ser código html usual. Por lo tanto, embeber código script en la parte restante del archivo puede ser posible. Este código inyectado será ejecutado por el motor del navegador que procesa el html, posibilitando ataques del tipo cross site scripting (XSS).

En la prueba de concepto de Sven Vetsch se utiliza un archivo GIF, pero otros tipos de archivos que puedan ser embebidos en un html, podrían utilizarse también, como por ejemplo, JPG, WAV, AVI, RM/RAM.

Prueba de concepto:

01 <GIF89a? 8 ?f???>
02 <html>
03 <head>
04 <script>
05 alert("XSS");
06 </script>
07 </head>
08 <body>
09 </body>
10 </html>

En la linea 01 se proporciona el encabezado normal correspondiente a archivos gif, pero en las líneas restantes se incluye html y código script.

Impacto:
Los sitios web que permitan la subida de archivos para ser utilizados posteriormente están afectados, por ejemplo, sitios de subasta que permitan subir un archivo con la imagen del producto, o bien foros en los cuales los usuarios puedan subir avatares especialmente alterados.

Recomendación:
Se ha verificado que otros navegadores como Mozilla Firefox, Netscape y Opera no están afectados por este problema, por lo cual, el autor del reporte recomienda no usar Internet Explorer.

Respuesta del fabricante:
Microsoft fue informado de este problema, pero no verfificó la peligrosidad del mismo.

Créditos:
Vulnerabilidad descubierta por Sven Vetsch

Reporte original:
Microsoft Internet Explorer bis 6.0 eingebettete Inhalte Cross Site Scripting

Reporte con prueba de concepto (en formato PDF):
GIF-Bug im Internet Explorer 6 - Proof of Concept

Tiempos de divulgación:
15/07/05 Sven Vetsch descubre el fallo
28/07/05 Discusion entre Sven Vetsch y "scip AG" acerca del modo de revelar esta información
31/07/05 Sven Vetschs informa a Microsoft
08/08/05 Respuesta Semi-automatica de Microsoft
19/09/05 scip AG informa a sus clientes registrados
19/09/05 Prueba-de-concepto publicada en computec.ch
19/09/05 Artículo completo publicado en "scip monthly Security Summary[1]"
22/09/05 Reporte público


Nota importante:
En una respuesta al reporte original en la lista Full-disclosure, Brion Vibber hace notar que el motivo por el cual esto funciona es debido a que no es un encabezado correspondiente a un archivo GIF, ya que dichos encabezados no comienzan con "<".
Sin embargo, aclara que el reporte es bueno, ya que como norma general los sitios que aceptan la subida de archivos debieran validar su contenido en forma minuciosa.

Referencias:
[Full-disclosure] [scip_Advisory 1746]
Microsoft Internet Explorer 6.0 embedded content cross site scripting
http://seclists.org/lists/fulldisclosure/2005/Sep/0607.html

Re: [Full-disclosure] [scip_Advisory 1746]
Microsoft Internet Explorer 6.0 embedded content cross site scripting
http://seclists.org/lists/fulldisclosure/2005/Sep/0616.html

Adbar: la prestacion menos popular de Opera aun disponible para Firefox

Por marcelo-ar - 26 de Septiembre, 2005, 22:28, Categoría: General

Con la salida de Opera 8.50, la ventana con publicidad en la versión gratuita de este navegador pasó a la historia.

Sin embargo, por razones de seguridad, quienes extrañen esos ads by Google en la barra de herramientas de Opera, no debieran seguir usando versiones antiguas, ya que están afectadas por algunas vulnerabilidades.

De modo que estos usuarios nostálgicos del Opera con ads, pueden pasarse a Firefox e instalar la extensión adbar
que inserta una ventana con publicidad provista por Google AdSense en la barra de herramientas de Firefox:  :-)

Instalación "Adbar 0.3.1":
http://www.extensionsmirror.nl/index.php?showtopic=773

La publicidad insertada en adbar estará relacionada con la página web visitada, salvo en sitios "triple equis", en los cuales, solo se verán anuncios de servicio público. :-D

Mas información y capturas de la extensión adbar:
http://www.squarefree.com/extensions/adbar/

Pero... también hay mas "chiches Operianos" para Firefox... ;-)

Opera Theme for Firefox:
http://imsuden2.blogspot.com/2005/06/opera-theme-for-firefox_13.html

Más extensiones para añadir prestaciones interesantes del Opera al Firefox, en este blog:
http://firefoxopera.blogspot.com/

Vulnerabilidad en 7-Zip al procesar archivos ARJ permite ejecutar codigo arbitrario

Por marcelo-ar - 24 de Septiembre, 2005, 2:52, Categoría: General

7-Zip es un poderoso compresor/descompresor de archivos gratuito y distribuido bajo licencia GNU LGPL

Secunia Research ha identificado una vulnerabilidad en 7-Zip, la cual podría ser explotada por gente malintencionada para ejecutar código arbitrario en el sistema de un usuario atacado.

La vulnerabilidad es ocasionada debido a un error de límite al manejar un bloque ARJ de mas de 2600 bytes. Esto puede ser explotado para ocasionar un desbordamiento de buffer basado en el stack (pila) cuando se abre un archivo ARJ especialmente alterado.
La explotación exitosa de este fallo permite la ejecución de código arbitrario.

La vulnerabilidad ha sido confirmada en las versiones 3.13, 4.23 y 4.26 Beta de 7-Zip. Otras versiones anteriores también podrían estar afectadas.

Solución:
La vulnerabilidad ha sido resuelta en 7-Zip 4.27 Beta

Descubierto por:
Tan Chew Keong, Secunia Research.

URL del fabricante:
http://www.7-zip.org/


Reporte original:
Secunia Research: 7-Zip ARJ Archive Handling Buffer Overflow

Referencias:
Secunia Advisory: SA16664

Publicado exploit para vulnerabilidad IDN Link Buffer Overflow en Mozilla Firefox (PwnZilla 5)

Por marcelo-ar - 22 de Septiembre, 2005, 22:33, Categoría: General

El blog Security Fix de washingtonpost.com reporta que se ha realizado el exploit para la vulnerabilidad IDN Link Buffer Overflow que afecta a los navegadores Netscape, Mozilla y Firefox. Según el post en el blog, el código del exploit podría permitir a los atacantes tomar el control completo de computadoras cuyos usuarios utilicen versiones no parcheadas de Mozilla Firefox. Los exploits publicados con anterioridad eran simples pruebas de concepto que solo ocasionaban el cuelgue del navegador.

El exploit, fue creado por Berend-Jan "SkyLined" Wever
, y puede ser utilizado en contra de versiones vulnerables de Firefox, Mozilla y Netscape. Los recientes Firefox 1.0.7 y Mozilla 1.7.12 no están afectados por esta vulnerablidad, sin embargo, Netscape Browser 8 aún no cuenta con un parche oficial.

Notar que el exploit realizado por Wever no funciona correctamente en Netscape (por motivos que el mismo explica), estando éste optimizado para Firefox.

Quienes no hayan actualizado aún a Mozilla 1.7.12 o Firefox 1.0.7 debieran hacerlo a la mayor brevedad.

Es de hacer notar que Firefox 1.5 Beta1 aún esta afectado por esta vulnerabildad y sus usuarios debieran actualizarse a una compilación nocturna mas reciente de la rama 1.8.
Seamonkey 1.0 alfa ya incluye el parche para la vulnerabilidad, aunque está afectado por otro fallo exclusivamente en versiones para Linux cuando se lanza el programa mediante aplicaciones externas (Linux command line URL parsing security bug)

Notas:

  • Los usuarios de Netscape pueden instalar el parche temporario para Firefox realizado por la Fundación Mozilla a efectos de protegerse de la mencionada vulnerabilidad, ya que, lamentablemente, "parece ser" que -una vez mas- la gente de AOL ha dejado abandonado a su suerte al navegador Netscape.
  • Es poco probable que exista gran cantidad de usuarios que no hayan actualizado su Firefox, ya que por defecto, con solo iniciar el navegador con una conexión a Internet activa, este busca y avisa de la disponibilidad de actualizaciones de seguridad existentes e invita al usuario a descargarlas e instalarlas en forma automática.
Referencias
MozillaZine: PwnZilla 5 Exploits IDN Link Buffer Overflow
FrSIRT: Mozilla Suite - Firefox - Netscape IDN Host Remote Buffer Overflow Exploit
Security Fix - Brian Krebs: Exploit Released for Firefox, Netscape Flaw

Virus en version coreana de Mozilla y Thunderbird

Por marcelo-ar - 22 de Septiembre, 2005, 1:56, Categoría: General

De acuerdo al fabricante de antivirus Kaspersky, se hallaron distribuciones coreanas de Mozilla y Thunderbird para Linux infectadas con un virus de tres años de antiguedad, hasta que fueron removidas durante la semana pasada.

La version coreana del navegador Mozilla, mozilla-installer-bin de mozilla-1.7.6.ko-KR.linux-i686.installer.tar.gz, y Mozilla Thunderbird, mozilla-xremote-client de thunderbird-1.0.2.tar.gz estaban infectados por Virus.Linux.RST.b

El virus busca archivos ejecutables ELF en el directorio corriente y /bin y procede a infectarlos.
El virus tambien contiene un backdoor que descarga scripts desde otro sitio, y los ejecuta utilizando un shell standard. (tomado de viruslist.com)

Sin embargo, aqui comentan que el problema se dio en un mirror no oficial y fue resuelto apenas descubierto, y además califican al reporte de Viruslist.com como un ejemplo de grosero sensacionalismo.

Referencias
SecuriTeam Blogs: Infected Files Found in Mozilla Version of Korean
Viruslist.com: Infected files found on mozilla site
SC Magazine: Mozilla nightmare continues as site hit by hackers
The Casimir Effect: A Virus for what?


Resueltas cinco vulnerabilidades en Opera 8.50

Por marcelo-ar - 21 de Septiembre, 2005, 4:43, Categoría: General

Esta versión del navegador Opera resuelve cinco problemas de seguridad:

  • El primer problema es debido a un error en el cliente de correo de Opera, en el cual los archivos adjuntos son abiertos sin advertencia alguna directamente del directorio en que se ubica la cache del usuario, lo cual podría ser explotado para ejecutar codigo Javascript arbitrario en el contexto de seguridad de "file://".
  • La segunda vulnerabilidad es debida a un error en el cliente de correo de Opera que no valida correctamente las extensiones de los nombres de archivo, lo cual podría ser explotado por atacantes para realizar engaños con extensiones de archivo mediante el agregado del caracter "." al final del nombre del mismo.
  • El tercer fallo es debido a un error no especificado de arrastrar-y-soltar que permite la subida (upload) de archivos no intencional.
  • El cuarto problema es debido a un error no especificado en el manejo de la directiva "must-revalidate cache" en paginas https.
  • El quinto fallo es debido a un error no especificado al manejar la codificación "cookie comment".
Productos afectados:
Opera 8.02 y probablemente versiones anteriores.

Solución:
Actualizar a Opera 8.50
http://www.opera.com/download/

Las primeras dos vulnerabilidades fueron descubiertas por Jakob Balle de Secunia Research, y la tercera por Michael Krax (mikx.de)

Referencias:
FrSIRT Advisory : FrSIRT/ADV-2005-1789
Opera for Windows Security Update Fixes Multiple Vulnerabilities

Secunia Research 20/09/2005
Opera Mail Client Attachment Spoofing and Script Insertion

Opera 8.50 for Windows Changelog

http://www.opera.com/docs/changelogs/windows/850/

Nota: A partir de esta versión, Opera es 100% gratuito, es decir que a diferencia de versiones anteriores, ya no incluye el banner con publicidad en la barra de herramientas.

Disponible Firefox 1.0.7

Por marcelo-ar - 21 de Septiembre, 2005, 4:40, Categoría: General

Ya esta disponible Mozilla Firefox 1.0.7 con la solución definitiva para vulnerabilidad IDN Link Buffer Overflow, un fallo que se presenta solo en Linux al lanzar Firefox desde otras aplicaciones, y ademas resuelve otros bugs de menor relevancia.

Instalador Windows:
Firefox Setup 1.0.7.exe

Version ZIP no instalable:
firefox-1.0.7.en-US.win32.zip

Importante:

  • Quienes usen los instaladores, solo deben tomar la precaución de desinstalar la version anterior antes de instalar la nueva.
  • Los que utilicen los ZIP Builds, solo deberán descomprimirlo en una carpeta limpia.
  • En ningún caso deberán borrar el/los perfiles existentes ya que eso ocasionaría la perdida de la configuración actual, contraseñas + nombres de usuario almacenados y extensiones o temas instalados.
Actualizacion 22/09/2005
La version "es-AR" (español Argentina) ya esta disponible aquí:
Firefox Setup 1.0.7.exe

Absurdo: Symantec dice que Mozilla es mas vulnerable que Internet Explorer

Por marcelo-ar - 19 de Septiembre, 2005, 22:45, Categoría: General

A continuación, traduzco/interpreto los párrafos mas relevantes del informe de Tom Espiner de ZDNet(UK) sobre este polémico reporte de Symantec:

Según un reporte de Symantec, los navegadores Mozilla son potencialmente más vulnerables a un ataque que Internet Explorer.
Pero este reporte publicado el lunes, también afirma que los hackers aún enfocan sus esfuerzos en el IE.

El reporte en cuestión, "Symantec's Internet Security Threat Report Volume VIII", contiene datos sobre los primeros seis meses de este año e intenta contradecir la percepción de que Mozilla es mas seguro que el IE.

Según el reporte, 25 vulnerabilidades confirmadas por el fabricante fueron reveladas para los navegadores Mozilla durante la primer mitad de 2005, "la mayor cantidad de cualquier navegador investigado" afirmaron los autores del reporte.
"Durante el mismo período, 13 vulnerabilidades confirmadas por el fabricante, fueron reveladas en el IE, ocho de las cuales eran de alta gravedad" notan en el reporte.

Symantec dice que la diferencia de tiempo entre el reporte de las vulnerabilidades y el desarrollo del exploit correspondiente ha bajado a seis días promedio.
Sin embargo, no esta claro en este reporte que tan rápido fueron realizados los parches por Microsoft y Mozilla para sus respectivas vulnerabilidades, o cuantas de estas fueron aprovechadas por los hackers, dado que Microsoft solo realiza parches una vez al mes.

Symantec admitió que "al momento de escribir el reporte, no ha ocurrido una explotación de vulnerabilidades en ningún navegador excepto el Internet Explorer", pero agregaron que "esperan que esto cambie a medida que los navegadores alternativos estén mas difundidos".

Una advertencia: Symantec solo contabiliza los problemas de seguridad que han sido confirmados por el vendedor/fabricante. De acuerdo al monitoreo de seguridad de la compañia Secunia, existen 19 problemas de seguridad a resolver en Internet Explorer mientras que existen apenas tres en Firefox

Hasta aquí, lo mas relevante del buen artículo de ZDNet sobre el ridículo reporte de Symantec.

A la derecha de vuestra pantalla, está el banner para descargar el excelente, altamente personalizable / configurable, veloz y seguro... Mozilla Firefox!!!
Fanáticos del obsoleto IE, abstenerse de usarlo !!!  :-)

Informe de ZDNet:
Symantec: Mozilla browsers more vulnerable than IE
http://news.zdnet.com/2100-1009_22-5873273.html

Resueltas dos vulnerabilidades en ClamAV / ClamWin antivirus (UPX buffer overflow y FSG DoS)

Por marcelo-ar - 19 de Septiembre, 2005, 22:11, Categoría: General

Se han reportado dos vulnerabilidades en ClamAV, las cuales pueden ser explotadas por gente malintencionada para ocasionar un DoS (Denegación de Servicio) o ejecutar código arbitrario en un sistema vulnerable.

1) Un error en "libclamav/upx.c" puede ser potencialmente explotado para ocasionar un desbordamiento de buffer al procesar archivos ejecutables con compresión UPX malformados.
Esto podría ser explotado por atacantes para ejecutar código arbitrario, mediante el envío de mensajes que contengan éste tipo de archivos especialmente alterados.

2) Un error en "libclamav/fsg.c" podría ocasionar que la aplicación entre en un bucle infinito (DoS) al procesar un ejecutable con compresión FSG especialmente alterado.

Las vulnerabilidades han sido reportadas en la versión 0.86.2 y anteriores.

Solución:
Actualizar a la versión 0.87 o posterior.

La versión 0.87 para Windows de ClamAV, denominada ClamWin está disponible en este enlace:
Download ClamWin Free Antivirus

Para actualizar ClamWin antivirus, basta con instalar la versión más reciente encima de la anterior:
ClamWin Free Antivirus FAQ
Q: Can I upgrade an existing version of ClamWin?
A: Yes, just run the normal set up program, and install over the top
of the existing version.

Créditos:
Vulnerabilidades reportadas por el desarrollador del producto

Referencias:
FrSIRT Advisory : FrSIRT/ADV-2005-1774
Clam AntiVirus (ClamAV) Buffer Overflow and DoS Vulnerabilities

Secunia Advisory: SA16848
ClamAV UPX and FSG Handling Vulnerabilities

Clam AntiVirus
http://www.clamav.net/

ClamWin Free Antivirus For Windows
http://www.clamwin.com/

Nota: ClamWin no dispone de protección residente, de modo que puede ser útil como segundo antivirus para realizar escaneos o examinar algun(os) archivo(s) en forma manual.

Desactivar IDN en Firefox 1.5 Beta evita correctamente vulnerabilidad IDN Buffer Overflow

Por marcelo-ar - 17 de Septiembre, 2005, 2:25, Categoría: General

A pesar de lo afirmado por Ferris, el problema generado en Firefox 1.5 Beta con su nueva prueba de concepto que indicaba en este post, no está relacionado con la vulnerablidad IDN Buffer Overflow que se evita con solo desactivar el soporte IDN en los navegadores afectados (Mozilla, Firefox y Netscape).

Como se indica en éste artículo de MozillaZine[ES] el nuevo "hallazgo" de Ferris, solo se trata de un simple crash sin mayores consecuencias no relacionado con la vulnerabilidad mencionada, sino con el Bug 308579 que  fue marcado como duplicado del Bug 307875

Ferris no solo se equivocó al reportar la vulnerabilidad, sino que además dijo que informó del fallo dos días antes de la fecha real.

Referencias
MozillaZine:
Hackers Reportedly Working to Exploit IDN Link Buffer Overflow, Tom Ferris Claims New Flaw
Traducción de MozillaZine en español:
Hackers investigan el desbordamiento del buffer en enlaces IDN. Tom Ferris encuentra otro fallo
Nota: Creo que una traducción mas acertada de MozillaZine[ES] debió ser "...Tom Ferris reclama un nuevo fallo")

eEye reporta otra vulnerabilidad crítica en Internet Explorer

Por marcelo-ar - 16 de Septiembre, 2005, 22:38, Categoría: General

eEye Digital Security reporta una nueva vulnerabilidad crítica en Internet Explorer, cuya explotación exitosa podría permitir la ejecución de código arbitrario en forma remota.

De acuerdo a su política, eEye no divulga detalles de la vulnerabilidad descubierta a efectos de darle tiempo a Microsoft para que la resuelva y no pueda ser explotada por gente maliciosa.

A la fecha, existen diez vulnerabilidades sin resolver en productos de Microsoft reportadas por eEye, siendo la más antigua una del 29 de marzo, que al igual que esta, también afecta al IE.

De las restantes vulnerabilidades críticas pendientes de solución reportadas por eEye, dos afectan al reproductor RealPlayer, y una a un producto no especificado de Macromedia.

Referencias:
eEye Upcoming Advisories
http://eeye.com/html/research/upcoming/index.html

Realizado SeaMonkey 1.0 Alfa

Por marcelo-ar - 15 de Septiembre, 2005, 22:23, Categoría: General

El sucesor de Mozilla Suite, ahora denominado SeaMonkey, ya esta disponible en su primer versión alfa. Comparado con Mozilla 1.7, Seamonkey tiene muchas nuevas prestaciones, bugs resueltos y mejoras de rendimiento. Está basado en Gecko 1.8b4, el mismo motor de Firefox 1.5 Beta1 (aunque SeaMonkey incluye la resolución de un problema de seguridad adicional).

Descarga SeaMonkey 1.0 Alpha:
http://www.mozilla.org/projects/seamonkey/releases/

LangPack idioma Español (seamonkey-1.0.es-ES.langpack.xpi) :
http://nave.escomposlinux.org/productos/seamonkey/1.0/progreso/

Referencias:
Blog SeaMonkey: SeaMonkey 1.0 Alpha Released
MozillaZine: SeaMonkey 1.0 Alpha Released

Google lanzó su buscador de blogs

Por marcelo-ar - 14 de Septiembre, 2005, 21:59, Categoría: General

Sorpresivamente, Google lanzó su nuevo buscador Google Blog Search.

Sus resultados de búsqueda incluyen a todos los blogs, y no únicamente a los basados en su servicio Blogger.

La clave para que el contenido de un blog sea indexado por Google Blog Search es que éste disponga de un feed RSS/Atom y que haga ping a sitios como weblogs.com cuando sea actualizado.
Más adelante se prevee la disponibilidad de un formulario para ingresar la URL del blog a indexar en caso de que este no haya sido añadido al mismo en forma automática y en las FAQs piden que estemos atentos para mas información sobre ésto.

Su búsqueda avanzada permite especificar el período de tiempo en que los posts fueron escritos, desde una/seis/doce horas atrás, hasta el ultimo mes o bien especificar cierto rango de fechas, como así también producir resultados en un idioma específico, a esta última funcionalidad Technorati también la brinda en modalidad beta.

Las URLs para acceder a este nuevo motor de búsqueda en fase beta son principalmente dos:

http://www.google.com/blogsearch  (interface similar a la de Google)
http://search.blogger.com/  (interface similar a la de Blogger)

Por lo que estuve probando, el servicio es una maravilla, no solo me indexó el contenido de éste blog de ZoomBlog sino también mi blog anterior en Blogger, que justamente dejé abandonado porque no me lo indexaba Google, sin embargo, ahora no solo me lo indexó Google sino también el Google Blog Search. :-)

Otros servicios de búsqueda de blogs, como Technorati, IceRocket y BlogPulse cuentan a partir de hoy con un fuerte y poderoso competidor.

Hablando de Technorati, en este post Welcome to the Blogosphere, Google!, le dan la bienvenida a Google a la Blogósfera. Resaltan algunas ventajas que Technorati ya ofrece pero Google Blog Search aún no brinda y le sugieren que en el futuro procuren indexar el contenido completo de los blogs y no solo el texto parcial obtenido de los feeds. Por último, le dicen a Google que ellos también tienen algo escondido bajo sus mangas y que al final la competencia terminará por proveer mejores servicios para bloggers y lectores.

Más información y comentarios:
Genbeta: Google lanza un buscador de blogs
Error500: Buscador de blogs de Google
google.dirson: Google lanza su buscador de blogs
Comparando Google Blog Search con Technorati
BarraPunto: Google lanza un buscador de bitácoras


Desactivar IDN no evita la explotacion de vulnerabilidad IDN Buffer Overflow en Firefox 1.5 Beta

Por marcelo-ar - 14 de Septiembre, 2005, 20:45, Categoría: General

[ Actualización 17-Sept-2005: Ver aquí ]
Mientras ya existen candidatos de prueba de los nuevos Firefox 1.0.7 y Mozilla 1.7.12 con la solución definitiva para la grave vulnerabilidad IDN Buffer Overflow, Tom Ferris sigue investigando este tema...

Ferris dice que existe una vulnerabilidad del tipo buffer overflow en Mozilla Firefox 1.5 Beta 1 con soporte IDN desactivado que permite a un atacante remoto la ejecución de código arbitrario en un sistema afectado.
Firefox 1.0.6 y versiones anteriores no están afectados por esta variante del problema "Host:" Buffer Overflow.

Detalles técnicos:
La solución temporaria provista por la Fundacion Mozilla no minimiza este problema.
El siguiente código html reproduce el problema:

IFRAME SRC=https:-----------------------------------------------

Ferris hace notar que la diferencia de este, es el IFRAME y SRC= ya que anteriormente era solamente HREF=

Por el momento no existe solución para Firefox 1.5 Beta 1

Reporte original y prueba de concepto:
Mozilla Firefox 1.5 Beta 1 IDN Buffer Overflow


Resuelta grave vulnerabilidad en AVIRA Antivirus al procesar archivos ACE

Por marcelo-ar - 14 de Septiembre, 2005, 17:23, Categoría: General

Título original:
AVIRA Antivirus ACE Archive Handling Buffer Overflow

Gravedad:
Altamente crítica

Secunia Research ha descubierto una vulnerabilidad en el antivirus AVIRA Desktop para Windows, la cual puede ser explotada por gente malintencionada para comprometer un sistema vulnerable.

La vulnerabilidad es ocasionada debido a un error de límite al leer el nombre de archivo de un fichero comprimido de un archivo ACE. Esto puede ser explotado para ocasionar un desbordamiento de buffer basado en el stack al escanear un archivo ACE conteniendo un fichero comprimido con un nombre de archivo demasiado extenso.

La explotación exitosa de esta vulnerabilidad posibilita la ejecución de código arbitrario, pero requiere que el escaneo de archivos esté habilitado.

Solución:
Actualizar a la última versión mediante la funcionalidad de actualización online. (AVPACK32.DLL version 6.31.1.7).

Descubierto por:
Tan Chew Keong, Secunia Research.

Reporte original del vendedor:
Security advisory: AVIRA Desktop for Windows patched against vulnerability

Reporte Secunia Research:
http://secunia.com/secunia_research/2005-43/advisory/

Otras referencias:
Este problema esta relacionado con SA14359

Nota del "posteador" :-)
A diferencia de otro fabricante de un popular antivirus afectado por una vulnerabilidad crítica similar, AVIRA publicó un reporte del problema para informar a sus clientes.


Cuidado con las emanaciones acusticas del teclado

Por marcelo-ar - 13 de Septiembre, 2005, 22:21, Categoría: General

Se ha publicado un interesante artículo titulado Keyboard Acoustic Emanations Revisited (emanaciones acústicas del teclado), en síntesis, alguien que grabe el sonido de sus digitaciones en el teclado podrá recuperar el texto plano tipeado.

Este método es bastante efectivo, produciendo resultados exitosos de un 90% en la recuperación de contraseñas de 5 caracteres, y un 80% de éxito en la recuperación de contraseñas de 10 caracteres. Esto es bastante impresionante para algo recuperado de la grabación del sonido del teclado.

El autor de este post (
Noam), dice que ahora, seguramente, hará más uso de combinaciones de Caps Lock, Shift, Alt y Ctrl para probar y evitar la recuperacion de sus contraseñas, como así también agregará cantidades de tos al tipear. :-)

Referencias
SecuriTeam Blogs:Type Quitely
Keyboard Acoustic Emanations Revisited: http://keyboard-emanations.org/
Artículo (en ingles) en formato PDF: preprint.pdf

Realizado Mozilla Thunderbird 1.5 Beta 1

Por marcelo-ar - 10 de Septiembre, 2005, 22:18, Categoría: General

Estas son las novedades en Thunderbird 1.5 Beta 1

  • Actualización automática de Software.
  • Revisión de ortografía mientras se escribe.
  • Detector de phishing que ayuda a proteger a los usuarios de los scams por email.
  • Podcasting y otras mejoras en RSS.
  • Posibilidad de borrado de adjuntos en los mensajes.
  • Integración con el lado del servidor en el filtrado de spam.
  • Acciones Responder y Reenviar para filtros de mensaje.
  • Autenticación Kerberos.
  • Auto guardar como borrador en composición de mensaje.
  • Mejoras en la facilidad de uso del producto incluyendo el rediseño de la UI (Interface de Usuario) de Opciones, la UI de buscar y filtrar, y manejo del servidor SMTP.
  • Muchas mejoras de seguridad
Descarga instalador Windows:
Thunderbird Setup 1.5 Beta 1.exe

Versión ZIP no instalable Windows (directorio nightly):
thunderbird-1.4.en-US.win32.zip

Referencias:
thunderbird 1.5 beta 1 released
Mozilla Thunderbird 1.5 Beta 1 Released
Disponible Mozilla Thunderbird 1.5 beta 1

Parche para vulnerabilidad Link Buffer Overflow en Mozilla Firefox

Por marcelo-ar - 9 de Septiembre, 2005, 22:50, Categoría: General

La Fundación Mozilla ha publicado un parche para Mozilla Suite y Firefox que cambia la configuración del navegador de modo que la vulnerabilidad originalmente denominada "Host:" Buffer Overflow brevemente comentada en este post no sea explotable.

El parche se instala como cualquier extension y esta disponible para descargar/instalar aqui: 307259.xpi

Tambien es posible cambiar esa configuración que deshabilita IDN en forma manual (sin instalar el parche), de este modo:

  1. Escriba about:config en la barra de direcciones y oprima enter
  2. En la barra de filtrado ingrese network.enableIDN
  3. Haga clic con el boton derecho del mouse en ese item y seleccione toggle para cambiar su valor a false
Para verificar que la configuración ha sido cambiada, reinicie el navegador, repita los pasos 1 y 2, y luego verifique que ese item tiene valor false.

Referencias
:
What Firefox and Mozilla users should know about the IDN buffer overflow security issue
Mozilla Firefox Link Buffer Overflow Allows Arbitrary Code Execution

Vulnerabilidad "Host:" Buffer Overflow en Mozilla Firefox

Por marcelo-ar - 9 de Septiembre, 2005, 6:11, Categoría: General

Tom Ferris reporta una vulnerabilidad crítica en Mozilla Firefox 1.0.6 y versiones anteriores que permiten a un atacante ejecutar código arbitrario en forma remota en un host afectado.

El problema parece ocurrir cuando un nombre de host tiene todos guiones como en este ejemplo:
'<A HREF=https:--------------------------------------------- >'

Mas detalles en este mensaje recientemente enviado por Ferris a la lista Full-disclosure:
http://seclists.org/lists/fulldisclosure/2005/Sep/0233.html

Versiones Afectadas:
Firefox Win32 1.0.6 y anteriores
Firefox Linux 1.0.6
y anteriores
Firefox 1.5 Beta 1 (Deer Park Alpha 2)

Nota: Tom Ferris es el mismo que reportó esta vulnerabilidad en Internet Explorer sin dar mayores detalles a efectos de que Microsoft tenga tiempo para resolverla y que no sea explotada, sin embargo, este problema con Mozilla fue reportado por Ferris a bugzilla el 6 de septiembre y recibió la primer respuesta en menos de una hora, como muy bien puntualiza Heikki Toivonen en este mensaje a Full-disclosure.

Evidentemente, Ferris le tiene paciencia a Microsoft pero no a Mozilla.org, ya que revela esta vulnerabilidad sin dar tiempo a que sea resuelta a quienes estaban trabajando en esto, poniendo en riesgo a los usuarios de Mozilla.

Esta noticia será ampliada/editada de existir novedades
09/09/2005 04:50 a.m. (arg)

Resuelta grave vulnerabilidad en NOD32 Anti-Virus

Por marcelo-ar - 8 de Septiembre, 2005, 22:24, Categoría: General

Titulo original:
"NOD32 Anti-Virus ARJ Archive Handling Buffer Overflow"


Gravedad:
Altamente crítica


Secunia research ha descubierto una vulnerabilidad en NOD32 Anti-Virus, la cual puede ser potencialmente explotada por gente malintencionada para comprometer un sistema vulnerable.

La vulnerabilidad es ocasionada debido a un error en el manejo de archivos ARJ que contengan ficheros comprimidos con un nombre de archivo demasiado extenso. Esto puede ser explotado para ocasionar un desbordamiento de buffer basado en el heap al escanear un archivo ARJ especialmente alterado.

La explotación exitosa de esta vulnerabilidad podría permitir la ejecución de código arbitrario, pero requiere que el escaneo de archivos esté habilitado.

La vulnerabilidad ha sido confirmada en NOD32 para Windows NT/2000/2003/XP Trial Version 2.5 (con nod32.002 version 1.033 build 1127). Otras versiones podrían estar también afectadas.

Solución:
Actualizar a la última versión (nod32.002 version 1.034 build 1132) mediante online update.

Descubierto por:
Tan Chew Keong, Secunia Research.

Reporte original:
Secunia Research

Referencias:
SECUNIA ADVISORY ID: SA16604


Realizado Mozilla Firefox 1.5 Beta1

Por marcelo-ar - 8 de Septiembre, 2005, 22:00, Categoría: General

Escribe Asa Dotzler en su blog:
"10 meses y más de 5000 bugs aplastados -- Firefox 1.5 Beta1 está disponible para descargar"

Esta nueva versión incluye, entre otras cosas, un sistema de actualización de software mejorado,
navegación más rápida mediante los botones retroceder y avanzar, una funcionalidad para limpieza de información privada de navegación, reordenado de pestañas de navegación mediante arrastrar-y-soltar, ventana de Opciones/Preferencias rediseñada y mejora en el bloqueo de popups.

Descarga instalador para Windows:
Firefox Setup 1.5 Beta 1.exe

Release Notes:
http://www.mozilla.org/products/firefox/releases/1.5beta1.html

Referencias:
mozillaZine: Mozilla Firefox 1.5 Beta 1 Released
Asa Dotzler: firefox 1.5 beta 1 available for download

Nota: Quienes prefieran la versión ZIP no instalable pueden descargarla del directorio "nightly":
firefox-1.4.en-US.win32.zip

Listado de mirrors:
http://www.mozilla.org/mirrors.html

Intel y Enterprise Investors se quedan con Grisoft

Por marcelo-ar - 7 de Septiembre, 2005, 22:59, Categoría: General

Intel incursiona en el mercado de los antivirus con una inversión de u$s 16 millones en Grisoft, la compañía Checa desarrolladora del popular antivirus AVG.
Además de Intel Capital, también participa de esta inversión Enterprise Investors (EI).
El monto total de la inversión de estas dos compañías en Grisoft es de u$s 52 millones, por lo cual se quedan con el 65% de participación en Grisoft.
Los distintos productos antivirus de Grisoft son utilizados en más de 25 millones de computadores según afirma la compañía.

Referencias:
Grisoft Press Release: Intel Capital To Acquire $16M Stake In Grisoft
IT Observer: Intel Enters Anti-Virus Market
Light Reading: Intel Acquires Grisoft
Intel Press Release: Intel Capital To Aquire $16M Stake In Grisoft...

Censura: Yahoo exige a un blog que retire un post

Por marcelo-ar - 6 de Septiembre, 2005, 22:44, Categoría: General

Yahoo España intimó a un blog a que retire un post donde explicaban en detalle un método para descargar videos de Yahoo! Launch.
El post censurado "Cómo descargar vídeos de Yahoo! Launch" ya ha sido retirado según lo solicitado y allí se muestra el texto del email enviado por Yahoo Inc.
Dicho post aún se encuentra disponible en la cache de Google y la
cache de yahoo! (*) como tambien el articulo original en ingles How-To: Download Music Videos from Yahoo Launch with VLC

Mas información:
Julio Alonso: Yahoo España exige por escrito la retirada de un post de Genbeta
Error 500: Yahoo exige que se retire una entrada en Genbeta
Barrapunto: Yahoo solicita a una conocida bitácora la retirada de una historia


(*) Editado 09/09/2005 05:33 a.m.
Los enlaces a las caches de yahoo y google ya no sirven, pero aún se puede acceder al artículo original desde
aqui


Jefe de Seguridad de Microsoft UK afectado por un dialer

Por marcelo-ar - 6 de Septiembre, 2005, 21:44, Categoría: General

Ed Gibson, consejero Jefe de Seguridad de Microsoft UK ha revelado que su computador fue infectado por un dialer que le originó una abultada factura de telefono.  :-))
Gibson fue nombrado en ese cargo en Microsoft UK en Mayo de este año y tomó su puesto en Julio, con anterioridad se desepeñaba en el FBI como asistente legal agregado por el Reino Unido.

ZDNet UK: Microsoft security chief bitten by rogue dialler

Otros mensajes en Septiembre del 2005

El Blog

Calendario

<<   Septiembre 2005  >>
LMMiJVSD
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30   

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker