Noviembre del 2005

Desbordamiento de heap en Panda antivirus al procesar archivos ZOO

Por marcelo-ar - 30 de Noviembre, 2005, 0:35, Categoría: General

Rem0te.com reporta que la librería (pskcmp.dll) de Panda antivirus, que provee soporte para descomprimir archivos, es vulnerable a un desbordamiento de heap al procesar ciertos archivos .ZOO, permitiendo a atacantes remotos tomar el control completo del sistema protegido por este antivirus.

Según el reporte, están afectadas las instalaciones de Panda en su configuración por defecto.

La explotación exitosa de esta vulnerabilidad podría permitir la ejecución de código arbitrario, por ejemplo, mediante el envío de un mensaje con un archivo adjunto .ZOO especialmente alterado al usuario atacado.

Créditos:
Vulnerabilidad descubierta e investigada por Alex Wheeler.

Reporte original (en formato PDF):
PANDA ANTIVIRUS LIBRARY REMØTE HEAP OVERFLOW
http://www.rem0te.com/public/images/panda.pdf

[Actualización 01/12/05, 00:44 a.m. Arg.]
Ampliada la descripción de la vulnerabilidad y nombre de la librería afectada en base a los reportes de Secunia y FrSIRT.

[Actualización 04/12/05]
Solución:
Panda Software realizó el parche para esta vulnerabilidad a los dos días de ser reportada.
NetworkWorld.com:
Panda fixes flaw in anti-virus products

Disponible Firefox 1.5

Por marcelo-ar - 29 de Noviembre, 2005, 21:07, Categoría: General

Ya está disponible la versión final de Mozilla Firefox 1.5 en Mozilla.com

Todos los idiomas, incluido Español Argentina (es-AR) y Español España (es-ES)
http://www.mozilla.com/firefox/all.html

Descarga desde sitio ftp:
http://mozilla.osuosl.org/pub/mozilla.org/firefox/releases/1.5/

Quienes estén utilizando Firefox 1.5 RC 3, ya tienen Firefox 1.5 final.
La versión en inglés (en-US) de Firefox 1.5, solo es Firefox 1.5 RC 3 con un instalador renombrado.
De modo que la versión ZIP equivalente a Firefox 1.5 final es la misma que la de Firefox 1.5 RC 3

Referencias:
The Burning Edge: RC3 is Firefox 1.5
http://www.squarefree.com/burningedge/2005/11/29/rc3-is-firefox-15/

Realizado exploit para grave vulnerabilidad en Windows al procesar archivos de imagen WMF

Por marcelo-ar - 29 de Noviembre, 2005, 14:45, Categoría: General

[Importante: La información sobre el WMF 0-day exploit conocido el 28/12/2005 está en este post]

Se ha hecho público un exploit prueba de concepto para la grave vulnerabilidad en el proceso de archivos de imágen WMF (Windows Metafile), recientemente resuelta por Microsoft mediante la actualización 896424 (MS05-053).

El archivo metafile especialmente alterado del exploit ocasiona que la utilización de CPU suba al 100% ocasionando una condición de DoS (denegación de servicio).

La existencia de un exploit funcional, incrementa el riesgo de que esta vulnerabilidad sea explotada por creadores de código malicioso, de modo que se recomienda a quienes aún no lo hayan hecho, que apliquen el parche correspondiente.

Referencias:

FrSIRT - Exploits & codes:
Microsoft Windows Metafile (WMF) Image Handling Remote Exploit (MS05-053)
Date : 29/11/2005
http://www.frsirt.com/exploits/20051129.MS05-053.c.php

Boletín de seguridad de Microsoft MS05-053
Vulnerabilidades en el motor de proceso de gráficos podrían permitir la ejecución de código (896424)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS05-053-IT.mspx

Grave vulnerabilidad al procesar archivos WMF/EMF permite ejecutar codigo arbitrario (MS05-053)
http://marcelo.zoomblog.com/archivo/2005/11/08/grave-vulnerabilidad-al-procesar-archi.html

Resueltas multiples vulnerabilidades en Java de Sun (Java JRE Sandbox Security Bypass)

Por marcelo-ar - 29 de Noviembre, 2005, 14:36, Categoría: General

Se han reportado múltiples vulnerabilidades en la máquina virtual Java de Sun JRE (Java Runtime Environment), las cuales podrían ser utilizadas por gente maliciosa a efectos de comprometer el sistema del usuario atacado.

1) Un error no especificado podría ser explotado por un applet malicioso para leer y escribir archivos locales o ejecutar aplicaciones locales.

Versiones afectadas:
JDK/JRE 5.0 Update 3 y anteriores para Windows, Solaris y Linux.

Versiones no afectadas:
SDK/JRE 1.4.2_xx y anteriores, y 1.3.1_xx para Windows, Solaris y Linux.

2) Tres vulnerabilidades no especificadas relacionadas con el uso de ciertos APIs "reflection" en JRE, podrían ser explotadas por un applet malicioso para leer y escribir archivos locales o ejecutar aplicaciones locales.

Versiones afectadas por una o mas de estas vulnerabilidades en Windows, Solaris y Linux:
* SDK y JRE 1.3.1_15 y anteriores.
* SDK y JRE 1.4.2_08 y anteriores.
* JDK y JRE 5.0 Update 3 y anteriores.

3) Un error no especificado en la implementación de JMX (Java Management Extensions) incluida en JRE, podría ser explotada por un applet malicioso para leer y escribir archivos locales o ejecutar aplicaciones locales.

Versiones afectadas:
JDK/JRE 5.0 Update 3 y anteriores para Windows, Solaris y Linux.

Versiones no afectadas:
SDK/JRE 1.4.2_xx y anteriores, y 1.3.1_xx

Solución:
Actualizar a las versiones parcheadas

JDK y JRE 5.0:
Actualizar a JDK y JRE 5.0 Update 4 o posterior.
http://java.sun.com/j2se/1.5.0/download.jsp

SDK y JRE 1.4.x:
Actualizar a SDK y JRE 1.4.2_09 o posterior.
http://java.sun.com/j2se/1.4.2/download.html

SDK y JRE 1.3.x:
Actualizar a SDK y JRE 1.3.1_16 o posterior.
http://java.sun.com/j2se/1.3/download.html

Recomendación importante:
Antes de instalar la nueva versión de Java, desinstalar la anterior.

Créditos:
Vulnerabilidades descubiertas por Adam Gowdiak

Reportes originales de Sun Microsystems:
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102050-1
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102003-1
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102017-1

Referencias:

Secunia Advisory: SA17748
Sun Java JRE Sandbox Security Bypass Vulnerabilities
http://secunia.com/advisories/17748/

[Actualización 30/11/2005]
Ampliada descripción de vulnerabilidad 2, y agregadas referencias a reportes de FrSIRT y SecurityTracker

FrSIRT/ADV-2005-2636
Sun Java JRE and SDK Multiple Sandbox Security Bypass Vulnerabilities
http://www.frsirt.com/english/advisories/2005/2636

Reportes SecurityTracker:
http://securitytracker.com/id?1015282
http://securitytracker.com/id?1015281
http://securitytracker.com/id?1015280

Debilidad en Yahoo! Correo podria ser explotada por phishers

Por marcelo-ar - 27 de Noviembre, 2005, 15:36, Categoría: General

Richard Fuchshuber informa sobre un extraño comportamiento en Yahoo! Correo al manejar mensajes con adjuntos html. Debido a este problema, es posible inyectar código html en la interface gráfica de Yahoo! Correo, es decir, fuera del cuerpo del mensaje.

Por ejemplo, al recibir en la cuenta de Yahoo! un mensaje que incluya un adjunto html con este código...

<?
<TABLE border="1" cellspacing="1" cellpadding="0">
<TR>Your profile is out of date, please update <a
href="http://www.sitio-de-phisher.com">clicking here.</a></TR>
</TABLE>

... con solo ver dicho mensaje, se insertará el texto "Your profile is out of date, please update clicking here" (su perfil está desactualizado, por favor, actualícelo haciendo clic aquí) debajo del menú superior del webmail de yahoo, como se ve en esta captura de la ventana del navegador que Richard Fuchshuber envió a Bugtraq:
http://richard.computeiro.com/yahoo_bug.jpg

Notar que la URL a la que se accede al hacer clic en "Clicking here" podría ser la del sitio de un hacker malicioso, a efectos de robar datos de la cuenta de correo emulando el diseño del sito web de yahoo.
Si bien en la barra de estado se muestra la URL real al pasar el puntero del mouse sobre el vínculo, algún usuario podría ser engañado y hacer clic en el enlace sin verificar ésto, ya que el mismo sale insertado dentro de la interface gráfica del webmail de yahoo.

Si bien esto no es una vulnerabilidad, se lo puede considerar como una debilidad del correo web de Yahoo!, ya que permite la inserción de texto e hipervínculos fuera del cuerpo principal del mensaje, lo cual podría ser explotado por phishers.

Al momento de publicar este post, y a pesar de que el problema fue reportado en la lista de correo Bugtraq hace cuatro días, he verificado que el mismo aún existe.

Richard Fuchshuber comenta que intentó contactar a yahoo! (a efectos de reportar esto) en varias oportunidades, sin éxito.

Referencias:

Bugtraq: XSS on Yahoo Mail
From: Richard Fuchshuber <richardfuch_at_yahoo.com.br>
Date: Wed, 23 Nov 2005 14:44:34 -0300 (ART)
http://seclists.org/lists/bugtraq/2005/Nov/0287.html

Fabricante de perifericos japones distribuye discos duros con troyano

Por marcelo-ar - 26 de Noviembre, 2005, 14:32, Categoría: General

El fabricante japonés de periféricos I-O Data Device, ha ofrecido un canje de productos luego de haber descubierto que ha distribuido un lote de discos duros infectados con código virico. Estos discos duros portátiles de su serie HDP-U podrían estar infectados con el gusano Tompai-A, que brinda a hackers una puerta trasera (backdoor) para acceder a computadores comprometidos.

Los productos afectados están en el siguiente rango de números de serie:

4957180059693 HDP-U40 YBS0000001xx - YBS0005520xx
4957180059709 HDP-U60 YBT0000001xx - YBT0001000xx
4957180059716 HDP-U80 YBV0000001xx - YBV0002480xx

I-O Data ha ofrecido disculpas por distribuir discos duros contaminados con este código vírico, en esta noticia en japones, traducida al inglés mediante Heramientas del idioma de Google :

Portable hard disk " HDP-U series " Of virus mixture and guide

Aparentemente, el PC de un empleado trabajando en el software de drivers para los discos duros se infectó, resultando en la distribución del malware dentro de los discos duros que salieron de esa línea de producción de I-O Data.

Incidentes similares ya han afectado en el pasado a HP, IBM y Dell.
En 1999, Dell se vio obligado a cerrar líneas de ensamblaje en su planta de Irlanda por cuatro días, debido a que sospechaban que algunas de sus máquinas se infectaron con el virus FunLove.

Referencias:

Manufacturer loads Trojans onto HDDs
By John Leyden 25 Nov 2005 14:12
http://www.channelregister.co.uk/2005/11/25/hdd_virus_prompts_recall/

SpywareInfo: Oppps! - Manufacturer Loads Trojans onto HDDs
http://www2.spywareinfo.com/2005/11/25/3157

Sunbelt Blog: Hard drive manufacturer accidentally slips trojan onto drives
http://sunbeltblog.blogspot.com/...

Donna's SecurityFlash: Manufacturer loads Trojans onto HDDs
http://msmvps.com/donna/archive/2005/11/26/76748.aspx

Encuesta del SANS ISC: ¿Es dificil desactivar Javascript?

Por marcelo-ar - 25 de Noviembre, 2005, 22:38, Categoría: General

Como se sabe, la grave vulnerabilidad javascript window() que afecta a Internet Explorer, se evita desactivando Javascript (ActiveX en el IE).
El
SANS Internet Storm Center está realizado una encuesta sobre este tema para los visitantes a su sitio.

"How hard is it to disable Javascript?"

http://isc.sans.org/poll.php?pollid=78&results=Y

Estos son los resultados de la encuesta por el momento:

¿Qué tan difícil es desactivar JavaScript?


51%: Difícil. Demasiados sitios lo requieren para trabajar correctamente
20%: Lo habilito para determinados sitios que lo requieren
12%: ¿Cómo puedo habilitar/inhabilitar Javascript?
9%: Fácil. Tengo Javascript desactivado en todos los sitios.
7%: Desactivo Javascript para determinados sitios en los cuales no confío.

Total de respuestas: 1374 (al 25/11/2005, 22:38 hs. arg.)

(los datos lo actualizaré una vez finalizada la encuesta)

Si bien Mozilla Firefox no esta afectado en particular por esta grave vulnerabilidad, no es posible, como en el IE, activar/desactivar Javascript en forma selectiva para cada sitio, sin embargo, esto se puede llevar a cabo mediante la extensión NoScript que nos permite definir una "lista blanca" de sitios a los cuales se les permite ejecutar JavaScript:

NoScript para Firefox y Mozilla:
http://www.noscript.net/

Considerando que muchos problemas de seguridad ya parcheados en Firefox se evitaban desactivando JavaScript, esta extensión NoScript es ideal para quienes necesiten aún mayor seguridad al navegar con Firefox, estando protegidos de la explotacion de vulnerabilidades aún desconocidas.

Conocido medio uruguayo reporta vulnerabilidad inexistente en Firefox

Por marcelo-ar - 25 de Noviembre, 2005, 0:10, Categoría: General

A pesar de que un conocido y muy popular medio de Uruguay reporta que Firefox está afectado parcialmente por la grave vulnerabilidad que afecta al navegador de Microsoft, esto no es correcto.
Se trata de un problema distinto, que ya ha sido reportado a Bugzilla.

Varios integrantes de la lista de correo Full-disclosure, probaron el 0day exploit "prueba de concepto" para la grave vulnerabilidad JavaScript Window() que afecta a Internet Explorer, y observaron que Firefox dejaba de responder, lo cual se interpreta como una Denegación de Servicio (DoS).

Como muy bien apunta Daniel Veditz (de la Fundación Mozilla), Firefox deja de responder por "cierto tiempo", luego de lo cual mostrará un cuadro de diálogo y continuará normalmente (donde "cierto tiempo" significa algunos minutos).

Este bug existente en Firefox (distinto a la grave vulnerabilidad que afecta al IE), solo tiene como consecuencia que el navegador deje de responder por algunos minutos.

Solución:
Dada la intrascendencia de este bug, al momento de publicar este post, nadie se encuentra trabajando en su resolución.

Créditos:
Reportado a Bugzilla por Bernd <bernd_mozilla at gmx.de>

Referencias:
[Full-disclosure] Computer Terrorism Security Advisory (Reclassification) - Microsoft Internet Explorer JavaScript Window() Vulnerability
Daniel Veditz dveditz at cruzio.com
Tue Nov 22 16:57:06 GMT 2005
http://lists.grok.org.uk/pipermail/full-disclosure/2005-November/038984.html

Bugzilla Bug 317334
hang when long wrappable string is passed to prompt() [e.g. as used in the exploit for IE's <body onload=window()> bug]
https://bugzilla.mozilla.org/show_bug.cgi?id=317334

Nota: Esta noticia la iba a poner ayer, seguramente con otro título ;-) , pero debido a que "mi querido ISP" me dejó sin conexión a Internet, no me fue posible hacerlo sino hasta hoy. :-(

Opera 8.51 para Windows no resuelve ninguna vulnerabilidad critica

Por marcelo-ar - 23 de Noviembre, 2005, 1:20, Categoría: General

Opera 8.51 es una actualización que resuelve algunos problemas de estabilidad y una vulnerabilidad únicamente explotable en Linux/FreeBSD/Solaris pero que no afecta a las versiones para Windows.

Esta version 8.51, incluye el plugin Macromedia Flash Player 7r61, que resuelve la vulnerabilidad aquí descripta:
Macromedia Flash Player: importante actualización de seguridad
Quienes utilicen Opera 8.50 y hayan actualizado el plugin Flash Player a dicha versión, ya están protegidos de esta vulnerabilidad aún si no actualizan a Opera 8.51.
Además, Opera 8.51 resuelve un serio problema que se presentaba al utilizar el plugin Acrobat Reader 7.0.5.

Esta versión 8.51 es completamente compatible con los ficheros de lenguaje para Opera 8.50:
http://www.opera.com/download/languagefiles/

Descarga Opera 8.51 para Windows:
http://www.opera.com/download/index.dml?platform=windows

Referencias:
Opera 8.51 for Desktop is now available
http://my.opera.com/community/forums/announcement.dml?aid=1236704

Opera Changelogs
http://www.opera.com/docs/changelogs/

Realizado exploit para grave vulnerabilidad en Internet Explorer

Por marcelo-ar - 21 de Noviembre, 2005, 20:54, Categoría: General

Hoy se ha conocido un exploit para una grave vulnerabilidad de seis meses de antigüedad -aun no parcheada- en Internet Explorer, que podría ser explotada por atacantes remotos para ejecutar código arbitrario en el sistema de un usuario atacado.

El fallo es debido a un error de corrupción de memoria al procesar páginas html malformadas conteniendo llamadas especialmente alteradas a objetos JavaScript "window()" y eventos "onload", lo cual podría ser explotado por atacantes remotos para tomar el control completo de un sistema afectado con solo convencer a la víctima para que visite una página web maliciosa.

La vulnerabilidad ha sido confirmada en Windows XP SP2 con Internet Explorer 6 completamente parcheado.

Exploit:
Computer Terrorism (UK)
Microsoft Internet Explorer JavaScript Window() Proof of Concept
http://www.computerterrorism.com/research/ie/poc.htm

Productos afectados:
Microsoft Internet Explorer 6 para Microsoft Windows XP SP2
Microsoft Internet Explorer 6 SP1 en Microsoft Windows XP SP1
Microsoft Internet Explorer 6 SP1 en Microsoft Windows 2000 SP4
Microsoft Internet Explorer 5.01 SP4 en Microsoft Windows 2000 SP4

Solución:
A pesar de que esta vulnerabilidad fue descubierta hace seis meses, Microsoft aún no ha realizado un parche para la misma. (*)

Recomendaciones:
1) No utilizar Internet Explorer
2) Utilizar Internet Explorer pero inhabilitando ActiveX para todas las Zonas, excepto para los sitios de confianza.

Créditos:
Vulnerabilidad reportada por Benjamin Tobias Franz
Exploit prueba de concepto realizado por Stuart Pearson, Computer Terrorism (UK)

Referencias:
FrSIRT/ADV-2005-2509
Microsoft Internet Explorer "window()" Code Execution Vulnerability
http://www.frsirt.com/english/advisories/2005/2509

FrSIRT Exploits & codes:
Microsoft Internet Explorer "Window()" Remote Code Execution Exploit (0day)
http://www.frsirt.com/exploits/20051121.IEWindow0day.php

Secunia Advisory: SA15546
Microsoft Internet Explorer "window()" Arbitrary Code Execution Vulnerability
http://secunia.com/advisories/15546/

Computer Terrorism:
Internet Explorer JavaScript Window() Remote Code Execution
http://www.computerterrorism.com/research/ie/ct21-11-2005.htm

(*) [Actualización 22/11/2005 00:45 a.m.]

En el reporte original de Secunia, de fecha 31 de mayo de 2005, se informaba que esta vulnerabilidad en el IE solo servía para ocasionar una denegación de servicio (DoS) o cuelgue del navegador, sin embargo, al final del reporte se indicaba que no era posible asegurar con certeza que no pudiese utilizarse para ejecutar código malicioso.
Tomado del reporte original [SA15546] de Secunia:
"NOTE: It is currently not believed that this issue can be exploited for code execution purposes, but this cannot be ruled out completely."
Ayer, con la publicación de este exploit, se supo que esta es una vulnerabilidad sumamente grave.

[Actualización 23/11/2005 01:51 a.m.]
Microsoft Security Advisory (911302)
Vulnerability in the way Internet Explorer Handles Mismatched Document Object Model Objects Could Allow Remote Code Execution.

Resuelta grave vulnerabilidad en Gmail que permitia el acceso a cualquier cuenta

Por marcelo-ar - 20 de Noviembre, 2005, 17:55, Categoría: General

Reporte completo en español:
http://www.elhacker.net/gmailbug/

Créditos:
Anelkaos ( www.elhacker.net )

Disponible Exploit para vulnerabilidad critica en Flash Player (Flash.ocx Memory Corruption)

Por marcelo-ar - 19 de Noviembre, 2005, 13:56, Categoría: General

Se hizo público un exploit para la grave vulnerabilidad recientemente parcheada en Macromedia Flash Player.
Se recomienda, a quienes aún no lo hayan hecho, actualizar a la brevedad este reproductor:
Macromedia Flash Player: importante actualizacion de seguridad

Referencias:
FrSIRT: Macromedia Flash Player "Flash.ocx" Memory Corruption Remote PoC Exploit
http://www.frsirt.com/exploits/20051118.Flashosx.c.php

Disponible Firefox 1.5 Release Candidate 3

Por marcelo-ar - 19 de Noviembre, 2005, 13:45, Categoría: General

Tercer candidato de prueba para Firefox 1.5:

Instalador - Windows:
Firefox Setup 1.5rc3.exe

Versión ZIP - Windows:
firefox-1.5.en-US.win32.zip

Grave vulnerabilidad en 30gigs.com permite revelar passwords de cualquier usuario

Por marcelo-ar - 18 de Noviembre, 2005, 3:01, Categoría: General

cumhur onat ha descubierto una vulnerabilidad del tipo sql injection, que permite la revelación de contraseñas de otros usuarios en el servicio de email gratuito 30gigs.com

La vulnerabilidad existe en el formulario para enviar la contraseña a la dirección de correo alternativa en caso de olvido, y es debida a la falta de validación de datos ingresados por el usuario.

Prueba de concepto

1) Ingresar a http://www.30gigs.com/getpassword/

2) Copiar y pegar cierto código (ver reporte original) en el campo correspondiente y oprimir el botón "Send Password".

3) Como resultado de ésto, 30gigs nos mostrará en la ventana del navegador la contraseña del usuario atacado.

Según cumhur onat, el sitio fue notificado hace dos semanas de esta vulnerabilidad y aún no la ha resuelto.

Recomendación:
No utilizar el servicio de email de 30gigs.com
De poseer cuenta en ese servicio, borrar todos los mensajes con información sensible dada la gran facilidad con que esta puede ser hackeada.

Nota: Acabo de verificar con asombro, que el método indicado es actualmente efectivo para robar cuentas de email, a pesar de haber sido publicado hace mas de 24 horas:



Referencias:
[Full-disclosure] 30gigs SQL injection vulnerability
cumhur onat <cumhuronat at gmail.com>
Wed Nov 16 13:16:24 GMT 2005
http://lists.grok.org.uk/pipermail/full-disclosure/2005-November/038813.html

[Actualizado 19/11/2005]
Agregada referencia omitida inicialmente.

Desinstalador de software anticopia de Sony crea agujero de seguridad en Internet Explorer

Por marcelo-ar - 17 de Noviembre, 2005, 2:02, Categoría: General

Se ha descubierto una grave vulnerablidad en el desinstalador via web del software de protección anticopia (incluido por Sony BMG en varios de sus CD's) "First4Internet XCP copy protection", que podría ser explotada por atacantes remotos para comprometer el sistema de un usuario.

La vulnerabilidad es ocasionada debido al control ActiveX "CodeSupport.ocx" que es instalado a través de Internet Explorer cuando el usuario desinstala el software XCP DRM al visitar el sitio web del vendedor. El control ActiveX está marcado como seguro, y soporta algunos métodos potencialmente peligrosos como "RebootMachine", "InstallUpdate", y "IsAdministrator". Esto podría ser explotado para instalar código arbitrario en el sistema de un usuario con solo visitar un sitio web malicioso.

Websense Security Labs ha reportado la existencia de sitios que están explotando exitosamente el agujero de seguridad creado por el desinstalador del rootkit de Sony. Ponen como ejemplo, este sitio alojado en Estados Unidos:
http://www.canadianidol.info/About.html

Para saber si su sistema es vulnerable, puede visitar esta página que detecta si ese control ActiveX "CodeSupport.ocx" está o no instalado:
http://www.cs.princeton.edu/~jhalderm/xcp/detect.html

Nota: esta vulnerabilidad solo es explotable al visitar un sitio malicioso con Internet Explorer, quienes utilicen navegadores que no soportan ActiveX como por ejemplo Firefox, SeaMonkey u Opera, no están en riesgo.

Solución:
Quienes hayan verificado ser vulnerables podrán descargar y aplicar este parche para el registro:
http://www.cs.princeton.edu/~jhalderm/xcp/cs-blocker.reg
Lo que hace esta entrada es setear el kill bit para el control ActiveX "CodeSupport.ocx" CLSID {4EA7C4C5-C5C0-4F5C-A008-8293505F71CC}

[Actualización 17/11/2005 20:14 Arg.]
Además de lo ya indicado, setear también el kill bit para el CLSID
{80E8743E-8AC5-46F1-96A0-59FA30740C51}
Esto se puede hacer muy fácilmente sin necesidad de editar el registro, mediante el SpywareBlaster, como se indica aquí:
http://www.dozleng.com/updates/Using-SpywareBlaster-t7053.html
http://www.wilderssecurity.com/showthread.php?p=608591#post608591

Créditos:
Vulnerabilidad reportada por J. Alex Halderman, Ed Felten y Muzzy.

Referencias:
Secunia Advisory: SA17610
Sony CD First4Internet XCP Uninstallation ActiveX Control Vulnerability
http://secunia.com/advisories/17610/

FrSIRT/ADV-2005-2454
Sony CD First4Internet XCP Uninstallation ActiveX Vulnerabilities
http://www.frsirt.com/english/advisories/2005/2454

Freedom to Tinker
Sony"s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs
http://www.freedom-to-tinker.com/?p=927

Freedom to Tinker
Update: Sony Uninstaller Hole Stays Open
http://www.freedom-to-tinker.com/?p=928

Freedom to Tinker
Immunize Yourself Against Sony"s Dangerous Uninstaller
http://www.freedom-to-tinker.com/?p=930

Muzzy's research about Sony's XCP DRM system
http://hack.fi/~muzzy/sony-drm/

Websense Security Labs Alert
Malicious Website:   Sony Uninstaller Exploits
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=340

SONY BMG
Uninstall Requests
http://cp.sonybmg.com/xcp/english/uninstall.html

Attack targets Sony 'rootkit' fix
By  Alorie Gilbert,  CNET News.com
http://news.zdnet.com/2100-1009_22-5956707.html

[Actualización 17/11/2005 - 19:42 Arg.]
Agregada referencia omitida inicialmente al artículo de CNET News.com

Vulnerabilidad en Mailman permite ataques DoS a listas de correo

Por marcelo-ar - 15 de Noviembre, 2005, 2:27, Categoría: General

Mailman es un software gratuito (bajo licencia pública GNU), para administrar listas de correo por email y newsletters o boletines.

Se ha descubierto una vulnerabilidad en Mailman, la cual podría ser explotada por gente maliciosa para llevar a cabo ataques de Denegación de Servicio (DoS).
La vulnerabilidad es debida a un error de validación de entrada en el script "Scrubber.py" que no maneja correctamente un mensaje de correo electrónico conteniendo un adjunto con caracteres "utf8" en su nombre de archivo, lo cual podría ser explotado por atacantes remotos para ocasionar una denegación de servicio mediante el envío de un mensaje especialmente alterado a un servidor vulnerable, como consecuencia de lo cual, la lista de correo dejará de funcionar.

Productos afectados:
Mailman version 2.1.5 y anteriores

Solución:
En el momento de publicar este alerta no hay parche disponible.

URL del desarrollador:
Mailman, the GNU Mailing List Manager
http://www.gnu.org/software/mailman/

Créditos:
Vulnerabilidad descubierta por Aliet Santiesteban Sifontes

Referencias:
FrSIRT/ADV-2005-2404
Mailman Attachment Filename Remote Denial of Service Vulnerability

Resuelta vulnerabilidad en Google Talk (Email Notification DoS)

Por marcelo-ar - 13 de Noviembre, 2005, 20:59, Categoría: General

Nataly Lopez, una chica de 17 años residente en Venezuela, ha reportado una vulnerabilidad en Google Talk.

Un atacante remoto puede generar errores en el sistema de un usuario conectado a Google Talk, como así también, condiciones de Denegación de Servicio (DoS) de modo que el programa deje de responder si tiene la notificación de recepción de email (email notification) habilitada.
Basta con enviar al usuario de Google Talk atacado un mensaje especialmente alterado con remitente vacío a su casilla de gmail, de modo que el software no puede notificar que <> está enviando un mensaje, lo cual ocasiona el fallo del programa con una o mas ventanas con este texto:

Google Talk encountered an internal error, and must now close.
Ok to report this error to Google?
  [Yes] [No]

En español:
Google Talk ha encontrado un error interno, y debe cerrarse.
¿Quiere reportar este error a Google?
  [Si] / [No]
 
Este fallo fue descubierto por Nataly con colaboración de su amigo chris77, y decidieron denominar a este bug como "KESM" (Killer Empty Sender Message= Mensaje matador con remitente vacío).

Un atacante remoto podría implementar el envío de este tipo de mensajes malformados mediante un ciclo, de modo de inundar a la víctima con ventanas como la indicada y ocasionar una DoS.

Solución:
Este fallo fue resuelto en Google Talk version 1.0.0.76 y posteriores.
Los usuarios que tengan Google Talk instalado en su sistema, recibirán la actualización en forma automática.

Créditos:
Nataly Lopez <natalylopez380[arroba]hotmail.com>
chris77 (canal #velug de irc.freenode.org)

Referencias:
Bugtraq: New Bug KESM in GoogleTalk
http://seclists.org/lists/bugtraq/2005/Nov/0120.html

Google Talk Email Notification Denial Of Service Vulnerability
http://www.securityfocus.com/bid/15369/solution

[Actualización 13/11/05, 22:53 Arg.]
Reporte original en español en el foro de hackxcrack, incluida la foto de Nataly !  :-)
http://www.hackxcrack.com/phpBB2/viewtopic.php?t=28038

[Actualización 14/11/2005, 23:55 Arg.]
Nataly reemplazó su foto en el perfil del foro! :-(
Pero aun se la puede ver aquí: http://www.hi5login.tk/
Nada de ingresar user & pass!, que esa es una página que hizo para capturar unos datos de su prima según cuenta en el foro.  ;-)

Resueltas multiples vulnerabilidades en RealPlayer y RealOne

Por marcelo-ar - 11 de Noviembre, 2005, 0:46, Categoría: General

Se han identificado múltiples vulnerabilidades críticas en RealPlayer y RealOne, las cuales podrían ser explotadas por atacantes remotos para ejecutar código arbitrario.

El primer problema es debido a un desbordamiento de stack al procesar un paquete de datos malformado incluido en un archivo Real Media, que podría ser explotado por atacantes remotos para ejecutar código arbitrario convenciendo a un usuario para que visite un sitio web malicioso que contenga un archivo ".rm" especialmente alterado.

La segunda vulnerabilidad es debida a un error de desbordamiento de heap en la librería "DUNZIP32.DLL" que no maneja apropiadamente un archivo skin malicioso de RealPlayer, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario convenciendo a un usuario para que visite un sitio web malicioso que contenga un archivo ".rjs" especialmente alterado.

El tercer problema es debido a un error no especificado de desbordamiento de stack al procesar archivos skin maliciosos, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario.

Solución:
Aplicar las actualizaciones según lo indicado en el reporte de RealNetworks (en español):
http://service.real.com/help/faq/security/051110_player/ES-XM/

Créditos: eEye Digital Security (Karl Lynn y Fang Xing) y NGS Software.

Referencias:
FrSIRT/ADV-2005-2385
RealPlayer and RealOne Player Multiple Buffer Overflow Vulnerabilities

Disponible Firefox 1.5 RC2

Por marcelo-ar - 10 de Noviembre, 2005, 23:40, Categoría: General

Mozilla Firefox 1.5 Release Candidate 2 ya está disponible para descargar.
Según lo explicado por Asa Dotzler en su blog, esta versión se llama Firefox 1.5 y no Firefox 1.5 RC2 debido a que es un candidato de prueba genuino. Si todo va bien con el segundo candidato de prueba, éste se convertirá en Firefox 1.5 final.

Instalador (Windows):
Firefox Setup 1.5rc2.exe

Version ZIP (Windows):
firefox-1.5.en-US.win32.zip

Referencias:
Asa Dotzler: rc2 update

Grave vulnerabilidad al procesar archivos WMF/EMF permite ejecutar codigo arbitrario (MS05-053)

Por marcelo-ar - 8 de Noviembre, 2005, 23:58, Categoría: General

[Importante: La información sobre el WMF 0-day exploit conocido el 28/12/2005 está en este post]

Se han descubierto dos vulnerabilidades de gravedad crítica en Microsoft Windows.

1) Existe un error de límite en el motor de proceso de gráficos al procesar ciertos archivos de imagen WMF (Windows Metafile) y EMF (Enhanced Metafile). Esto puede ser explotado para ejecutar código arbitrario en el sistema de un usuario mediante archivos WMF/EMF especialmente alterados.

2) Existe un error de límite en el procesamiento de ciertos archivos de imagen WMF. Esto puede ser explotado para ejecutar código arbitrario en el sistema de un usuario mediante un archivo WMF especialmente alterado.

Ambas vulnerabilidades afectan a cualquier programa que procese estos tipos de archivo de imagen y puede ser explotado convenciendo a un usuario para que abra un archivo WMF/EMF malicioso o que vea una carpeta que contenga esa imagen. Las vulnerabilidades también son explotables embebiendo la imagen maliciosa en un documento de Office, cuando un usuario visualiza un mensaje con formato html en Outlook que contenga la imagen, o bien, al ver in sitio web malicioso.

Software afectado:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP SP 1 y SP 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 y Microsoft Windows Server 2003 SP 1
Microsoft Windows Server 2003 para sistemas con Itanium y Microsoft
Windows Server 2003 con SP1 para sistemas con Itanium
Microsoft Windows Server 2003 x64 Edition

Software no afectado:
Microsoft Windows 98
Microsoft Windows 98 SE
Microsoft Windows ME

Créditos:
Vulnerabilidades descubiertas por:
1) eEye Digital Security.
2) Venustech AdDLab, eEye Digital Security, y Peter Ferrie de Symantec Security Response.

Solución:
Boletín de seguridad de Microsoft MS05-053
Vulnerabilidades en el motor de proceso de gráficos podrían permitir la ejecución de código (896424)

Referencias:
SECUNIA ADVISORY ID: SA17498
Microsoft Windows WMF/EMF File Rendering Arbitrary Code Execution

Denegacion de Servicio en Java de Sun

Por marcelo-ar - 8 de Noviembre, 2005, 3:22, Categoría: General

Marc Schoenefeld ha reportado una vulnerabilidad en Sun Java Runtime Environment (JRE), la cual puede ser explotada por gente maliciosa para ocasionar un DoS (Denegación de servicio).

La vulnerabilidad es causada debido a un error no especificado en el manejo de Objetos Java serializados. Esto puede ser explotado para generar el fallo de la máquina virtual Java de Sun mediante una aplicación que deserialice objetos desde una fuente no confiable.

La vulnerabilidad ha sido reportada en las versiones 1.4.2_08, 1.4.2_09, y 1.5.0_05.
Otras versiones anteriores también podrían estar afectadas.

Solución:
La vulnerabilidad será resuelta en las próximas versiones 1.3.x, 1.4.x y 1.5.x

Créditos:
Descubierto por Marc Schoenefeld ( http://www.illegalaccess.org/ )

URL del vendedor:
http://java.sun.com/

Referencias:
Secunia Advisory: SA17478
Sun Java JRE Deserialization Denial of Service Vulnerability
http://secunia.com/advisories/17478/

Resuelta vulnerabilidad HTML injection en ZoomBlog

Por marcelo-ar - 7 de Noviembre, 2005, 4:53, Categoría: General

sikikmail[arroba]gmail.com reporta que ZoomBlog es vulnerable a ataques "HTML injection".
Es posible para un usuario malicioso de ZoomBlog inyectar HTML hostil y código script en los comentarios mediante los campos del formulario.
Este código será interpretado por el navegador del usuario que visualice los comentarios en ZoomBlog.
ZoomBlog no filtra adecuadamente las etiquetas HTML de varios campos.
Esto podría habilitar a un atacante para inyectar codigo script arbitrario dentro de las páginas que son generadas por ZoomBlog.

Ejemplo:
(ver reporte original)

Solución:
Rogelio Bernal Andreo me informa que este fallo fue resuelto el pasado 4 de noviembre cuando detectaron a un usuario haciendo pruebas sobre esto.

Referencias:
Bugtraq: Zoomblog HTML Injection Vulnerability
http://seclists.org/lists/bugtraq/2005/Nov/0065.html

Macromedia Flash Player: importante actualizacion de seguridad

Por marcelo-ar - 5 de Noviembre, 2005, 5:45, Categoría: General

eEye Digital Security  ha descubierto una vulnerabilidad crítica en Macromedia Flash Player versiones 6 y 7 que podría permitir a un atacante remoto la ejecución de código arbitrario.

Una condición de límite de arrays podría ser violada por un archivo SWF malicioso a efectos de redireccionar la ejecución hacia código provisto por el atacante.

Software afectado:
Macromedia Flash Player 7.0.19.0 y anteriores

Solución:
La versión actual de Macromedia Flash Player (8.0.22.0) incluye el parche para esta vulnerabilidad.

Los usuarios de sistemas operativos que no soportan Flash Player 8 (Microsoft Windows 95, Microsoft Windows NT, etc.) podrán actualizarse a "Flash Player 7r61" desde este enlace:
Actualizacion de Flash Player para sistemas operativos que no soportan Flash Player 8
Los usuarios de Mozilla, Firefox, u Opera deberan descargar la versión para Netscape.

Descarga de Flash Player 8:
http://www.macromedia.com/go/getflashplayer8
El sitio detecta automáticamente la versión correcta a descargar según el navegador utilizado.
Existe una versión específica para Internet Explorer y otra para los navegadores Netscape, Mozilla, Firefox y Opera.

Creditos:
Fang Xing

Boletín de seguridad de Macromedia:
MPSB05-07 Flash Player 7 Improper Memory Access Vulnerability

Referencias:
[Full-disclosure] [EEYEB-20050627B] Macromedia Flash Player Improper
Memory Access Vulnerability
http://seclists.org/lists/fulldisclosure/2005/Nov/0139.html

Resueltas tres vulnerabilidades en Clam AntiVirus / ClamWin 0.87.1 (archivos TNEF/CAB/FSG)

Por marcelo-ar - 5 de Noviembre, 2005, 0:49, Categoría: General

Se han reportado algunas vulnerabilidades en Clam Antivirus, las cuales podrían ser potencialmente explotadas por gente maliciosa para ocasionar un DoS (Denegación  de servicio), u ocasionar un impacto desconocido.

1) Un error de cálculo en el tamaño de buffer en "libclamav/fsg.c" al procesar un fichero ejecutable comprimido FSG podría ser explotado con un impacto desconocido.

2) Un error no especificado en "libclamav/tnef.c" podría ser explotado para ocasionar un bucle infinito, y generar una condición DoS mediante un archivo TNEF especialmente alterado.

3) Un error no especificado en "libclamav/mspack/cabd.c" podría ser explotado para ocasionar un bucle infinito, y generar una condición DoS mediante un archivo CAB especialmente alterado.

Las vulnerabilidades han sido reportadas en la version 0.87 y anteriores.

Solución:
Actualizar a la versión 0.87.1

Descarga de ClamWin 0.87.1 (version para Windows de ClamAV)
http://www.clamwin.com/index.php?option=content&task=view&id=40&Itemid=25

Créditos:
1) Reportado por Zero Day Initiative.
2-3)  Reportado por iDEFENSE.

Reportes originales:
iDEFENSE: Clam AntiVirus tnef_attachment() DoS Vulnerability
iDEFENSE: Clam AntiVirus Cabinet-file handling Denial of Service Vulnerability
Zero Day Initiative: Clam Antivirus Remote Code Execution

Referencias:
SECUNIA ADVISORY ID: SA17434
Clam AntiVirus TNEF/CAB/FSG File Handling Vulnerabilities

QuickTime Player 7.0.3 resuelve multiples vulnerabilidades criticas

Por marcelo-ar - 4 de Noviembre, 2005, 4:05, Categoría: General

Piotr Bania ha descubierto múltiples vulnerabilidades críticas en el reproductor QuickTime Player de Apple.

1) Apple QuickTime Player Remote Integer Overflow (1)

Una vulnerabilidad ocasionada por un desbordamiento de entero, puede ser explotada en forma remota.
Una extensión de signo en un string embebido estilo "Pascal" podría resultar en una copia a memoria muy extensa, lo cual ocasionaría su sobreescritura.
Esta vulnerabilidad podría derivar en la ejecución de código arbitrario en forma remota al cargar un archivo de video MOV especialmente alterado.

2) Apple QuickTime Player Remote Integer Overflow (2)

Una vulnerabilidad ocasionada por un desbordamiento de entero, puede ser explotada en forma remota.
Atributos incorrectos de un archivo MOV podrían resultar en un copiado a memoria demasiado extenso, lo cual podría derivar en una sobreescritura de la misma.
La explotación exitosa de esta vulnerabilidad podría permitir la ejecución de código arbitrario en forma remota al abrir un archivo de video MOV especialmente alterado.

3) Apple QuickTime PICT Remote Memory Overwrite

Apple QuickTime PictureViewer es vulnerable a una sobreescritura de memoria mediante contenido originado en forma remota.
La expansión de datos PICT podría exceder el tamaño del buffer de destino, lo cual ocasionaría una sobreescritura de memoria.
La explotación exitosa de esta vulnerabilidad podría ocasionar la ejecución de código arbitrario cuando se cargue un archivo PICT especialmente alterado.

4) Apple QuickTime Player Remote Denial Of Service

Una vulnerabilidad del tipo DoS explotable en forma remota.
Un atributo no hallado de un archivo de película es interpretado como una extensión, pero la ausencia de la extensión no es marcada como un error, resultando en un error NULL pointer (un puntero que contiene un valor que no representa una dirección de memoria).
Esto podría permitir un ataque DoS (Denegacion de Servicio) mediante contenido originado remotamente.

Solución:
Actualizar a QuickTime 7.0.3
(Solo para Win 2000/XP, no disponible para Win 98/ME)
http://www.apple.com/quicktime/

Referencias:
Apple QuickTime Player Remote Integer Overflow (1)
http://pb.specialised.info/all/adv/quicktime-mov-io1-adv.txt

Apple QuickTime Player Remote Integer Overflow (2)
http://pb.specialised.info/all/adv/quicktime-mov-io2-adv.txt

Apple QuickTime Player Remote Denial Of Service
http://pb.specialised.info/all/adv/quicktime-mov-dos-adv.txt

Apple QuickTime PICT Remote Memory Overwrite
http://pb.specialised.info/all/adv/quicktime-pict-adv.txt

Otros mensajes en Noviembre del 2005

El Blog

Calendario

<<   Noviembre 2005  >>
LMMiJVSD
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30     

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker