3 de Febrero, 2006

Mapa mundial de máquinas infectadas con el gusano Kama Sutra

Por marcelo-ar - 3 de Febrero, 2006, 5:22, Categoría: General

La gente de F-Secure ha estado operando en conjunto con RCN, la compañía que aloja el contador de infecciones utilizado por el gusano Nyxem.E (alias Kama Sutra).
Luego de filtrar las direcciones IP de los (ro)bots que han estado haciendo incrementar el contador últimamente, F-secure utilizó su tecnología WORLMAP para mapear las direcciones IP hacia un mapa.
Como resultado de ésto obtuvieron una visión de las máquinas infectadas en todo el mundo.


Imágen en alta resolución en esta url:
http://www.f-secure.com/weblog/archives/NyxemLatLonBig.png

Nyxem.E comienza a sobrescribir archivos media hora después de que la máquina infectada sea iniciada, el día 3 de cada mes.
F-Secure le agradece a Jason Nealis y Chris Jackman por su generosa ayuda en la investigación de este asunto.

Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/01/25/alerta-Crecen-las-infecciones-con-el-g.html

Ref.:
F-Secure Blog: Nyxem on a world map
http://www.f-secure.com/weblog/archives/archive-022006.html#00000800

URL del "contador secreto" (alterado por bots) del gusano Kama Sutra (Nyxem.E):
http://webstats.web.rcn.net/cgi-bin/Count.cgi?df=765247

[Actualización 04/02/2006]: Añadido enlace a mapa en alta resolución, URL del contador, e información omitida inicialmente.

Vulnerabilidad en Winamp <= 5.12 está siendo explotada

Por marcelo-ar - 3 de Febrero, 2006, 4:32, Categoría: General

El equipo de investigación de Sunbelt ha encontrado un archivo de lista de reproducción de Winamp (.pls) malicioso, que está siendo activamente utilizado para instalar spyware en las máquinas ejecutando versiones vulnerables de Winamp.

Luego de navegar por el sitio malicioso con sus máquinas de pruebas, el archivo x.pls comienza a descargarse y casi inmediatamente, Winamp procede a reproducir esa lista y comienza la ejecución remota de código malicioso.
Un escaneo mediante el servicio Virus Total de Hispasec demostró que tan solo un antivirus (McAfee) detectaba el exploit (ver reporte).

Se recomienda actualizar a la brevedad a la versión 5.13 de Winamp:
http://www.winamp.com/player/index.php

Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/01/31/winamp-513-resuelve-vulnerabilidad-cri.html

Ref.:
Sunbelt Blog: " Winamp exploit found in the wild"
http://sunbeltblog.blogspot.com/2006/02/winamp-exploit-found-in-wi_113891339953448796.html

Mozilla Firefox 1.5.0.1 resuelve múltiples vulnerabilidades

Por marcelo-ar - 3 de Febrero, 2006, 4:01, Categoría: General

Se han identificado ocho vulnerabilidades en Mozilla Firefox (y otros productos Mozilla), las cuales podrían ser explotadas por atacantes remotos para traspasar restricciones de seguridad, realizar ataques XSS, y potencialmente, revelar información sensible y ejecutar código arbitrario.



El primer problema es debido a errores en el motor Javascript que falla en proteger correctamente ciertas variables temporales durante la recolección de basura (garbage collection), lo cual podría ser explotado por sitios web maliciosos para ocasionar una corrupción de memoria y potencialmente, ejecutar código arbitrario.

Una de estas vulnerabilidades fue introducida durante el desarrollo de Firefox 1.5 y no afecta a Firefox 1.0

Productos afectados:
Firefox, Thunderbird y Mozilla Suite

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-01
Title: JavaScript garbage-collection hazards
Gravedad: Moderada


El segundo fallo es debido a un error de corrupción de memoria al cambiar el estilo de un elemento de "position:relative" a "position:static", lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario.

Este fallo fue introducido durante el desarrollo de Firefox 1.5 y SeaMonkey 1.0, y no afecta a Firefox 1.0 o Mozilla Suite 1.7.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-02
Title: Changing postion:relative to static corrupts memory
Gravedad: Moderada


La tercer vulnerabilidad es debida a un error al manejar gran cantidad de información en el archivo "history.dat" (p.ej. por un título de página demasiado extenso), lo cual podría ser explotado mediante una página web especialmente alterada para ocasionar que el navegador falle o consuma una gran cantidad de recursos del sistema al ser reiniciado.

Productos afectados:
Firefox, Mozilla Suite

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Ref.:
Mozilla Foundation Security Advisory 2006-03
Title: Long document title causes startup denial of service
Gravedad: Leve


El cuarto problema es debido a un error de corrupción de memoria al invocar al método "QueryInterface", de los objetos Location y Navigator, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario.

El fallo parece haber sido introducido durante el desarrollo de Firefox 1.5 y SeaMonkey 1.0. Firefox 1.0 y Mozilla Suite 1.7 no aparentan ser vulnerables.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-04
Title: Memory corruption via QueryInterface on Location, Navigator objects
Gravedad: Moderada


El quinto fallo es debido a un error en la función "XULDocument.persist()" que no valida adecuadamente el atributo name (nombre), lo cual podría ser explotado por atacantes remotos para ejecutar comandos Javascript arbitrarios con los permisos del navegador mediante la inyección de XML en "localstore.rdf" que será leído al iniciar.

Productos afectados:
Firefox, Thunderbird, Mozilla Suite

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-05
Title: Localstore.rdf XML injection through XULDocument.persist()
Gravedad: Critica


La sexta vulnerabilidad es debida a errores de desbordamiento de entero en las funcionalidades E4X, SVG, y Canvas, lo cual podría ser explotado por sitios web maliciosos para ejecutar código arbitrario.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-06
Title: Integer overflows in E4X, SVG, and Canvas
Gravedad: Moderada


El séptimo fallo es debido a un bug en el procesador XML, que permite que lea pasando el final del buffer y podría ser explotado por atacantes remotos para ocasionar el cuelgue de la aplicación vulnerable, y potencialmente, incorporar información privada dentro de DOM de un documento XML, lo cual no se sabe con certeza si es posible.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-07
Title: Read beyond buffer while parsing XML
Gravedad: Leve


El octavo fallo es debido a un error en la implementación E4X que expone el objeto interno "AnyName" a contenido web, lo cual podría ser explotado por sitios web maliciosos para traspasar restricciones de seguridad.
Nota: E4X no estaba soportado en Firefox 1.0 o Mozilla 1.7.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-08
Title: "AnyName" entrainment and access control hazard
Gravedad: Leve


Créditos:
Vulnerabilidades reportadas por Igor Bukanov, Martijn Wargers, ZIPLOCK,
Georgi Guninski, moz_bug_r_a4, Johnny Stenback y Brendan Eich.

Descarga de versiones no vulnerables:

Firefox 1.5.0.1
http://www.mozilla.com/firefox/all.html

SeaMonkey 1.0 (en reemplazo de Mozilla Suite 1.7.x)
http://www.mozilla.org/projects/seamonkey/releases/
LangPack Español:
http://nave.escomposlinux.org/productos/descargas.php

Ref.:
FrSIRT/ADV-2006-0413
Mozilla Products Multiple Memory Corruption and Security Bypass Issues
http://www.frsirt.com/english/advisories/2006/0413

[Actualización 07/02/2006]
H D Moore del "Metasploit Project" ha publicado un exploit funcional para la versión de Linux de Mozilla Firefox 1.5 en milw0rm, motivo por el cual, el "Mozilla Foundation Security Advisory 2006-04" ha sido recalificado como de gravedad crítica.

milw0rm: Mozilla Firefox 1.5 QueryInterface() Remote Code Execution Exploit
http://www.milw0rm.com/id.php?id=1474

El Blog

Calendario

<<   Febrero 2006  >>
LMMiJVSD
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28      

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker