Febrero del 2006

Versiones 1.x, 2.x y 3.02.10 de The Bat! no afectadas por fallo "subject buffer overflow"

Por marcelo-ar - 27 de Febrero, 2006, 5:32, Categoría: General

[Actualizado 02/03/2006]
Motivo por el cual los desbordamientos de buffer no son explotables en The Bat!
(ver al final del post)


A pesar de lo que informan algunos medios, las versiones 1.x, 2.x y -al menos- la 3.02.10 de The Bat! no estan afectadas por el fallo de desbordamiento de buffer descripto en este post:
Vulnerabilidad en The Bat! 3.60.07 permite ejecutar código arbitrario

En  el  foro batboard.de, "de-bugger" (Miroslav) probó  las  versiones  1.62r, 2.12.04, 3.02.10, y 3.60.07 en distintos Windows (XP/2000/98).
Miroslav solo pudo generar el fallo al probar la versión 3.60.07 (la que fue reportada como vulnerable en este mensaje a Bugraq):

"Pufferüberlauf in The Bat!, Update auf Final 3.71 zwingend"
post: "25.02.2006, 11:39"
http://www.batboard.net/index.php?showtopic=5912
Traduccion al ingles de ese post mediante herramientas del idioma de Google:
Buffer overflow in The Bat!

Lo mismo informa en la web http://bat-mail.de.vu/ (en aleman)
Esta es la traducción al ingles del texto:

25.02.2006
Buffer overflow in TheBat!
Heise  Security  reports the TheBat in a News message,! with excessive
lines  for  reference  text to a buffer overflow is susceptible. First
tests  which  I  with  excessive  lines for reference text (up to 8000
words  in  the  reference) resulted in, that accomplished the versions
v1.x  (v1.62r)  and v2.x (v2.12.04) of TheBat! by this problem are not
affected.  Starting  from  when exactly the problem arises with the v3
cannot  I not say, at least showed the version v3.02.10 (old GUI) also
no  reaction  to  excessive  lines  for  reference  text.  The version
v3.60.07 against it said good-bye without comment.


Cualquiera podría pensar que lo más fácil para estar a salvo de este fallo es actualizarse a la versión más reciente de The Bat!, sin embargo, para actualizarse desde una versión, por ejemplo, la 1.62 a la 3.71, hay que pagar, ya que no sirve la misma licencia.

Nota: Según lo que comenta NetVicious (quien es uno de los moderadores del GDUTB con amplios conocimientos sobre este gestor de correo), The Bat! esta programado en Delphi, de modo que no es factible ejecutar codigo arbitrario mediante ataques del tipo desbordamiento de buffer, solo se podría ocasionar que The Bat! de un error.
Enlaces provistos por NetVicious:
http://en.wikipedia.org/wiki/Talk:Buffer_overflow#Choice_of_programming_language
http://www.mail-archive.com/tbudl@thebat.dutaint.com/msg12019.html

Winamp 5.2 resuelve múltiples vulnerabilidades (.m3u Buffer Overflow)

Por marcelo-ar - 25 de Febrero, 2006, 3:13, Categoría: General

NSFocus Security Team ha reportado una vulnerabilidad en Winamp, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario u ocasionar el fallo del software.

Detalles:
Winamp puede reproducir archivos mediante la carga de un archivo de lista de reproducción .m3u.
Cuando la reproducción es pausada o detenida, Winamp reseteará el título del programa que está siendo reproducido, donde la función "strncpy()" es incorrectamente invocada, como resultado de lo cual se producirá un desbordamiento de buffer.
El atacante remoto podrá ocasionar el fallo (crash) de Winamp mediante un archivo .m3u especialmente alterado. La ejecución de código en forma remota es posible, aunque dificultosa.

Casi simultaneamente, Information Risk Management Plc. reportó una vulnerabilidad idéntica a la descubierta por NSFOCUS:

Detalles:
Winamp 5.13 (y anteriores) es susceptible a una condición de desbordamiento de buffer cuando una lista de reproducción (m3u or pls) cuyo nombre de archivo especialmente alterado esté embebido dentro de otra lista de reproducción m3u.

Productos afectados:
Winamp 5.13 (y anteriores)

Solución:
Estas y otras vulnerabilidades fueron resueltas en Winamp 5.2
http://www.winamp.com/player/index.php

Créditos:
Liu Yexin, NSFOCUS Security Team.
P Robinson, Information Risk Management Plc.

Ref.:
SecurityTracker Alert ID: 1015675
Winamp Buffer Overflow in Processing '.m3u' Program Titles May Let Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2006/Feb/1015675.html

NSFOCUS Security Advisory(SA2006-01)
Winamp m3u File Processing Buffer Overflow Vulnerability
http://www.nsfocus.com/english/homepage/research/0601.htm

IRM Security Advisory No. 018
Winamp 5.13 m3u Playlist Buffer Overflow
http://www.irmplc.com/advisory018.htm

Winamp - version history
http://www.winamp.com/player/version_history.php

Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/02/18/denegacion-de-Servicio-en-Winamp-513.html

Vulnerabilidad en The Bat! 3.60.07 permite ejecutar código arbitrario

Por marcelo-ar - 24 de Febrero, 2006, 5:43, Categoría: General

NSA Group (www.nsag.org) reporta una vulnerabilidad de gravedad crítica en The Bat!

La vulnerabilidad existe debido a un chequeo insuficiente del tamaño del buffer de una variable en la cual se copian datos del campo "Subject" (asunto del mensaje).

Al recibir un mensaje especialmente alterado cuyo campo "Subject" contenga 4038 bytes, se generará un desbordamiento de buffer que posibilitará al atacante malicioso la ejecución de código arbitrario.

Tiempos de divulgación:
19/11/2005 - Notificación al fabricante.
12/12/2005 - Respuesta del fabricante.
22/02/2006 - Publicación de los detalles de la vulnerabilidad.

Solución:
Actualizar a la versión más reciente de The Bat!
http://thebat.net/en/products/thebat/download.php

Ref.:
Bugtraq: NSA Group Security Advisory NSAG-?198-23.02.2006 Vulnerability The Bat v. 3.60.07
http://seclists.org/lists/bugtraq/2006/Feb/0442.html

DoS y ejecución remota de JavaScript en Thunderbird <= 1.0.7

Por marcelo-ar - 24 de Febrero, 2006, 4:54, Categoría: General

Se ha reportado una vulnerabilidad en Mozilla Thunderbird la cual podría ser explotada por atacantes remotos para ejecutar código JavaScript arbitrario.

El motor de renderizado WYSIWYG de Thunderbird no filtra completamente el codigo javascript.
Es posible escribir código javascript en el atributo SRC de una etiqueta IFRAME. Esto posibilita la ejecución de código JavaScript arbitrario cuando un mensaje de correo es editado (por ejemplo, al responderlo), aún si JavaScript está desactivado en Preferencias.
Nota: Thunderbird viene por defecto con JavaScript desactivado por razones de seguridad.

Impacto:
La explotación exitosa de esta vulnerabilidad podría permitir la revelación de información sensible u ocasionar el fallo (crash) de la aplicación.

Versiones vulnerables:
Mozilla Thunderbird 1.0.7 y anteriores

Solución:
Actualizar a Mozilla Thunderbird 1.5
http://www.mozilla.com/thunderbird/all.html

Créditos:
nono2357 at sysdream dot com
http://www.sysdream.com

Fecha de descubrimiento del fallo:
28/01/2006

Prueba de concepto:
[Ver reporte original]

Ref.:
[Full-disclosure] Mozilla Thunderbird : Remote Code Execution & Denial of Service
http://seclists.org/lists/fulldisclosure/2006/Feb/0552.html

SecurityTracker Alert ID: 1015665
Mozilla Thunderbird Validation Error in IFRAME SRC Tag Lets Remote Users Execute Arbitrary Javascript
http://securitytracker.com/alerts/2006/Feb/1015665.html

Múltiples vulnerabilidades XSS e "IMAP Injection" en SquirrelMail <= 1.4.5

Por marcelo-ar - 24 de Febrero, 2006, 4:45, Categoría: General

SquirrelMail es un popular sistema de webmail "Open Source" escrito en PHP4.

Se han identificado múltiples vulnerabilidades en SquirrelMail, las cuales podrían ser explotadas por atacantes remotos para inyectar y ejecutar comandos arbitrarios.

El primer problema es debido a un error de validación de entrada en el script "webmail.php" que no valida correctamente el parámetro "right_main", lo cual podría ser explotado por atacantes para ocasionar que código script malicioso sea ejecutado por el navegador del usuario en el contexto de seguridad del sitio afectado.

El segundo fallo es debido a un error de validación de entrada al manejar comentarios en estilos, lo cual podría ser explotado por gente maliciosa para llevar a cabo ataques XSS (cross site scripting).
La explotación exitosa de esta vulnerabilidad requiere que el usuario visualice datos maliciosos en el navegador Internet Explorer.

El tercer problema es debido a un error de validación de entrada al procesar el parámetro "sqimap_mailbox_select mailbox", lo cual podría ser explotado por atacantes para inyectar comandos IMAP arbitrarios.

Productos afectados:
SquirrelMail version 1.4.5 y anteriores

Solución:
Los parches están disponibles a través del repositorio CVS y serán incluidos en la próxima versión 1.4.6 de SquirrelMail.
http://www.squirrelmail.org/cvs

Créditos:
Vulnerabilidades reportadas por:
- El desarrollador del producto
- Scott Hughes
- Vicente Aguilera

Nota:
Para saber si su proveedor de webmail utiliza una versión vulnerable, basta con observar la página inicial de login, en la cual se suele exhibir la versión de SquirrelMail.

Ref.:
FrSIRT/ADV-2006-0689
SquirrelMail Multiple Cross Site Scripting and IMAP Injection Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0689

Secunia Advisory: SA18985
SquirrelMail Cross-Site Scripting and IMAP Injection Vulnerabilities
http://secunia.com/advisories/18985/

DoS en Thunderbird 1.5 al importar libreta de direcciones maliciosa

Por marcelo-ar - 22 de Febrero, 2006, 23:57, Categoría: General

La libreta de direcciones de Mozilla Thunderbird permite campos de longitud ilimitada, lo cual podría ocasionar el fallo del programa si se importa un archivo ldif especialmente alterado.

La explotación exitosa de este fallo, requiere que el usuario atacado sea convencido para que importe un archivo ldif malicioso desde "Herramientas >>> Importar..." ("Tools >>> Import...") a efectos de colgar el programa.

Productos afectados:
Mozilla Thunderbird 1.5 y posiblemente versiones anteriores.

Ref.:
[Full-disclosure] Mozila Thunderbird 1.5 Address Book DoS
From: Javor Ninov <javor_at_securax.org>
Date: Fri, 17 Feb 2006 21:50:31 +0200
http://seclists.org/lists/fulldisclosure/2006/Feb/0403.html

Disponible Opera 8.52

Por marcelo-ar - 18 de Febrero, 2006, 4:00, Categoría: General

Opera 8.52 es una actualización de seguridad recomendada.
Entre otras cosas, resuelve un problema de seguridad menor que ocasionaba que el navegador no muestre la URL correcta en la barra de estado (Secunia Advisory: SA17571), reemplazo de certificados de seguridad ya expirados de TrustCenter, y la resolución de un problema relacionado con la carga de Gmail.

Opera 8.52 Changelog:
http://opera.com/docs/changelogs/windows/852/

Descarga Opera 8.52:
http://www.opera.com/download/

Descarga Opera 8.52 (win) desde sitio ftp
[es-ES]: Español España / [es-LA]: Español Latinoamérica:
ftp://ftp.opera.com/pub/opera/win/852/

Ref.:
Opera Watch Blog:  Opera 8.52 unofficially released
http://operawatch.blogspot.com/2006/02/opera-852-unofficially-released.html

Calendar of Updates:
Opera 8.52 (Public Event)
http://www.dozleng.com/updates/calendar23006

Denegación de Servicio en Winamp 5.13

Por marcelo-ar - 18 de Febrero, 2006, 3:45, Categoría: General

Se han identificado dos vulnerabilidades en Winamp 5.13, las cuales podrían ser utilizadas por atacantes remotos para comprometer el sistema del usuario atacado.

  • El primer problema es debido a un error de desbordamiento de buffer al procesar una lista de reproducción especialmente alterada conteniendo un nombre de archivo demasiado extenso.
  • El segundo fallo es debido a un error de desbordamiento de buffer al procesar una lista de reproducción .m3u cuyo nombre de archivo sea demasiado extenso.
Créditos:
Vulnerabilidades reportadas por Alan McCaig y Sowhat

Versiones afectadas:
Los fallos han sido reportados en la versión 5.13. Otras versiones anteriores también podrían estar afectadas.

Nota:
Calificación de estos fallos según su gravedad

- Secunia habla de "debilidades en Winamp" y califica los fallos como "No críticos" ya que solo ocasionan una condición de Denegación de Servicio (DoS) no habiéndose probado aún la posibilidad de ejecución de código arbitrario.

- FrSIRT los califica como "Críticos" ya que consideran que la ejecución de código arbitrario podría ser posible.

- SecurityTracker califica el impacto de los mismos como de "Ejecución de código a través de la red" a pesar de informar que la ejecución de código arbitrario no fue confirmada en el reporte original de Alan McCaig.

Ref.:
SecurityTracker Alert ID: 1015621
Winamp Buffer Overflow in Processing '.m3u' File Names May Let Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2006/Feb/1015621.html

Secunia Advisory: SA18848
Winamp File Handling Buffer Overflow Weaknesses
http://secunia.com/advisories/18848/

FrSIRT/ADV-2006-0613
Nullsoft Winamp Playlist Handling Multiple Buffer Overflow Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0613

[Full-disclosure] Winamp .m3u fun again ;)
Winamp .m3u Remote Buffer Overflow Vulnerability (0day)
http://seclists.org/lists/fulldisclosure/2006/Feb/0352.html

Multiples exploits para vulnerabilidades en Reproductor Windows Media (MS06-005 - MS06-006)

Por marcelo-ar - 18 de Febrero, 2006, 0:30, Categoría: General

Ya son cuatro los exploits disponibles para las vulnerabilidades recientemente parcheadas por Microsoft en su Reproductor Windows Media (MS06-005 - MS06-006)

Exploits disponibles en Milw0rm:
2006-02-17  MS Windows Media Player 9 Plugin Overflow Exploit (MS06-006) (meta)
2006-02-17  MS Windows Media Player 10 Plugin Overflow Exploit (MS06-006)
2006-02-16  Windows Media Player 7.1 <= 10 BMP Heap Overflow PoC (MS06-005) (2)
2006-02-15  Windows Media Player 7.1 <= 10 BMP Heap Overflow PoC (MS06-005)

Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/02/16/publicado-exploit-para-grave-vulnerabi.html

Publicado exploit para grave vulnerabilidad en Windows Media Player (MS06-005)

Por marcelo-ar - 16 de Febrero, 2006, 2:51, Categoría: General

Se ha hecho público un exploit para la grave vulnerabilidad que afecta al reproductor Windows Media Player, resuelta por la actualización 911565 (MS06-005).

La vulnerabilidad es ocasionada debido a un error de límite en el procesamiento de archivos bitmap (.bmp) y puede ser explotada para ocasionar un desbordamiento de buffer basado en el heap, mediante un archivo bitmap especialmente alterado.

La explotación exitosa de esta vulnerabilidad permite la ejecución de código arbitrario, por ejemplo, cuando el usuario visita una pagina web maliciosa, o abre un documento de Word conteniendo una imágen BMP maliciosa.

eEye Digital Security, que reportó esta vulnerabilidad a Microsoft el 17 de Octubre de 2005, informa que están afectadas todas las versiones del reproductor desde la 7.1 a la 10, en todas las versiones de Windows.

Software afectado:
• Microsoft Windows Media Player 7.1 al 10
* Windows NT 4.0
* Windows 98 / ME
* Windows 2000 SP4
* Windows XP SP1 / SP2
* Windows 2003

Software no afectado:
• Reproductor de Windows Media 6.4 en todos los sistemas operativos Microsoft Windows
• Reproductor de Windows Media 10 con Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 para sistemas con Itanium y Microsoft Windows Server 2003 con SP1 para sistemas con Itanium
• Microsoft Windows Server 2003 x64 Edition

Créditos:
Vulnerabilidad descubierta por Fang Xing, eEye Digital Security

Ref.:
Boletín de seguridad de Microsoft MS06-005
Una vulnerabilidad en el Reproductor de Windows Media podría permitir la ejecución remota de código (911565)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-005-IT.mspx

eEye Digital Security
Windows Media Player BMP Heap Overflow
http://www.eeye.com/html/research/advisories/AD20060214.html

Secunia Advisory: SA18835
Windows Media Player Bitmap File Processing Vulnerability
http://secunia.com/advisories/18835/

FrSIRT/ADV-2006-0574
Microsoft Windows Media Player BMP Handling Vulnerability (MS06-005)
http://www.frsirt.com/english/advisories/2006/0574

FrSIRT - Exploits & Codes
Microsoft Windows Media Player BMP Handling Buffer Overflow Exploit (MS06-005)
http://www.frsirt.com/exploits/20060215.wmp-ms06-005.cpp.php

Problemas con parche 913446 de Microsoft (MS06-007)

Por marcelo-ar - 15 de Febrero, 2006, 0:38, Categoría: General

En el SANS - Internet Storm Center informan que existen muchos usuarios con problemas para instalar el parche 913446 (MS06-007 Vulnerability in TCP/IP Could Allow Denial of Service) en forma automática.
Si bien el parche se descarga, falla al instalarse con este "Error Code: 0x80242006".

La solución, mientras Microsoft no resuelva el problema, es descargar e instalar en forma manual ese parche desde aqui:
Actualización de seguridad para Windows XP (KB913446)

Ref.:
SANS ISC: "Problems with MS patch KB913446 (for the IGMP issue, MS06-007)"
http://isc.sans.org/diary.php?storyid=1121

Resumen de los Boletines de Microsoft del 14 de Febrero (en ingles):
http://www.microsoft.com/technet/security/bulletin/ms06-feb.mspx

Nota: en pocas horas más, los boletines debieran estar disponibles en Español por aquí

[Actualización 15/02/2006, 02:59 a.m. Arg.]
La gente de Microsoft ha confirmado la existencia del problema en este post del "Microsoft Security Response Center Blog":
http://blogs.technet.com/msrc/archive/2006/02/14/419572.aspx

En una nueva actualización del post original, el SANS ISC informa que el problema parece haber sido solucionado.

[Actualización 16/02, 02:59 a.m.]
En efecto, el problema fue resuelto en el día de ayer, según se explica en este post del "Microsoft Security Response Center Blog":
http://blogs.technet.com/msrc/archive/2006/02/15/419604.aspx

Vulnerabilidad arrastrar-y-soltar en Internet Explorer (0-day)

Por marcelo-ar - 14 de Febrero, 2006, 2:57, Categoría: General

Se ha identificado una vulnerabilidad en Microsoft Internet Explorer, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario en el sistema del usuario atacado.

El problema es debido a que Internet Explorer no procesa correctamente ciertos eventos arrastrar-y-soltar.
Un usuario remoto puede crear un html que explote la duración de una operación arrastrar-y-soltar y potencialmente ocasionar la instalación de archivos arbitrarios en el sistema del usuario atacado.

Esto puede ser explotado por sitios web maliciosos para traspasar restricciones de seguridad e insertar ejecutables arbitrarios en un sistema vulnerable, convenciendo al usuario para que seleccione y arrastre un objeto desde una ventana del IE especialmente alterada hacia otra ventana que apunte a recursos locales.

La explotación exitosa de esta vulnerabilidad requerirá de una considerable interacción por parte del usuario, y dependerá de la habilidad del codigo html para predecir el momento del evento de arrastre.

Microsoft fue notificado de esta vulnerabilidad el 3 de agosto de 2005.
No existe solución para esta vulnerabilidad por el momento.
Microsoft planea incluir el parche en Windows Server 2003 SP2 yWindows XP SP3.

Recomendacion:
Desactivar Active Scripting (ActiveX) en las Zonas de seguridad Internet e Intranet Local.

Existen otras sugerencias mas, como por ejemplo:

  • Setear el Kill Bit de Shell.Explorer Control, CLSID {8856F961-340A-11D0-A96B-00C04FD705A2}
  • Configurar el IE para prevenir la navegación hacia la Zona Intranet Local  (Windows XP SP2, Windows Server 2003 SP1)
Créditos:
Matthew Murphy

Productos afectados:
* Microsoft Internet Explorer 5.01
* Microsoft Internet Explorer 5.5
* Microsoft Internet Explorer 6.0
- Windows 98
- Windows 98 SE
- Windows ME
- Windows 2000
- Windows XP
- Windows Server 2003

Ref.:
SecurityTracker Alert ID: 1015049
Microsoft Internet Explorer Drag-and-Drop Timing May Let Remote Users Install Arbitrary Files
http://securitytracker.com/id?1015049

FrSIRT/ADV-2006-0553
Microsoft Internet Explorer Drag and Drop Events Timing Vulnerability
http://www.frsirt.com/english/advisories/2006/0553

SecuriTeam
Microsoft Internet Explorer Drag-and-Drop Redeux
http://www.securiteam.com/windowsntfocus/5MP0B0UHPA.html

SecuriTeam Blog
Internet Explorer drag&drop 0day
http://blogs.securiteam.com/index.php/archives/286

Microsoft Security Response Center Blog
Information on IE Drag and Drop Issue
http://blogs.technet.com/msrc/archive/2006/02/13/419439.aspx

[Full-disclosure] Internet Explorer drag&drop 0day
http://seclists.org/lists/fulldisclosure/2006/Feb/0258.html

Falso positivo en Microsoft AntiSpyware puede corromper a Symantec Norton Antivirus

Por marcelo-ar - 13 de Febrero, 2006, 2:44, Categoría: General

Un falso positivo introducido en una reciente actualización de Microsoft AntiSpyware (software antiespías aún en fase beta), está causando serios problemas a usuarios que también utilizan Norton Antivirus de Symantec, ya que detecta erróneamente a cierta entrada en el registro de Windows perteneciente a este antivirus como un ladrón de contraseñas, invitando al usuario a eliminarla.
Según se observa en varios posts en los newsgroups de usuarios de este popular antiespías, las definiciones recientes (version 5805) detectan la mencionada clave
HKEY_LOCAL_MACHINE\Software\Intel\Landesk\VirusProtect6
correspondiente al Norton, como PWS.Bancos.A.

Si el usuario remueve esta clave (con sus correspondientes sub-claves), Norton Antivirus dejará de funcionar correctamente y ya no continuará brindando protección antivirus al equipo.

Los usuarios de Norton Antivirus afectados por este problema, podrán restaurar el sistema a un punto anterior al borrado de esa clave del registro, o bien reinstalar el antivirus nuevamente.

El problema generado por el software de Microsoft, parece haber sido resuelto mediante una nueva actualización de su producto (versión 5807).

Ref.:
SecurityFix - Brian Krebs on Computer Security
Microsoft Anti-Spyware Deleting Norton Anti-Virus

Algunos ejemplos de posts en AntiSpyware newsgroups:


Testeados varios productos antivirus por www.virus.gr

Por marcelo-ar - 13 de Febrero, 2006, 2:32, Categoría: General

www.virus.gr realizó un test de varios productos antivirus y antitroyanos entre el 14 y 22 de diciembre de 2005.
Este test se llevó a cabo en Windows XP Professional SP1 en un P4 2800 Mhz y  512MB DDRAM.
Los distintos programas antivirus estaban al día tanto en definiciones de virus como en actualizaciones de programa y fueron utilizados con sus capacidades de detección al máximo, como por ejemplo, su heurística activa y escaneos profundos (no se utilizó la configuración por defecto), lo cual podría derivar en la detección de falsos positivos.
Se utilizaron 113334 muestras de virus en esta prueba.

Los resultados de detección son los siguientes:

Ranking

1. Kaspersky Personal Pro version 5.0.390- 99.46%
   Kaspersky 2006 beta version 6.0.15.222- 99.46%
2. F-Secure 2006 version 6.10.330 - 96.92%
3. CyberScrub version 1.0 - 96.62%
4. eScan Virus Control version 2.6.522.9 - 95.21%
5. McAfee version 10.0.27 - 94.80%
6. BitDefender version 9 - 90.75%
7. Nod32 version 2.50.41 - 88.79%
8. AntiVir Personal version 6.32.00.51 - 86.55%
9. MKS_VIR 2005 - 86.16%
10. Norton Professional version 2006 - 85.17%
11. F-Prot version 3.16d - 84.96%
12. Dr. Web version 4.33 - 84.68%
13. Panda Titanium 2006 version 5.01.00 - 82.02%
14. Virus Chaser version 5.0a - 79.37%
15. AVG version 7.1.371 - 77.97%
16. PC-Cillin 2006 version 14.00.1341 - 77.84%
17. Avast version 4.6.744 - 76.93%
18. BullGuard version 6 - 74.02%
19. UNA version 1.83 - 69.83%
20. Norman version 5.83.07 - 69.13%
21. Sophos Sweep version 3.99 - 67.76%
22. VBA32 version 3.10.5 - 63.36%
23. Zondex Guard version 5.3.3 - 56.81%
24. Vexira 2005 version 5.001.32 - 51.62%
25. ClamWin version 0.87.1 - 48.45%
26. E-Trust version 7.0.6.7 - 47.84%
27. ZoneAlarm with VET Antivirus 6.1.737.000 - 47.70%
28. Digital Patrol version 5.00.08 - 47.02%
29. Ewido version 3.5 - 46.31%
30. V3Pro 2004 - 44.16%
31. Solo 4.0 version 3.1.0 - 42.45%
32. Fire version 2.7 - 38.38%
33. Protector Plus version 7.2.H01 - 38.06%
34. A Squared Personal version 1.6 - 35.31%
35. Quick Heal version 8.00 - 33.76%
36. ViRobot Expert version 4.0 - 32.37%
37. AntiTrojan Shield version 2.1.0.14 - 26.45%
38. PC Door Guard version 4.2.0.35- 26.05%
39. Trojan Hunter version 4.2.908 - 11.53%
40. VirIT version 5.2.53 - 10.33%
41. Tauscan version 1.70.1414 - 7.21%
42. Trojan Remover version 6.4.4 - 7.19%
43. The Cleaner version 4.1.42.52 - 5.97%
44. CounterSpy version 1.5.82 - 5.87%
45. SpySweeper version 4.5.7.642 - 2.99%
46. IP Armor version 5.46.0703 - 2.46%
47. Hacker Eliminator version 1.2 - 1.77%
48. Spyware Doctor version 3.2.2.453 - 1.55%
49. Abacre 1.3 - 0.00%
50. SpyHunter 2.0 - 0.00%

Ref.
http://www.virus.gr/english/fullxml/default.asp?id=72&mnu=72

Resueltas múltiples vulnerabilidades en Java de Sun (JRE reflection APIs Sandbox Security Bypass)

Por marcelo-ar - 9 de Febrero, 2006, 0:12, Categoría: General

Se han identificado siete vulnerabilidades en la máquina virtual Java de Sun JRE (Java Runtime Environment), las cuales podrían ser explotadas por sitios web maliciosos para comprometer un sistema vulnerable. Estos fallos son debidos a errores en los APIs "reflection", lo cual podría ser explotado por atacantes para leer, escribir y ejecutar archivos locales arbitrarios con solo convencer al usuario víctima para que visite una página web especialmente alterada que contenga un applet de Java malicioso.

Poductos afectados:
* JDK y JRE 5.0 Update 5 y anteriores
* SDK y JRE 1.4.2_09 y anteriores
* SDK y JRE 1.3.1_16 y anteriores

Solución:
Actualizar a las versiones parcheadas

JDK y JRE 5.x:
Actualizar a JDK y JRE 5.0 Update 6
http://java.sun.com/j2se/1.5.0/download.jsp

SDK y JRE 1.4.x:
Actualizar a SDK and JRE 1.4.2_10
http://java.sun.com/j2se/1.4.2/download.html

SDK y JRE 1.3.x:
Actualizar a SDK and JRE 1.3.1_17
http://java.sun.com/j2se/1.3/download.html

Créditos:
Vulnerabilidades reportadas por Adam Gowdiak

Ref.:
http://www.frsirt.com/english/advisories/2006/0467
http://secunia.com/advisories/18760/
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102171-1

Vulnerabilidad en Internet Explorer 5.x al procesar archivos WMF

Por marcelo-ar - 9 de Febrero, 2006, 0:10, Categoría: General

Se ha identificado una vulnerabilidad en Microsoft Internet Explorer, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario.
El fallo es debido a un error de corrupción de memoria al procesar archivos de imágen Windows Metafile (WMF) que contengan un encabezado especialmente alterado en su valor tamaño (size).

Esto puede ser explotado para ejecutar código arbitrario, por ejemplo, convenciendo al usuario atacado para que visite un sitio web que albergue un archivo WMF especialmente alterado o mediante un email que contenga un adjunto especialmente alterado.

Productos afectados:

• Microsoft Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000 Service Pack 4
• Microsoft Internet Explorer 5.5 Service Pack 2 en Microsoft Windows Millennium

Productos no afectados:

• Internet Explorer para Microsoft Windows XP SP 1 y Windows XP SP 2
• Internet Explorer para Microsoft Windows XP Professional 64 Bit
• Internet Explorer para Microsoft Windows Server 2003 y Windows Server 2003 SP 1
• Internet Explorer para Windows Server 2003 para Sistemas basados en Itanium
• Internet Explorer para Windows Server 2003 con SP 1 para Sistemas basados en Itanium
• Internet Explorer para Windows Server 2003 x64 Edition
• Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 SP 4
• Internet Explorer 6 Service Pack 1 en Microsoft Windows 98
• Internet Explorer 6 Service Pack 1 en Microsoft Windows 98 SE
• Internet Explorer 6 Service Pack 1 en Microsoft Windows ME

Recomendación de Microsoft:
Actualizar a Internet Explorer 6 SP1, el cual no está afectado.
Descarga de Internet Explorer 6 Service Pack 1 idioma Español

Ref.:
http://www.frsirt.com/english/advisories/2006/0469
http://secunia.com/advisories/18729/
http://www.microsoft.com/technet/security/advisory/913333.mspx

Fallo en The Bat! 2.x permite falsear encabezados

Por marcelo-ar - 7 de Febrero, 2006, 5:07, Categoría: General

Introducción:
The Bat! es un programa de correo fácil de usar, poderoso y seguro (comparado con otros). Posee varias funcionalidades profesionales como templates, macros, filtro Bayesiano para el SPAM (correo basura), etc. Este es un producto comercial de RitLabs.

Vulnerabilidad:
Existe un defecto de diseño en la forma en que The Bat! muestra los mensajes con formato "Content-Type: message/partial". Este tipo de mensajes, son distribuidos en partes más pequeñas y luego son reconstruidos en un único mensaje al ser recibidos por el gestor de correo. Este mecanismo denominado "Message Fragmentation and Reassembly" (RFC 2046 - 5.2.2.1) suele ser utilizado a efectos de enviar mensajes de gran tamaño cuando agentes de transporte intermedios limitan el tamaño de los mismos.
"Content-Type: message/partial" indica entonces que el cuerpo del mensaje contiene un fragmento del mismo.

Debido a este problema en The Bat!, es posible falsear los encabezados RFC 822 o el mensaje original, como por ejemplo, las líneas "Received:" y "Message-ID:". La explotación exitosa de este fallo posibilita la creación de un mensaje "no rastreable", y falsear el origen del mismo, incluyendo la información de la red del remitente.

Detalles:
The Bat! re-ensambla silenciosamente los mensajes parciales y muestra datos encapsulados. Los encabezados que muestra son aquellos del mensaje encapsulado, perdiéndose por completo los encabezados reales.

Exploit - Prueba de Concepto (PoC):
Reemplazar @example.com por la direccion de destino
http://www.security.nnov.ru/files/thebatexploit.txt

Recomendación:
No confiar en los encabezados que muestra The Bat! 2.x

Versiones afectadas:
El fallo ha sido verificado en The Bat! 2.12.04, otras versiones anteriores también podrían estar afectadas.

Solución:
Actualizar a The Bat! 3.5 (o superior).
http://www.thebat-es.com/download.html

Créditos:
3APA3A - http://www.security.nnov.ru/

Ref.:
SECURITY.NNOV: The Bat! 2.x message headers spoofing (06.02.2006)
http://www.security.nnov.ru/Ldocument310.html

[Actualización 08/02/2006]
Añadida mayor información sobre versiones afectadas y no afectadas.

DoS en Internet Explorer con Shockwave Flash [JScript's document.write() method]

Por marcelo-ar - 5 de Febrero, 2006, 23:29, Categoría: General

Se ha reportado una vulnerabilidad del tipo DoS (Denegación de Servicio) en Internet Explorer.

Un usuario remoto puede crear un archivo html que contenga código script especialmente alterado que, al ser cargado por el navegador del usuario atacado, ocasionará el fallo o cuelgue del mismo.

El código script invoca un archivo Shockwave Flash para generar el fallo.

Existen un par de exploits de demostración en las siguientes direcciones:

DoS exploit en IE:
http://www.anspi.pl/~porkythepig/iedown.html

Cuelgue al oprimir el botón derecho del mouse:
http://www.anspi.pl/~porkythepig/index.html

Plataformas vulnerables en que fue testeado el IE:
Windows 2000 sp4 con todos los parches al día
Windows XP sp2
Windows XP64
Windows 98 SE

Según el autor de los exploits, la posibilidad de ejecutar código arbitrario mediante este fallo aún no ha sido verificada, aunque podría existir.

Solución:
No existe solución para este fallo por el momento.

Créditos:
porkythepig

Ref.:
SecurityTracker Alert ID: 1015559
Microsoft Internet Explorer Shockwave Flash Scripting Bug Lets Remote Users Deny Service
http://securitytracker.com/id?1015559

Bugtraq:
Internet Explorer remotely exploitable vulnerability in JScript's document.write() method
http://seclists.org/lists/bugtraq/2006/Feb/0010.html

Mapa mundial de máquinas infectadas con el gusano Kama Sutra

Por marcelo-ar - 3 de Febrero, 2006, 5:22, Categoría: General

La gente de F-Secure ha estado operando en conjunto con RCN, la compañía que aloja el contador de infecciones utilizado por el gusano Nyxem.E (alias Kama Sutra).
Luego de filtrar las direcciones IP de los (ro)bots que han estado haciendo incrementar el contador últimamente, F-secure utilizó su tecnología WORLMAP para mapear las direcciones IP hacia un mapa.
Como resultado de ésto obtuvieron una visión de las máquinas infectadas en todo el mundo.


Imágen en alta resolución en esta url:
http://www.f-secure.com/weblog/archives/NyxemLatLonBig.png

Nyxem.E comienza a sobrescribir archivos media hora después de que la máquina infectada sea iniciada, el día 3 de cada mes.
F-Secure le agradece a Jason Nealis y Chris Jackman por su generosa ayuda en la investigación de este asunto.

Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/01/25/alerta-Crecen-las-infecciones-con-el-g.html

Ref.:
F-Secure Blog: Nyxem on a world map
http://www.f-secure.com/weblog/archives/archive-022006.html#00000800

URL del "contador secreto" (alterado por bots) del gusano Kama Sutra (Nyxem.E):
http://webstats.web.rcn.net/cgi-bin/Count.cgi?df=765247

[Actualización 04/02/2006]: Añadido enlace a mapa en alta resolución, URL del contador, e información omitida inicialmente.

Vulnerabilidad en Winamp <= 5.12 está siendo explotada

Por marcelo-ar - 3 de Febrero, 2006, 4:32, Categoría: General

El equipo de investigación de Sunbelt ha encontrado un archivo de lista de reproducción de Winamp (.pls) malicioso, que está siendo activamente utilizado para instalar spyware en las máquinas ejecutando versiones vulnerables de Winamp.

Luego de navegar por el sitio malicioso con sus máquinas de pruebas, el archivo x.pls comienza a descargarse y casi inmediatamente, Winamp procede a reproducir esa lista y comienza la ejecución remota de código malicioso.
Un escaneo mediante el servicio Virus Total de Hispasec demostró que tan solo un antivirus (McAfee) detectaba el exploit (ver reporte).

Se recomienda actualizar a la brevedad a la versión 5.13 de Winamp:
http://www.winamp.com/player/index.php

Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/01/31/winamp-513-resuelve-vulnerabilidad-cri.html

Ref.:
Sunbelt Blog: " Winamp exploit found in the wild"
http://sunbeltblog.blogspot.com/2006/02/winamp-exploit-found-in-wi_113891339953448796.html

Mozilla Firefox 1.5.0.1 resuelve múltiples vulnerabilidades

Por marcelo-ar - 3 de Febrero, 2006, 4:01, Categoría: General

Se han identificado ocho vulnerabilidades en Mozilla Firefox (y otros productos Mozilla), las cuales podrían ser explotadas por atacantes remotos para traspasar restricciones de seguridad, realizar ataques XSS, y potencialmente, revelar información sensible y ejecutar código arbitrario.



El primer problema es debido a errores en el motor Javascript que falla en proteger correctamente ciertas variables temporales durante la recolección de basura (garbage collection), lo cual podría ser explotado por sitios web maliciosos para ocasionar una corrupción de memoria y potencialmente, ejecutar código arbitrario.

Una de estas vulnerabilidades fue introducida durante el desarrollo de Firefox 1.5 y no afecta a Firefox 1.0

Productos afectados:
Firefox, Thunderbird y Mozilla Suite

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-01
Title: JavaScript garbage-collection hazards
Gravedad: Moderada


El segundo fallo es debido a un error de corrupción de memoria al cambiar el estilo de un elemento de "position:relative" a "position:static", lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario.

Este fallo fue introducido durante el desarrollo de Firefox 1.5 y SeaMonkey 1.0, y no afecta a Firefox 1.0 o Mozilla Suite 1.7.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-02
Title: Changing postion:relative to static corrupts memory
Gravedad: Moderada


La tercer vulnerabilidad es debida a un error al manejar gran cantidad de información en el archivo "history.dat" (p.ej. por un título de página demasiado extenso), lo cual podría ser explotado mediante una página web especialmente alterada para ocasionar que el navegador falle o consuma una gran cantidad de recursos del sistema al ser reiniciado.

Productos afectados:
Firefox, Mozilla Suite

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Ref.:
Mozilla Foundation Security Advisory 2006-03
Title: Long document title causes startup denial of service
Gravedad: Leve


El cuarto problema es debido a un error de corrupción de memoria al invocar al método "QueryInterface", de los objetos Location y Navigator, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario.

El fallo parece haber sido introducido durante el desarrollo de Firefox 1.5 y SeaMonkey 1.0. Firefox 1.0 y Mozilla Suite 1.7 no aparentan ser vulnerables.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-04
Title: Memory corruption via QueryInterface on Location, Navigator objects
Gravedad: Moderada


El quinto fallo es debido a un error en la función "XULDocument.persist()" que no valida adecuadamente el atributo name (nombre), lo cual podría ser explotado por atacantes remotos para ejecutar comandos Javascript arbitrarios con los permisos del navegador mediante la inyección de XML en "localstore.rdf" que será leído al iniciar.

Productos afectados:
Firefox, Thunderbird, Mozilla Suite

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-05
Title: Localstore.rdf XML injection through XULDocument.persist()
Gravedad: Critica


La sexta vulnerabilidad es debida a errores de desbordamiento de entero en las funcionalidades E4X, SVG, y Canvas, lo cual podría ser explotado por sitios web maliciosos para ejecutar código arbitrario.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-06
Title: Integer overflows in E4X, SVG, and Canvas
Gravedad: Moderada


El séptimo fallo es debido a un bug en el procesador XML, que permite que lea pasando el final del buffer y podría ser explotado por atacantes remotos para ocasionar el cuelgue de la aplicación vulnerable, y potencialmente, incorporar información privada dentro de DOM de un documento XML, lo cual no se sabe con certeza si es posible.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-07
Title: Read beyond buffer while parsing XML
Gravedad: Leve


El octavo fallo es debido a un error en la implementación E4X que expone el objeto interno "AnyName" a contenido web, lo cual podría ser explotado por sitios web maliciosos para traspasar restricciones de seguridad.
Nota: E4X no estaba soportado en Firefox 1.0 o Mozilla 1.7.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-08
Title: "AnyName" entrainment and access control hazard
Gravedad: Leve


Créditos:
Vulnerabilidades reportadas por Igor Bukanov, Martijn Wargers, ZIPLOCK,
Georgi Guninski, moz_bug_r_a4, Johnny Stenback y Brendan Eich.

Descarga de versiones no vulnerables:

Firefox 1.5.0.1
http://www.mozilla.com/firefox/all.html

SeaMonkey 1.0 (en reemplazo de Mozilla Suite 1.7.x)
http://www.mozilla.org/projects/seamonkey/releases/
LangPack Español:
http://nave.escomposlinux.org/productos/descargas.php

Ref.:
FrSIRT/ADV-2006-0413
Mozilla Products Multiple Memory Corruption and Security Bypass Issues
http://www.frsirt.com/english/advisories/2006/0413

[Actualización 07/02/2006]
H D Moore del "Metasploit Project" ha publicado un exploit funcional para la versión de Linux de Mozilla Firefox 1.5 en milw0rm, motivo por el cual, el "Mozilla Foundation Security Advisory 2006-04" ha sido recalificado como de gravedad crítica.

milw0rm: Mozilla Firefox 1.5 QueryInterface() Remote Code Execution Exploit
http://www.milw0rm.com/id.php?id=1474

Disponible Mozilla Firefox 1.5.0.1

Por marcelo-ar - 2 de Febrero, 2006, 4:53, Categoría: General

Firefox 1.5.0.1 es una actualización de estabilidad y seguridad.
Se recomienda a todos los usuarios de Firefox que actualicen a esta versión.

Descarga Firefox 1.5.0.1, todos los idiomas, [es-ES] Español España y [es-AR] Español Argentina:
http://www.mozilla.com/firefox/all.html

Firefox 1.5.0.1 versión ZIP no instalable (Nightly 2006-01-11-13 equivalente a versión final):
firefox-1.5.0.1.en-US.win32.zip

Descarga desde sitio ftp:
http://mozilla.osuosl.org/pub/mozilla.org/firefox/releases/1.5.0.1/

Release Notes (en inglés):
http://www.mozilla.com/firefox/releases/1.5.0.1.html

Changelog:
http://www.squarefree.com/burningedge/releases/1.5.0.1.html

Entrada relacionada:
Mozilla Firefox 1.5.0.1 resuelve múltiples vulnerabilidades

[Actualizado 04/05/2006]: Añadido enlace a versión ZIP no oficial y artículo relacionado de fecha posterior.

Descubierta primer vulnerabilidad en Internet Explorer 7.0 Beta 2 (urlmon.dll DoS)

Por marcelo-ar - 2 de Febrero, 2006, 1:51, Categoría: General

Tom Ferris estuvo probando e IE 7.0 Beta 2, y luego de 15 minutos de testeo encontró una vulnerabilidad en el mismo.

Estos son los detalles:

Existe una vulnerabilidad del tipo DoS en Microsoft Internet Explorer 7.0 Beta 2 la cual permite a un atacante ocasionar el cuelgue del navegador, o bien ejecutar código arbitrario.

Al abrir un archivo .html especialmente alterado, urlmon.dll procesa incorrectamente el 'BGSOUND SRC=file://---' (aproximadamente 344 guiones) y ocasiona un crash (fallo del programa).

El siguiente código html generará el fallo:

> <BGSOUND
> SRC=file://---------------------------------------------------------------------
> --------------------------------------------------------------------------------
> --------------------------------------------------------------------------------
> --------------------------------------------------------------------------------
> ---------------------------------- >
 (">" colocados delante intencionalmente)

PoC (prueba de concepto) que ocasiona el cuelgue del navegador:
http://www.security-protocols.com/poc/sp-x23.html

Tom Ferris ha reportado este fallo a Microsoft

Solución temporaria sugerida  por Tom Ferris:
Utilizar Mozilla Firefox

Créditos:
Tom Ferris

Ref.:

Internet Explorer 7.0 Beta 2 urlmon.dll DoS
http://security-protocols.com/modules.php?name=News&file=article&sid=3169

Advisory: Internet Explorer 7.0 Beta 2 urlmon.dll DoS
http://www.security-protocols.com/advisory/sp-x23-advisory.txt

Firefox: Fallo en validación de propiedad '-moz-binding' permite ataques Cross Domain Scripting

Por marcelo-ar - 2 de Febrero, 2006, 1:27, Categoría: General

Se ha descubierto una vulnerabilidad en los navegadores Mozilla, la cual podría ser explotada por atacantes remotos para traspasar restricciones de seguridad y obtener información sensible.

Este fallo es debido a un error de validación de origen al procesar ciertas Hojas de Estilo en Cascada CSS (Cascading Style Sheets) y documentos HTML que contengan la propiedad "-moz-binding" especialmente alterada utilizada en conjunción con el lenguaje XBL (eXtensible Bindings Language) , lo cual podría ser explotado por sitios maliciosos para ocasionar que código script malicioso sea ejecutado en el navegador bajo el contexto de seguridad de un dominio arbitrario, y así obtener acceso a información de cookies.

Productos afectados:
Mozilla Firefox 1.5 y anteriores
Mozilla Suite 1.7.12 y anteriores

Ref.:
FrSIRT/ADV-2006-0403
Mozilla Browsers CSS "moz-binding" Cross Domain Scripting Vulnerability
http://www.frsirt.com/english/advisories/2006/0403

SecurityTracker Alert ID:  1015553
Mozilla Firefox '-moz-binding' Property Validation Flaw Lets Remote Users Conduct Cross-Domain Scripting Attacks
http://securitytracker.com/id?1015553

Bugzilla Bug 324253
CVE-2006-0496 Do something about the XSS issues -moz-binding introduces
https://bugzilla.mozilla.org/show_bug.cgi?id=324253

Foro de AMD distribuía código malicioso por ataque con exploit WMF

Por marcelo-ar - 1 de Febrero, 2006, 1:48, Categoría: General

El pasado lunes 30 de enero fue cerrado el foro de usuarios de AMD (Advanced Micro Devices chips) ya que se descubrió que alojaba un exploit para la vulnerabilidad WMF.

La noticia fue divulgada inicialmente en el Blog de F-Secure, en el cual se puede ver una captura de pantalla del IE con un cuadro de diálogo que invitaba a descargar un WMF malicioso al acceder al foro hackeado.

El problema parece haber ocurrido debido a que la compañía que alberga esos foros para AMD no había aplicado los parches de seguridad correspondientes para el software del foro, y fue atacado aprovechando algún agujero de seguridad en el mismo, convirtiéndose entonces el foro de AMD, en un distribuidor de codigo malicioso.

Una vez resuelto el problema, el foro fue puesto en línea nuevamente el lunes por la tarde.

Ref.:
AMD forums laid low by Windows exploit
By Tom Krazit, CNET News.com
http://news.zdnet.com/2100-1009_22-6033068.html

Blog F-Secure:
Exploits from AMD? - Posted by Mikko
http://www.f-secure.com/weblog/archives/archive-012006.html#00000795

Otros mensajes en Febrero del 2006

El Blog

Calendario

<<   Febrero 2006  >>
LMMiJVSD
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28      

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker