Octubre del 2005

Microsoft demanda a distribuidores de correo basura mediante "Spam Zombies"

Por marcelo-ar - 31 de Octubre, 2005, 2:46, Categoría: General

El 50% del spam (correo basura) recibido por un usuario normal suele provenir de un computador hogareño que ha sido convertido en un "spam zombie".

Un "spam zombie" es un PC que está conectado a Internet que ha sido infectado y se conecta con los "controladores zombie" a efectos que le den instrucciones sobre que hacer.

Estos "spam zombies" son utilizados por los spammers para enviar correo basura sin revelar su dirección IP. Los spammers proveen el contenido de spam a los PC zombies y de ese modo estos PCs infectados envían el correo basura a sus víctimas sin que el usuario del PC convertido en zombie se entere de ello.

Microsoft dijo que ha realizado demandas "John Doe" (que se hacen cuando se desconoce  a las personas/organizaciones a quien acusar), en contra de operadores de 13 organizaciones distribuidoras de spam que utilizan ilegalmente computadores "zombie" para enviar su spam.

Microsoft rastreó las operaciones de spam infectando en forma intencional un PC con código malicioso, que se sabía que tornaba computadores desprotegidos en zombies.

La compañía dijo que en un período de 20 días, este PC infectado recibió mas de 5 millones de conexiones que resultaron en requerimientos de envío de 18 millones de mensajes de correo basura. Estos requerimientos contenían anuncios de mas de 13000 dominios distintos.
Esto fue solo con un computador. Actualmente existen reportes sobre miles de spam zombies funcionando.

Microsoft dijo haber puesto en cuarentena este PC Zombie para prevenir el envío del correo basura.

Con la información obtenida de este PC Zombie Microsoft utilizará herramientas específicas a efectos de descubrir quien está detrás de las direcciones IP utilizadas para enviar requerimientos a la PC Zombie.

Referencias:
Spam Kings Blog:
Microsoft's decoy zombie

SANS - Internet Storm Center :
Microsoft attacks Zombi Masters

Servidores DNS: vulnerables a ataques

Por marcelo-ar - 28 de Octubre, 2005, 4:51, Categoría: General

Los usuarios de Internet están en riesgo de sufrir un fraude debido a que el 20% de los servidores DNS están ejecutando software desactualizado y un 75% son vulnerables a envenenamiento de cache.

Varios servidores DNS están configurados en forma incorrecta o corriendo software desactualizado, dejándolos vulnerables a ataques maliciosos, de acuerdo a un informe publicado el lunes.

"The Measurement Factory", una firma sobre desempeño de Internet, advirtió que el software "Internet Systems Consortium's BIND", que lleva a cabo la función de resolución de dominios, está desactualizado en un quinto de los servidores DNS, los cuales sostienen Internet mediante la traducción de nombres de dominio en direcciones IP.

Los servidores DNS que ejecuten versiones de BIND inferiores a la 9 están abriendo las puertas a ataques del tipo pharming  a través del envenenamiento de cachés DNS, afirmó "The Measurement Factory".

El envenenamiento de la caché DNS consiste en el hackeo de los servidores DNS y el reemplazo de las direcciones numéricas (IP) de los sitios web legítimos con las direcciones de sitios maliciosos.

Pharming es una nueva variante del Phishing (cuando se ataca a la víctima con enlaces enviados por email de sitios que pretenden ser otro). El ataque pharming consiste en el envenenamiento de los DNS para que el navegador del usuario sea llevado a un sitio malicioso que suplanta al legítimo.

Artículo completo (en inglés):
DNS servers 'vulnerable to attack'
Tom Espiner, ZDNet UK
http://news.zdnet.co.uk/0,39020330,39233366,00.htm

Cuelgue remoto de Internet Explorer 6.0 (mshtmled.dll)

Por marcelo-ar - 27 de Octubre, 2005, 1:17, Categoría: General

Según Tom Ferris, existe una vulnerabilidad en Internet Explorer 6.0 bajo Windows XP SP2 con J2SE Runtime Environment (Java de Sun) instalado, la cual permite a un atacante ocasionar que el navegador deje de responder.

El fallo reside en mshtmled.dll (6.00.2900.2753 (xpsp_sp2_gdr.050902-1326) y versiones anteriores) que Internet Explorer 6.0 utiliza para editar HTML.
Ferris dice que el problema aparentemente es debido a un puntero nulo (puntero que contiene un valor que no representa una dirección de memoria)

El siguiente código reproduce el problema descripto.

<FRAMESET >
<FRAME SRC=AAAA >
<EMBED NAME=SP STYLE= >
<APPLET HSPACE=file: >

Notar que es necesario que J2SE Runtime Environment (Java de Sun Microsystems) esté instalado para generar el fallo.

Tiempos de divulgación:
Reportado: 14 de agosto de 2005
Respuesta de Microsoft: desconocida
Divulgación pública: 24 de octubre de 2005

Reporte Original:
Internet Explorer 'mshtmled.dll' 6.0 Denial Of Service
http://www.security-protocols.com/advisory/sp-x20-advisory.txt

Prueba de Concepto:
http://www.security-protocols.com/poc/sp-x20.html

Permalink | Referencias (0)
Etiquetas:

Multiples vulnerabilidades en Skype

Por marcelo-ar - 26 de Octubre, 2005, 0:51, Categoría: General

Se han descubierto múltiples vulnerabilidades en Skype, las cuales podrían ser explotadas por atacantes remotos para ejecutar código arbitrario u ocasionar un DoS (Denegación de Servicio).

El primer fallo es debido a errores de desbordamiento de buffer al procesar URL's del tipo "callto://" o "skype://" especialmente alteradas, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario en el sistema de la víctima.

La segunda vulnerabilidad es debida a un error de desbordamiento de buffer al importar archivos VCARD no estándar, lo cual podría ser explotado por un atacante remoto convenciendo a la víctima para que importe un archivo VCARD malicioso y ejecutar código arbitrario.

El tercer fallo es debido a un error no especificado en una rutina de manejo de tráfico de red,  lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario u ocasionar un DoS.

Productos afectados:
Skype para Windows Release 1.4.*.83 y anteriores
Skype para Mac OS X Release 1.3.*.16 y anteriores
Skype para Linux Release 1.2.*.17 y anteriores
Skype para Pocket PC Release 1.1.*.6 y anteriores

Solución:
Actualizar a la versión más reciente de Skype
http://www.skype.com/download/

Créditos:
Vulnerabilidades reportadas por Mark Rowe, Joe Moore e Imad Lahoud.

Referencias:
FrSIRT/ADV-2005-2197
Skype Multiple URI and VCARD Handling Buffer Overflow Vulnerabilities
http://www.frsirt.com/english/advisories/2005/2197

SECUNIA ADVISORY ID: SA17305
Skype Multiple Buffer Overflow Vulnerabilities
http://secunia.com/advisories/17305/

Yahoo resuelve un agujero de seguridad en su WebMail

Por marcelo-ar - 25 de Octubre, 2005, 0:15, Categoría: General

Yahoo ha parcheado un agujero de seguridad en su servicio de correo webmail que dejaba una puerta abierta para ataques del tipo phishing, robo de cuentas, y otros más.

El fallo, conocido como vulnerabilidad del tipo XSS (cross site scripting), existía porque el webmail de yahoo no detectaba ciertas etiquetas de script en combinación con ciertos caracteres especiales, de acuerdo a lo informado por SEC Consult que realizó un reporte sobre el problema el pasado viernes.

Esto dejaba a usuarios de WebMail que utilizan Internet Explorer 6 vulnerables a ataques del tipo XSS y robo de cookies.
Se dan 5 ejemplos en el reporte original.

Según el punto de vista de SEC Consult existen muchas otras aplicaciones vulnerables a este tipo especial de problema donde las vulnerabilidades del cliente y el servidor se pueden combinar.

Recomendación para usuarios de webmail:
No utilizar Internet Explorer.

Créditos:
SEC-Team

Reporte original:
SEC-CONSULT Security Advisory 20051021-0
title: Yahoo/MSIE XSS
program: Yahoo Webmail in combination with MSIE 6.0
http://www.sec-consult.com/212.html

Referencias:
Yahoo fixes Web mail security flaw
By Joris Evers, CNET News.com
http://news.zdnet.com/2100-1009_22-5907383.html

Posible problema con parche de Microsoft (MS05-050)

Por marcelo-ar - 23 de Octubre, 2005, 0:05, Categoría: General

Quienes hayan descargado e instalado en forma manual el parche para la vulnerabilidad en DirectShow (MS05-050) debieran verificar que hayan utilizado la actualización de seguridad correcta.

Microsoft ha publicado recientemente un artículo en su Knowledge Base:
The computer may not be updated after you install the "Security Update for DirectX 7.0 for Windows 2000 (KB904706)" on a Windows 2000-based computer that is running DirectX 8 or DirectX 9

En español:

"El computador podría no estar actualizado luego que usted haya instalado la 'actualización de seguridad para DirectX 7.0 para Windows 2000 (KB904706)' en un computador con Windows 2000 que esté ejecutando DirectX 8 o DirectX 9".

Según Microsoft esto aplica a:

  • Sistemas con Microsoft Windows 2000
  • En el computador está instalado Microsoft DirectX 8.0 o DirectX 9.0
Esto es debido a un parche incorrecto descargado e instalado en el sistema.
Quienes hayan actualizado mediante el sitio Windows Update debieran estar correctamente protegidos.

Para verificar si el sistema está correctamente parcheado, hay que verificar el numero de versión de Quartz.dll .
Los pasos están detallados en el mencionado artículo 909596 de Microsoft KB.

Existe una versión en español de ese artículo gracias al servicio de traducción automática de Microsoft:
http://support.microsoft.com/?scid=kb%3Bes%3B909596&x=3&y=11
(Notar que la traducción automática no es del todo correcta)

Referencias:
SANS Internet Storm Center
Handler's Diary October 22nd 2005: Possible Problem with MS05-050 Patch

Publicado exploit para vulnerabilidad Plug & Play (MS05-047)

Por marcelo-ar - 23 de Octubre, 2005, 0:00, Categoría: General

Se hizo público un exploit para la vulnerabilidad Plug & Play recientemente resuelta por Microsoft con la actualización MS05-047:
Una vulnerabilidad de Plug and Play podría permitir la ejecución remota de código y la elevación local de privilegios (899588)

Referencias:
FrSIRT: Microsoft Windows Plug and Play "Umpnpmgr.dll" Remote Exploit

Disponible Netscape Browser 8.0.4

Por marcelo-ar - 20 de Octubre, 2005, 0:24, Categoría: General

Esta nueva version del navegador Netscape resuelve las vulnerabilidades que afectaban a la version anterior, basada en Firefox 1.0.6.

Mejoras/parches en esta versión:

  • Actualizaciones de seguridad y resolucion de Bugs incluidos en Firefox 1.0.7
  • Mejorado el manejo de proxies
  • Flash 8 está incluido y resuelve una variedad de "crashes" o fallos del navegador.
Descarga (enlaces directos a instaladores):

Instalador "on-line" (requiere conexion a Internet para instalar):
nsb-setup.exe (298 Kb)

Instalador "Off-Line" (ideal para descargar con gestor de descarga):
nsb-install-8-0.exe (14 Mb)

Sitio de descarga oficial
http://browser.netscape.com/ns8/download/default.jsp

Vulnerabilidad XSS en lector de feeds RSS de Mi Yahoo!

Por marcelo-ar - 19 de Octubre, 2005, 3:18, Categoría: General

Titulares en RSS (Beta) de Mi Yahoo! es un servicio que permite el acceso a feeds RSS con solo añadir el módulo correspondiente a nuestra página personalizada en my.yahoo.com mediante este enlace: http://add.my.yahoo.com/rss

Jeremy Moeder reporta una vulnerabilidad del tipo XSS (cross site scripting) en el lector de feeds RSS vía web de Yahoo!

El problema es que el lector RSS de Yahoo permite agregar un feed o canal RSS a la página del usuario de My Yahoo sin validar correctamente el archivo xml a efectos de asegurarse que no contenga código malicioso.

Un sitio malicioso podría tener un botón como este con un enlace a un archivo XML malicioso como este:
http://add.my.yahoo.com/rss?url=http://www.alljer.com/yahoo.xml (*)
el cual podría estar camuflado con JavaScript para que se vea como enlace a un feed, por ejemplo de CNN. El enlace malicioso podría ser hecho para que parezca mostrar titulares reales, o eventualmente tomar titulares de un feed RSS de CNN y reemplazar los links con código malicioso.

Mediante la explotación exitosa de este fallo por parte de un atacante remoto podría ser posible robar las cookies del usuario víctima, y por ende, acceder a su cuenta en Yahoo!

Según el autor, este tipo de vulnerabilidad podría ser aún mas peligrosa de ser explotada en combinación con vulnerabilidades conocidas de ciertos navegadores al procesar AJAX (Asynchronous JavaScript and XML) para crear un "Gusano XSS" (como el reciente gusano XSS AJAX "Samy" que afectó recientemente al sitio myspace.com) para realizar un ataque masivo del tipo Phishing en contra de usuarios de Yahoo!.

Jeremy Moeder dice que intentó contactar a Yahoo por este problema de seguridad el 21 de septiembre y luego el 12 de octubre sin obtener respuesta.

El autor del reporte comenta que fue capaz de realizar un ataque XSS similar en My.Msn.Com el cual fue luego resuelto. También verificó que con el lector de feeds de Google no es posible un ataque como este.

El feed RSS malicioso, capturas de pantalla y mas detalles en el reporte original.

Referencias:
Yahoo RSS XSS Vulnerability
http://seclists.org/lists/bugtraq/2005/Oct/0205.html

(*) Actualización: Corregida URL exploit de ejemplo por el autor
Yahoo RSS XSS Vulnerability (Correction)
http://seclists.org/lists/bugtraq/2005/Oct/0199.html

eEye reporta una vulnerabilidad critica en Windows Media e Internet Explorer

Por marcelo-ar - 19 de Octubre, 2005, 3:05, Categoría: General

eEye Digital Security reporta una vulnerabilidad de gravedad crítica que afecta a Windows Media Player e Internet Explorer, cuya explotación exitosa podría permitir la ejecución de código arbitrario en forma remota.

Como es habitual, eEye no divulga detalles de la vulnerabilidad descubierta a efectos de darle tiempo a Microsoft para que la resuelva y no pueda ser explotada por atacantes maliciosos.

Referencias:
eEye Upcoming Advisories (EEYEB-20051017)
http://eeye.com/html/research/upcoming/20051017.html

Reportada vulnerabilidad inexistente en Firefox 1.0.7 (DoS)

Por marcelo-ar - 18 de Octubre, 2005, 1:50, Categoría: General

Inusual trascendencia tuvo una noticia sobre un bug en Firefox 1.0.7 por el simple hecho de haber sido publicada en slashdot.

El "Mozilla (Firefox <= 1.0.7) (Thunderbird <= 1.0.6) Denial of Service Exploit" publicado en www.milw0rm.com sección [ dos ] ocasiona que el consumo de CPU se incremente drásticamente con el consecuente congelamiento de Firefox 1.0.7 debido a un error al procesar este sencillo código html inválido:

<html><body><strong>Mozilla<sourcetext></body></html>

La explotación de este bug no permite ejecutar código arbitrario y tiene como única consecuencia el cuelgue del navegador. Más que un exploit para un agujero de seguridad se lo puede calificar de "crasher".

Firefox 1.5 Beta2, SeaMonkey 1.0 alfa y demás navegadores de la familia basados en Gecko 1.8/1.9 no están afectados por este bug.

Referencias:
Slashdot: Mozilla Firefox 1.0.7 DoS Exploit

Prueba de concepto:
http://www.milw0rm.com/exploit.php?id=1253
Atención: esta URL ocasiona el fallo de Firefox 1.0.7 o Mozilla 1.7.12, pegar en barra de direcciones bajo propio riesgo.

Bugzilla Bug 210658
hanging with html elements: parsererror, sourcetext

Problemas con parche de Microsoft: MS05-051 (902400)

Por marcelo-ar - 15 de Octubre, 2005, 23:31, Categoría: General

El SANS Internet Storm Center informa que varias personas han reportado problemas luego de instalar uno de los parches recientes de Microsoft, mas específicamente, MS05-051 Vulnerabilidades en MSDTC yCOM+ podrían permitir la ejecución remota de código (902400)

Los síntomas incluyen, pero no se limitan a:

- Imposibilidad de visitar Windows Update
- Imposibilidad de utilizar la herramienta de búsqueda desde el Menú Inicio
- Pantalla en blanco (sin iconos) al iniciar sesión
- LiveUpdate de Symantec no funciona
- Problemas con aplicaciones de Office
- SpySweeper deja de funcionar

Microsoft reconoció la existencia del problema y publicó este artículo 909444 de la Microsoft Knowledge Base:
http://support.microsoft.com/?id=909444
El artículo esta disponible en español mediante el servicio de traducción automática de Microsoft:
http://support.microsoft.com/?scid=kb%3Bes%3B909444&x=12&y=13

Referencias:
SANS Internet Storm Center
Handler's Diary October 14th 2005: Possible Patch Problems

Extension WebMail incompatible con Thunderbird 1.0.7

Por marcelo-ar - 15 de Octubre, 2005, 2:01, Categoría: General

La extension WebMail para Thunderbird permite acceso pop a cuentas de Hotmail, Yahoo.com, Lycos, y Mail.Com.

Debido a un parche para un bug trivial en la version 1.0.7 de Thunderbird, esta extensión ya no funciona correctamente.
Considerando que Thunderbird 1.0.7 resuelve un problema de seguridad que solo se presenta en Linux, los usuarios de Windows podrán hacer un "downgrade" a Thunderbird 1.0.6 a efectos de seguir usando esta excelente extensión, o bien probar suerte con Thunderbird 1.5 Beta2.

Thunderbird 1.0.6, versión español Argentina (es-AR)
Thunderbird Setup 1.0.6.exe

Thunderbird 1.0.6, versión inglés U.S. (en-US)
Thunderbird Setup 1.0.6.exe

Extension WebMail para Thunderbird (no sirve para Mozilla Suite ni SeaMonkey)
http://webmail.mozdev.org/index.html

Known Vulnerabilities in Mozilla Products:
Fixed in Thunderbird 1.0.7

Referencias:
Lista de correo WebMail


Disponible Exploit para vulnerabilidad MS05-051 (MSDTC) en Windows 2000

Por marcelo-ar - 13 de Octubre, 2005, 2:34, Categoría: General

El SANS - Internet Storm Center informa que el exploit para la vulnerabilidad MS05-051 (MSDTC - Microsoft Distributed Transaction Coordinator) está en manos de los clientes de immunitysec Canvas:

CANVAS Modules and Proof of Concepts
October 11, 2005:
MS05-051 (MS DTC) Trigger for the bug in MS DTC on Windows 2000 (attach to msdtc.exe)
http://www.immunitysec.com/partners-index.shtml
(descarga del exploit disponible solo para sus clientes)

Además, en ISC informan que han visto reportes de advertencias de exploits no específicos de proveedores de servicios de seguridad a sus clientes, y algunos rumores.

McAfee cuenta con protección contra exploits para la vulnerabilidad MS05-051:
"Entercept's Generic Buffer Overflow Protection protege de la ejecución de código que podría resultar de la explotacion de esta vulnerabilidad"
http://vil.nai.com/vil/content/v_136473.htm

ISS (Internet Security Center) dice que cuentan con protección para este exploit:
http://xforce.iss.net/xforce/alerts/id/206

Los datos de escaneos al puerto 3372 se pueden ver aqui:
http://isc.sans.org/port_details.php?port=3372
(MSDTC escucha en el puerto 3372/TCP y un puerto TCP alto dinamico)

Conocido un exploit para esta vulnerabilidad crítica, hace que se incremente el riesgo de ataques a sistemas afectados aún no parcheados.
Como bien dicen en el ISC, a parchear ayer!

Fuente:
SANS - Internet Storm Center
Handler's Diary: MS05-051 exploit info and rumors

Reportes relacionados:

Boletín de seguridad de Microsoft MS05-051:
Vulnerabilidades en MSDTC y COM+ podrían permitir la ejecución remota de código (902400)

iDEFENSE Security Advisory 10.11.05:
Microsoft Distributed Transaction Controller TIP DoS Vulnerability

iDEFENSE Security Advisory 10.11.05:
Microsoft Distributed Transaction Controller Packet Relay DoS Vulnerability

eEye Digital Security:
Microsoft Distributed Transaction Coordinator Memory Modification Vulnerability

Nueve boletines de seguridad de Microsoft (11/10/2005)

Por marcelo-ar - 12 de Octubre, 2005, 1:25, Categoría: General

Los boletines de seguridad de Microsoft correspondientes al mes de Octubre de 2005 ya están disponibles en español en Microsoft España

Según la gravedad de las vulnerabilidades resueltas, los boletines fueron calificados de este modo:


3 de Gravedad Crítica:

Boletín de seguridad de Microsoft MS05-050
Una vulnerabilidad en DirectShow podría permitir la ejecución remota de código (904706)

Boletín de seguridad de Microsoft MS05-051
Vulnerabilidades en MSDTC y COM+ podrían permitir la ejecución remota de código (902400)

Boletín de seguridad de Microsoft MS05-052
Actualización de seguridad acumulativa para Internet Explorer (896688)


4 de Gravedad Importante:

Boletín de seguridad de Microsoft MS05-046
Una vulnerabilidad en los servicios cliente para NetWare podría permitir la ejecución remota de código (899589)

Boletín de seguridad de Microsoft MS05-047
Una vulnerabilidad de Plug and Play podría permitir la ejecución remota de código y la elevación local de privilegios (905749)

Boletín de seguridad de Microsoft MS05-048
Una vulnerabilidad en Collaboration Data Objects de Microsoft podría permitir la ejecución remota de código (907245)

Boletín de seguridad de Microsoft MS05-049
Vulnerabilidades en el shell de Windows podrían permitir la ejecución remota de código (900725)


2 de Gravedad moderada:

Boletín de seguridad de Microsoft MS05-044
Una vulnerabilidad en el cliente FTP de Windows podría permitir la alteración de la ubicación de transferencia de archivos (905495)

Boletín de seguridad de Microsoft MS05-045
Una vulnerabilidad en el Administrador de conexiones de red podría permitir un ataque de denegación de servicio (905414)


Resumen de los boletines:

http://www.microsoft.com/spain/technet/seguridad/boletines/ms05-oct-it.mspx


WinRAR 3.51 resuelve dos vulnerabilidades

Por marcelo-ar - 11 de Octubre, 2005, 5:35, Categoría: General

Secunia Research ha descubierto dos vulnerabilidades en WinRAR, las cuales pueden ser explotadas para comprometer el sistema de un usuario.

1) Existe un error de formato de string al desplegar un mensaje de diagnóstico de error que informa al usuario de un nombre de archivo inválido en un archivo codificado UUE/XXE. Esto puede ser explotado para ejecutar código arbitrario cuando se decodifica un archivo UUE/XXE malicioso.

2) Un error de límite en la librería UNACEV2.DLL puede ser explotado para ocasionar un desbordamiento de buffer basado en el stack. Esto posibilita la ejecución de código arbitrario al extraer un archivo ACE malicioso conteniendo un fichero con un nombre de archivo demasiado extenso.

Las vulnerabilidades han sido confirmadas en la versión 3.50 de WinRAR.
Versiones anteriores de WinRAR también podrían estar afectadas.

Solución:
Actualizarse a la versión 3.51 (también disponible en español)
http://www.rarlabs.com/download.htm

Créditos:
Tan Chew Keong, Secunia Research.

Reporte del fabricante (RARLAB):
http://www.rarlabs.com/rarnew.htm

Reporte Secunia Research:
http://secunia.com/secunia_research/2005-53/advisory/

Referencias:
Secunia Advisory: SA16973
WinRAR Format String and Buffer Overflow Vulnerabilities

Vulnerabilidad critica en Kaspersky Antivirus al procesar archivos CHM

Por marcelo-ar - 10 de Octubre, 2005, 22:29, Categoría: General

Se ha detectado otra vulnerabilidad crítica en varios productos antivirus Kaspersky, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario u ocasionar un DoS (Denegación de Servicio).

La vulnerabilidad es debida a un desbordamiento de heap al procesar archivos CHM malformados, lo cual podría ser explotado por atacantes remotos para ejecutar código malicioso, por ejemplo, mediante el envío de un archivo CHM especialmente alterado a la víctima.

Nota: según el reporte de iDEFENSE se ha verificado la posibilidad de ejecutar código arbitrario  en plataformas Linux, pero no se ha verificado que ésto sea posible en plataformas Microsoft Windows, sin embargo, Kaspersky Antivirus fallará al intentar escanear archivos luego de haber encontrado un archivo CHM corrupto.

Productos afectados:
Kaspersky Personal version 5.0.227
Kaspersky Anti-Virus On-Demand Scanner for Linux version 5.0.5
F-Secure Anti-Virus for Linux version 4.50


Solución:
La posible explotación de esta vulnerabilidad ha sido minimizada mediante la inclusión de definiciones de virus específicas para este fallo, en julio de 2005.

Créditos:
Vulnerabilidad reportada a iDEFENSE por un usuario que desea permanecer anónimo

Tiempos de divulgación:
20/06/2005  Notificación inicial al fabricante
05/10/2005  Respuesta inicial del fabricante
10/10/2005  Divulgación pública


Referencias:
FrSIRT Advisory : FrSIRT/ADV-2005-2027
Kaspersky Anti-Virus CHM File Handling Buffer Overflow Vulnerability

Reporte iDEFENSE:
Kaspersky Anti-Virus Engine CHM File Parser Buffer Overflow Vulnerability


Disponible Thunderbird 1.5 Beta 2

Por marcelo-ar - 8 de Octubre, 2005, 0:43, Categoría: General

Mozilla Thunderbird 1.5 Beta 2 ya está disponible para descargar.
Ninguna nueva prestación en esta versión, solo resolución de bugs de la Beta 1.
Listado de novedades en Thunderbird 1.5 Beta 1 en este post:
Realizado Mozilla Thunderbird 1.5 Beta 1

Instalador (win32): Thunderbird Setup 1.5 Beta 2.exe
Version ZIP (win32): thunderbird-1.4.1.en-US.win32.zip

Referencias:
The Rumbling Edge: Thunderbird 1.5 Beta 2 is out!

Traspaso de multiples antivirus mediante archivos comprimidos alterados

Por marcelo-ar - 7 de Octubre, 2005, 3:46, Categoría: General

Secubox Labs reporta una vulnerabilidad, mediante la cual es posible que ciertos archivos especialmente alterados conteniendo virus puedan traspasar el escaneo del sistema antivirus sin ser detectados.

El archivo malicioso que traspase el escaneo del antivirus, no representa un riesgo real, ya que debe ser extraído del archivo RAR, luego de lo cual, será detectado correctamente.

A diferencia de Winzip o BitZipper, los cuales no permiten la apertura del archivo alterado, WinRAR lo abrirá y lo extraerá.

Los formatos posibles son:
*.RAR, *.ZIP, *.CAB, *.ARJ, *.LZH, *.ACE, *.TAR, *.GZ (GZIP)
*.UUE, *.BZ2, *.JAR, *.ISO, *.7Z, *.Z

Pruebas de concepto: se ha utilizado el string de prueba Eicar

Descarga Prueba de concepto 1:
http://shadock.net/secubox/demo/SecuBox_AVPoC1.rar

Descarga Prueba de concepto 2:
http://shadock.net/secubox/demo/SecuBox_AVPoC2.rar

El archivo malicioso debe comenzar con un encabezado MZ falso.
(mas detalles en el reporte original de Secubox Labs)

Nota 1: Para BitZipper & WinZip el archivo esta corrupto
Nota 2: Algunos productos (p. ej. Avast), detectan la prueba de concepto 2 pero no la 1.

Productos afectados:

* Kaspersky Antivirus
* BitDefender Antivirus
* NOD32 Antivirus
* F-Prot Antivirus
* Avast Antivirus
* McAfee Antivirus
* Sophos Antivirus
* Symantec Antivirus
* Dr.Web Antivirus
* Avira Antivirus
* Norman Virus Control Antivirus
* Fortinet Antivirus
* VBA32 Antivirus
* Rising Antivirus
* AntiVir Antivirus
* eTrust-Iris Antivirus
* ArcaVir Antivirus
* eTrust-Vet Antivirus
* UNA Antivirus
* TheHacker
[+] Probablemente otros más .....

Productos no afectados:

* Grisoft AVG AntiVirus
* Ikarus AntiVirus
* ClamAV Antivirus
* Panda Antivirus
* CAT Quick Heal

Descubierto por: fRoGGz
Creditos: SecuBox Labs
Calificado como: Medianamente crítico
Chequeado en : Windows 2000 SP2 & SP4
Chequeado con: Jotti Online Antivirus Scanner

Chequeado con:
VirusTotal Online Antivirus Scanner
Chequeado con: Command line freeware UnRAR v3.50

Referencias:
SecuBox Labs:
Multiple Antivirus detection bypass by special crafted archive


Actualización (A):

Agregada Prueba de concepto 3:

http://shadock.net/secubox/demo/SecuBox_AVPoC3.cab

Se agregan a la lista de productos afectados:

* Ikarus AntiVirus
* ClamAV Antivirus
* Panda Antivirus
* CAT Quick Heal

Unico producto que detecta las primeras 3 pruebas de concepto:

* Grisoft AVG AntiVirus

Actualización (B):

Agregada Prueba de concepto 4:
http://shadock.net/secubox/demo/SecuBox_AVPoC4.arj

Unico producto que detecta las primeras 4 pruebas de concepto:

* Grisoft AVG AntiVirus

Actualización (C):

Agregada Prueba de concepto 5:
http://shadock.net/secubox/demo/SecuBox_AVPoC5.arj

Ninguno de los antivirus testeados detecta la totalidad de los archivos Pruebas de concepto.

Ver el detalle de cada test en el
reporte original de SecuBox Labs

Muchas gracias a
fRoGGz por avisar de la actualización del reporte.

Disponible Firefox 1.5 Beta 2 final

Por marcelo-ar - 7 de Octubre, 2005, 2:10, Categoría: General

La versión final de Firefox 1.5 Beta 2 ya está disponible para descargar

Instalador Firefox 1.5 Beta 2 (Win32):
Firefox Setup 1.5 Beta 2.exe

Versión ZIP Firefox 1.5 Beta 2 (Win32):
firefox-1.4.1.en-US.win32.zip

Changelog no oficial:
http://www.squarefree.com/burningedge/releases/1.5b2.html

Referencias:
The Burning Edge: Firefox 1.5 Beta 2 released

Resuelta vulnerabilidad en ALZip v6.13

Por marcelo-ar - 7 de Octubre, 2005, 0:41, Categoría: General

ALZip es una utilidad de compresión/descompresión de archivos que soporta, entre otros, los formatos ACE, RAR y ZIP. Este software es gratuito para usuarios hogareños y está disponible en varios idiomas, incluido el español.

Algunas características destacadas de ALZip:

  • 35 tipos de formatos de compresión de archivos (mas de 35 extensiones de archivo)
  • Abre archivos con formato para quemado de CD: ISO y BIN
  • Recupera contraseñas (útil p. ej. en caso de haber olvidado o perdido la contraseña de un archivo ZIP)
  • Crea archivos autoextraíbles SFX (EXE)
Más informacion de ALZip en Softonic

Secunia Research ha descubierto una vulnerabilidad en ALZip.

La vulnerabilidad es ocasionada debido a múltiples errores de límite al leer el nombre de archivo de un fichero comprimido del tipo ALZ, ARJ, ZIP, UUE, o XXE. Esto puede ser explotado para ocasionar un desbordamiento de buffer basado en el stack (archivos ALZ) o un desbordamiento de buffer basado en el heap (archivos ARJ / ZIP / UUE / XXE).
La explotación exitosa de este fallo podría permitir la ejecución de código arbitrario al abrir un archivo ALZ o ARJ, o al extraer un archivo del tipo ZIP, UUE, o XXE.

La vulnerabilidad ha sido confirmada en las siguientes versiones:
  * ALZip v6.12 (Coreano)
  * ALZip v6.1 (Internacional)
  * ALZip v5.52 (Inglés)

Otras versiones anteriores también podrían estar afectadas.

Solución:
Actualizar a la versión 6.13 (Coreano e Internacional)

Créditos:
Vulnerabilidad descubierta por Tan Chew Keong, Secunia Research.

Reporte original Secunia Research:
http://secunia.com/secunia_research/2005-49/advisory/

Descarga ALZip v6.13 - Sitio oficial:
http://www.altools.net/Default.aspx?tabid=47&alzip=front

Referencias:
Secunia Advisory: SA16847
ALZip Multiple Archive Handling Buffer Overflow

Resuelta vulnerabilidad critica en Kaspersky Antivirus (libreria cab.ppl)

Por marcelo-ar - 6 de Octubre, 2005, 22:58, Categoría: General

Con fecha 4 de Octubre, Kaspersky Lab publicó un informe sobre la vulnerabilidad, ampliamente difundida en medios masivos especializados, en sus productos antivirus ocasionada al procesar archivos CAB malformados, sobre la cual yo informé en este post.

La compañía confirmó la existencia de esta vulnerabilidad en las versiones para Windows de sus productos. Al mismo tiempo, los especialistas de Kaspersky Lab's tomaron medidas para evitar la explotación de este fallo creando firmas de virus específicas que detectan posibles exploits para esta vulnerabilidad con fecha 29 de septiembre, minimizando de ese modo las posibilidades de explotación del fallo.

La lista revisada de los productos afectados es la siguiente:

Kaspersky Anti-Virus Personal 5.0

Kaspersky Anti-Virus Personal Pro 5.0
Kaspersky Anti-Virus 5.0 for Windows Workstations
Kaspersky Anti-Virus 5.0 for Windows File Servers
Kaspersky Personal Security Suite 1.1


Las versiones 4.5 de los productos Kaspersky antivirus no estan afectadas por esta vulnerabilidad

La actualización que resuelve en forma definitiva esta vulnerabilidad en los productos afectados, fue realizada el 5 de Octubre.

Referencias:
Kaspersky Lab comments on a report regarding a vulnerability in the company's antivirus products
http://www.kaspersky.com/news?id=171512144

Candidatos de prueba para Firefox 1.5 Beta 2

Por marcelo-ar - 6 de Octubre, 2005, 2:10, Categoría: General

Se invita a los betatesters a probar si pueden ingresar correctamente a cuentas de webmail y sitios de transacciones-financieras/banca-on-line, asegurarse que las extensiones y temas se instalen correctamente y verificar que la funcionalidad de actualización de software funcione correctamente.

Instalador Firefox (Windows):
firefox-1.4.1.en-US.win32.installer.exe

Firefox versión ZIP no instalable (Windows):
firefox-1.4.1.en-US.win32.zip

Referencias:
http://www.mozillazine.org/talkback.html?article=7490

Resuelta grave vulnerabilidad en BitDefender Antivirus al generar reporte de escaneo

Por marcelo-ar - 4 de Octubre, 2005, 21:32, Categoría: General

Se ha identificado una vulnerabilidad crítica en varios productos antivirus BitDefender la cual puede ser potencialmente explotada por atacantes remotos para ejecutar código arbitrario en el sistema de la víctima.

La vulnerabilidad es ocasionada debido a un error de formato de cadena (string) al generar el reporte de escaneo. Esto puede ser potencialmente explotado para ejecutar código arbitrario cuando se escanea un archivo o directorio que contenga especificadores de formato de strings en su nombre (p. ej. %.8X%.8X).

La explotación exitosa de este fallo requiere que la opción "Create report file" (crear archivo de reporte) esté habilitada.

Productos afectados:
BitDefender Internet Security 9
BitDefender Professional Plus 9
BitDefender Standard 9
BitDefender Antivirus Professional Plus 8.x
BitDefender Antivirus Standard 8.x
BitDefender Professional Edition 7.x
BitDefender Standard Edition 7.x


Solución:
Los productos afectados fueron actualizados mediante la funcionalidad de actualización automática.
Los parches para BitDefender 7.x, BitDefender 8.x y BitDefender 9 Internet Security fueron realizados el 26 de Septiembre de 2005.
Los parches para BitDefender 9 Professional Plus y BitDefender 9 Standard fueron realizados el 4 de Octubre de 2005.


Créditos:
Vulnerabilidad descubierta por fRoGGz, SecuBox Labs.

Reporte original Secubox Labs:
http://www.shadock.net/secubox/BitDefenderLoggingFunc.html


Referencias:

FrSIRT Advisory : FrSIRT/ADV-2005-1937
BitDefender Antivirus Filename Handling Format String Vulnerability

Secunia Advisory: SA16991
BitDefender Anti-Virus Filename Format String Vulnerability
http://secunia.com/advisories/16991/


Grave vulnerabilidad en Kaspersky Anti-Virus al procesar archivos cab

Por marcelo-ar - 3 de Octubre, 2005, 22:27, Categoría: General

Se ha identificado una vulnerabilidad crítica en varios productos antivirus Kaspersky, la cual podría ser explotada por gente maliciosa para ejecutar código arbitrario en el sistema de un usuario atacado sin interacción requerida por parte del mismo.

La vulnerabilidad es ocasionada debido a un error de desbordamiento de heap al procesar un archivo CAB con encabezado malformado, lo cual podría ser explotado por un atacante remoto para ejecutar código arbitrario en el sistema de la víctima, por ejemplo, mediante el envío de un mensaje de correo electrónico conteniendo un archivo CAB especialmente alterado.

La vulnerabilidad ha sido reportada en la version 5.0.20.0 de la librería cab.ppl

Solución:
Al momento de publicar esta noticia, no existe solucion para esta vulnerabilidad crítica.

Productos afectados:
Kaspersky Anti-Virus 4.x
Kaspersky Anti-Virus 5.x
Kaspersky SMTP-Gateway 5.x


Créditos:
Vulnerabilidad descubierta e investigada por Alex Wheeler.

Referencias:
FrSIRT Advisory : FrSIRT/ADV-2005-1934
Kaspersky Anti-Virus Products Remote Heap Overflow Vulnerability

Reporte original rem0te.com (en formato PDF)
KASPERSKY ANTIVIRUS LIBRARY REMØTE HEAP OVERFLOW

[Full-disclosure] Kaspersky Antivirus Library Remote Heap Overflow
http://seclists.org/lists/fulldisclosure/2005/Oct/0032.html


Otros mensajes en Octubre del 2005

El Blog

Calendario

<<   Octubre 2005  >>
LMMiJVSD
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31       

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker