DoS en Thunderbird 1.5 al importar libreta de direcciones maliciosa
La libreta de direcciones de Mozilla Thunderbird permite campos de longitud ilimitada, lo cual podría ocasionar el fallo del programa si se importa un archivo ldif especialmente alterado.
La explotación exitosa de este fallo, requiere que el usuario atacado sea convencido para que importe un archivo ldif malicioso desde "Herramientas >>> Importar..." ("Tools >>> Import...") a efectos de colgar el programa.
Productos afectados:
Mozilla Thunderbird 1.5 y posiblemente versiones anteriores.
Ref.:
[Full-disclosure] Mozila Thunderbird 1.5 Address Book DoS
From: Javor Ninov <javor_at_securax.org>
Date: Fri, 17 Feb 2006 21:50:31 +0200
http://seclists.org/lists/fulldisclosure/2006/Feb/0403.html
|
Denegación de Servicio en Winamp 5.13
Se han identificado dos vulnerabilidades en Winamp 5.13, las cuales podrían ser utilizadas por atacantes remotos para comprometer el sistema del usuario atacado.
- El primer problema es debido a un error de desbordamiento de buffer al procesar una lista de reproducción especialmente alterada conteniendo un nombre de archivo demasiado extenso.
- El segundo fallo es debido a un error de desbordamiento de buffer al procesar una lista de reproducción .m3u cuyo nombre de archivo sea demasiado extenso.
Créditos: Vulnerabilidades reportadas por Alan McCaig y Sowhat Versiones afectadas: Los fallos han sido reportados en la versión 5.13. Otras versiones anteriores también podrían estar afectadas. Nota: Calificación de estos fallos según su gravedad- Secunia habla de "debilidades en Winamp" y califica los fallos como "No críticos" ya que solo ocasionan una condición de Denegación de Servicio (DoS) no habiéndose probado aún la posibilidad de ejecución de código arbitrario. - FrSIRT los califica como "Críticos" ya que consideran que la ejecución de código arbitrario podría ser posible. - SecurityTracker califica el impacto de los mismos como de "Ejecución de código a través de la red" a pesar de informar que la ejecución de código arbitrario no fue confirmada en el reporte original de Alan McCaig. Ref.: SecurityTracker Alert ID: 1015621 Winamp Buffer Overflow in Processing '.m3u' File Names May Let Remote Users Execute Arbitrary Code http://securitytracker.com/alerts/2006/Feb/1015621.htmlSecunia Advisory: SA18848 Winamp File Handling Buffer Overflow Weaknesses http://secunia.com/advisories/18848/FrSIRT/ADV-2006-0613 Nullsoft Winamp Playlist Handling Multiple Buffer Overflow Vulnerabilities http://www.frsirt.com/english/advisories/2006/0613[Full-disclosure] Winamp .m3u fun again ;) Winamp .m3u Remote Buffer Overflow Vulnerability (0day) http://seclists.org/lists/fulldisclosure/2006/Feb/0352.html
|
Multiples exploits para vulnerabilidades en Reproductor Windows Media (MS06-005 - MS06-006)
Ya son cuatro los exploits disponibles para las vulnerabilidades recientemente parcheadas por Microsoft en su Reproductor Windows Media (MS06-005 - MS06-006)
Exploits disponibles en Milw0rm:
2006-02-17 MS Windows Media Player 9 Plugin Overflow Exploit (MS06-006) (meta)
2006-02-17 MS Windows Media Player 10 Plugin Overflow Exploit (MS06-006)
2006-02-16 Windows Media Player 7.1 <= 10 BMP Heap Overflow PoC (MS06-005) (2)
2006-02-15 Windows Media Player 7.1 <= 10 BMP Heap Overflow PoC (MS06-005)
Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/02/16/publicado-exploit-para-grave-vulnerabi.html
|
Publicado exploit para grave vulnerabilidad en Windows Media Player (MS06-005)
Se ha hecho público un exploit para la grave vulnerabilidad que afecta al reproductor Windows Media Player, resuelta por la actualización 911565 (MS06-005).
La vulnerabilidad es ocasionada debido a un error de límite en el procesamiento de archivos bitmap (.bmp) y puede ser explotada para ocasionar un desbordamiento de buffer basado en el heap, mediante un archivo bitmap especialmente alterado.
La explotación exitosa de esta vulnerabilidad permite la ejecución de código arbitrario, por ejemplo, cuando el usuario visita una pagina web maliciosa, o abre un documento de Word conteniendo una imágen BMP maliciosa.
eEye Digital Security, que reportó esta vulnerabilidad a Microsoft el 17 de Octubre de 2005, informa que están afectadas todas las versiones del reproductor desde la 7.1 a la 10, en todas las versiones de Windows.
Software afectado:
• Microsoft Windows Media Player 7.1 al 10
* Windows NT 4.0
* Windows 98 / ME
* Windows 2000 SP4
* Windows XP SP1 / SP2
* Windows 2003
Software no afectado:
• Reproductor de Windows Media 6.4 en todos los sistemas operativos Microsoft Windows
• Reproductor de Windows Media 10 con Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 para sistemas con Itanium y Microsoft Windows Server 2003 con SP1 para sistemas con Itanium
• Microsoft Windows Server 2003 x64 Edition
Créditos:
Vulnerabilidad descubierta por Fang Xing, eEye Digital Security
Ref.:
Boletín de seguridad de Microsoft MS06-005
Una vulnerabilidad en el Reproductor de Windows Media podría permitir la ejecución remota de código (911565)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-005-IT.mspx
eEye Digital Security
Windows Media Player BMP Heap Overflow
http://www.eeye.com/html/research/advisories/AD20060214.html
Secunia Advisory: SA18835
Windows Media Player Bitmap File Processing Vulnerability
http://secunia.com/advisories/18835/
FrSIRT/ADV-2006-0574
Microsoft Windows Media Player BMP Handling Vulnerability (MS06-005)
http://www.frsirt.com/english/advisories/2006/0574
FrSIRT - Exploits & Codes
Microsoft Windows Media Player BMP Handling Buffer Overflow Exploit (MS06-005)
http://www.frsirt.com/exploits/20060215.wmp-ms06-005.cpp.php
|
Problemas con parche 913446 de Microsoft (MS06-007)
En el SANS - Internet Storm Center informan que existen muchos usuarios con problemas para instalar el parche 913446 (MS06-007 Vulnerability in TCP/IP Could Allow Denial of Service) en forma automática.
Si bien el parche se descarga, falla al instalarse con este "Error Code: 0x80242006".
La solución, mientras Microsoft no resuelva el problema, es descargar e instalar en forma manual ese parche desde aqui:
Actualización de seguridad para Windows XP (KB913446)
Ref.:
SANS ISC: "Problems with MS patch KB913446 (for the IGMP issue, MS06-007)"
http://isc.sans.org/diary.php?storyid=1121
Resumen de los Boletines de Microsoft del 14 de Febrero (en ingles):
http://www.microsoft.com/technet/security/bulletin/ms06-feb.mspx
Nota: en pocas horas más, los boletines debieran estar disponibles en Español por aquí
[Actualización 15/02/2006, 02:59 a.m. Arg.]
La gente de Microsoft ha confirmado la existencia del problema en este post del "Microsoft Security Response Center Blog":
http://blogs.technet.com/msrc/archive/2006/02/14/419572.aspx
En una nueva actualización del post original, el SANS ISC informa que el problema parece haber sido solucionado.
[Actualización 16/02, 02:59 a.m.]
En efecto, el problema fue resuelto en el día de ayer, según se explica en este post del "Microsoft Security Response Center Blog":
http://blogs.technet.com/msrc/archive/2006/02/15/419604.aspx
|
Vulnerabilidad arrastrar-y-soltar en Internet Explorer (0-day)
Se ha identificado una vulnerabilidad en Microsoft Internet Explorer, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario en el sistema del usuario atacado.
El problema es debido a que Internet Explorer no procesa correctamente ciertos eventos arrastrar-y-soltar.
Un usuario remoto puede crear un html que explote la duración de una operación arrastrar-y-soltar y potencialmente ocasionar la instalación de archivos arbitrarios en el sistema del usuario atacado.
Esto puede ser explotado por sitios web maliciosos para traspasar restricciones de seguridad e insertar ejecutables arbitrarios en un sistema vulnerable, convenciendo al usuario para que seleccione y arrastre un objeto desde una ventana del IE especialmente alterada hacia otra ventana que apunte a recursos locales.
La explotación exitosa de esta vulnerabilidad requerirá de una considerable interacción por parte del usuario, y dependerá de la habilidad del codigo html para predecir el momento del evento de arrastre.
Microsoft fue notificado de esta vulnerabilidad el 3 de agosto de 2005.
No existe solución para esta vulnerabilidad por el momento.
Microsoft planea incluir el parche en Windows Server 2003 SP2 yWindows XP SP3.
Recomendacion:
Desactivar Active Scripting (ActiveX) en las Zonas de seguridad Internet e Intranet Local.
Existen otras sugerencias mas, como por ejemplo:
- Setear el Kill Bit de Shell.Explorer Control, CLSID {8856F961-340A-11D0-A96B-00C04FD705A2}
- Configurar el IE para prevenir la navegación hacia la Zona Intranet Local (Windows XP SP2, Windows Server 2003 SP1)
Créditos: Matthew Murphy Productos afectados: * Microsoft Internet Explorer 5.01 * Microsoft Internet Explorer 5.5 * Microsoft Internet Explorer 6.0 - Windows 98 - Windows 98 SE - Windows ME - Windows 2000 - Windows XP - Windows Server 2003 Ref.: SecurityTracker Alert ID: 1015049 Microsoft Internet Explorer Drag-and-Drop Timing May Let Remote Users Install Arbitrary Files http://securitytracker.com/id?1015049FrSIRT/ADV-2006-0553 Microsoft Internet Explorer Drag and Drop Events Timing Vulnerability http://www.frsirt.com/english/advisories/2006/0553SecuriTeam Microsoft Internet Explorer Drag-and-Drop Redeux http://www.securiteam.com/windowsntfocus/5MP0B0UHPA.htmlSecuriTeam Blog Internet Explorer drag&drop 0day http://blogs.securiteam.com/index.php/archives/286Microsoft Security Response Center Blog Information on IE Drag and Drop Issue http://blogs.technet.com/msrc/archive/2006/02/13/419439.aspx[Full-disclosure] Internet Explorer drag&drop 0day http://seclists.org/lists/fulldisclosure/2006/Feb/0258.html
|
Falso positivo en Microsoft AntiSpyware puede corromper a Symantec Norton Antivirus
Un falso positivo introducido en una reciente actualización de Microsoft AntiSpyware (software antiespías aún en fase beta), está causando serios problemas a usuarios que también utilizan Norton Antivirus de Symantec, ya que detecta erróneamente a cierta entrada en el registro de Windows perteneciente a este antivirus como un ladrón de contraseñas, invitando al usuario a eliminarla.
Según se observa en varios posts en los newsgroups de usuarios de este popular antiespías, las definiciones recientes (version 5805) detectan la mencionada clave
HKEY_LOCAL_MACHINE\Software\Intel\Landesk\VirusProtect6
correspondiente al Norton, como PWS.Bancos.A.
Si el usuario remueve esta clave (con sus correspondientes sub-claves), Norton Antivirus dejará de funcionar correctamente y ya no continuará brindando protección antivirus al equipo.
Los usuarios de Norton Antivirus afectados por este problema, podrán restaurar el sistema a un punto anterior al borrado de esa clave del registro, o bien reinstalar el antivirus nuevamente.
El problema generado por el software de Microsoft, parece haber sido resuelto mediante una nueva actualización de su producto (versión 5807).
Ref.:
SecurityFix - Brian Krebs on Computer Security
Microsoft Anti-Spyware Deleting Norton Anti-Virus
Algunos ejemplos de posts en AntiSpyware newsgroups:
|
Testeados varios productos antivirus por www.virus.gr
www.virus.gr realizó un test de varios productos antivirus y antitroyanos entre el 14 y 22 de diciembre de 2005.
Este test se llevó a cabo en Windows XP Professional SP1 en un P4 2800 Mhz y 512MB DDRAM.
Los distintos programas antivirus estaban al día tanto en definiciones de virus como en actualizaciones de programa y fueron utilizados con sus capacidades de detección al máximo, como por ejemplo, su heurística activa y escaneos profundos (no se utilizó la configuración por defecto), lo cual podría derivar en la detección de falsos positivos.
Se utilizaron 113334 muestras de virus en esta prueba.
Los resultados de detección son los siguientes:
Ranking
1. Kaspersky Personal Pro version 5.0.390- 99.46%
Kaspersky 2006 beta version 6.0.15.222- 99.46%
2. F-Secure 2006 version 6.10.330 - 96.92%
3. CyberScrub version 1.0 - 96.62%
4. eScan Virus Control version 2.6.522.9 - 95.21%
5. McAfee version 10.0.27 - 94.80%
6. BitDefender version 9 - 90.75%
7. Nod32 version 2.50.41 - 88.79%
8. AntiVir Personal version 6.32.00.51 - 86.55%
9. MKS_VIR 2005 - 86.16%
10. Norton Professional version 2006 - 85.17%
11. F-Prot version 3.16d - 84.96%
12. Dr. Web version 4.33 - 84.68%
13. Panda Titanium 2006 version 5.01.00 - 82.02%
14. Virus Chaser version 5.0a - 79.37%
15. AVG version 7.1.371 - 77.97%
16. PC-Cillin 2006 version 14.00.1341 - 77.84%
17. Avast version 4.6.744 - 76.93%
18. BullGuard version 6 - 74.02%
19. UNA version 1.83 - 69.83%
20. Norman version 5.83.07 - 69.13%
21. Sophos Sweep version 3.99 - 67.76%
22. VBA32 version 3.10.5 - 63.36%
23. Zondex Guard version 5.3.3 - 56.81%
24. Vexira 2005 version 5.001.32 - 51.62%
25. ClamWin version 0.87.1 - 48.45%
26. E-Trust version 7.0.6.7 - 47.84%
27. ZoneAlarm with VET Antivirus 6.1.737.000 - 47.70%
28. Digital Patrol version 5.00.08 - 47.02%
29. Ewido version 3.5 - 46.31%
30. V3Pro 2004 - 44.16%
31. Solo 4.0 version 3.1.0 - 42.45%
32. Fire version 2.7 - 38.38%
33. Protector Plus version 7.2.H01 - 38.06%
34. A Squared Personal version 1.6 - 35.31%
35. Quick Heal version 8.00 - 33.76%
36. ViRobot Expert version 4.0 - 32.37%
37. AntiTrojan Shield version 2.1.0.14 - 26.45%
38. PC Door Guard version 4.2.0.35- 26.05%
39. Trojan Hunter version 4.2.908 - 11.53%
40. VirIT version 5.2.53 - 10.33%
41. Tauscan version 1.70.1414 - 7.21%
42. Trojan Remover version 6.4.4 - 7.19%
43. The Cleaner version 4.1.42.52 - 5.97%
44. CounterSpy version 1.5.82 - 5.87%
45. SpySweeper version 4.5.7.642 - 2.99%
46. IP Armor version 5.46.0703 - 2.46%
47. Hacker Eliminator version 1.2 - 1.77%
48. Spyware Doctor version 3.2.2.453 - 1.55%
49. Abacre 1.3 - 0.00%
50. SpyHunter 2.0 - 0.00%
Ref.
http://www.virus.gr/english/fullxml/default.asp?id=72&mnu=72
|
Vulnerabilidad en Internet Explorer 5.x al procesar archivos WMF
Se ha identificado una vulnerabilidad en Microsoft Internet Explorer, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario.
El fallo es debido a un error de corrupción de memoria al procesar archivos de imágen Windows Metafile (WMF) que contengan un encabezado especialmente alterado en su valor tamaño (size).
Esto puede ser explotado para ejecutar código arbitrario, por ejemplo, convenciendo al usuario atacado para que visite un sitio web que albergue un archivo WMF especialmente alterado o mediante un email que contenga un adjunto especialmente alterado.
Productos afectados:
• Microsoft Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000 Service Pack 4
• Microsoft Internet Explorer 5.5 Service Pack 2 en Microsoft Windows Millennium
Productos no afectados:
• Internet Explorer para Microsoft Windows XP SP 1 y Windows XP SP 2
• Internet Explorer para Microsoft Windows XP Professional 64 Bit
• Internet Explorer para Microsoft Windows Server 2003 y Windows Server 2003 SP 1
• Internet Explorer para Windows Server 2003 para Sistemas basados en Itanium
• Internet Explorer para Windows Server 2003 con SP 1 para Sistemas basados en Itanium
• Internet Explorer para Windows Server 2003 x64 Edition
• Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 SP 4
• Internet Explorer 6 Service Pack 1 en Microsoft Windows 98
• Internet Explorer 6 Service Pack 1 en Microsoft Windows 98 SE
• Internet Explorer 6 Service Pack 1 en Microsoft Windows ME
Recomendación de Microsoft:
Actualizar a Internet Explorer 6 SP1, el cual no está afectado.
Descarga de Internet Explorer 6 Service Pack 1 idioma Español
Ref.:
http://www.frsirt.com/english/advisories/2006/0469
http://secunia.com/advisories/18729/
http://www.microsoft.com/technet/security/advisory/913333.mspx
|
Fallo en The Bat! 2.x permite falsear encabezados
Introducción:
The Bat! es un programa de correo fácil de usar, poderoso y seguro (comparado con otros). Posee varias funcionalidades profesionales como templates, macros, filtro Bayesiano para el SPAM (correo basura), etc. Este es un producto comercial de RitLabs.
Vulnerabilidad:
Existe un defecto de diseño en la forma en que The Bat! muestra los mensajes con formato "Content-Type: message/partial". Este tipo de mensajes, son distribuidos en partes más pequeñas y luego son reconstruidos en un único mensaje al ser recibidos por el gestor de correo. Este mecanismo denominado "Message Fragmentation and Reassembly" (RFC 2046 - 5.2.2.1) suele ser utilizado a efectos de enviar mensajes de gran tamaño cuando agentes de transporte intermedios limitan el tamaño de los mismos.
"Content-Type: message/partial" indica entonces que el cuerpo del mensaje contiene un fragmento del mismo.
Debido a este problema en The Bat!, es posible falsear los encabezados RFC 822 o el mensaje original, como por ejemplo, las líneas "Received:" y "Message-ID:". La explotación exitosa de este fallo posibilita la creación de un mensaje "no rastreable", y falsear el origen del mismo, incluyendo la información de la red del remitente.
Detalles:
The Bat! re-ensambla silenciosamente los mensajes parciales y muestra datos encapsulados. Los encabezados que muestra son aquellos del mensaje encapsulado, perdiéndose por completo los encabezados reales.
Exploit - Prueba de Concepto (PoC):
Reemplazar @example.com por la direccion de destino
http://www.security.nnov.ru/files/thebatexploit.txt
Recomendación:
No confiar en los encabezados que muestra The Bat! 2.x
Versiones afectadas:
El fallo ha sido verificado en The Bat! 2.12.04, otras versiones anteriores también podrían estar afectadas.
Solución:
Actualizar a The Bat! 3.5 (o superior).
http://www.thebat-es.com/download.html
Créditos:
3APA3A - http://www.security.nnov.ru/
Ref.:
SECURITY.NNOV: The Bat! 2.x message headers spoofing (06.02.2006)
http://www.security.nnov.ru/Ldocument310.html
[Actualización 08/02/2006]
Añadida mayor información sobre versiones afectadas y no afectadas.
|
DoS en Internet Explorer con Shockwave Flash [JScript's document.write() method]
Se ha reportado una vulnerabilidad del tipo DoS (Denegación de Servicio) en Internet Explorer.
Un usuario remoto puede crear un archivo html que contenga código script especialmente alterado que, al ser cargado por el navegador del usuario atacado, ocasionará el fallo o cuelgue del mismo.
El código script invoca un archivo Shockwave Flash para generar el fallo.
Existen un par de exploits de demostración en las siguientes direcciones:
DoS exploit en IE:
http://www.anspi.pl/~porkythepig/iedown.html
Cuelgue al oprimir el botón derecho del mouse:
http://www.anspi.pl/~porkythepig/index.html
Plataformas vulnerables en que fue testeado el IE:
Windows 2000 sp4 con todos los parches al día
Windows XP sp2
Windows XP64
Windows 98 SE
Según el autor de los exploits, la posibilidad de ejecutar código arbitrario mediante este fallo aún no ha sido verificada, aunque podría existir.
Solución:
No existe solución para este fallo por el momento.
Créditos:
porkythepig
Ref.:
SecurityTracker Alert ID: 1015559
Microsoft Internet Explorer Shockwave Flash Scripting Bug Lets Remote Users Deny Service
http://securitytracker.com/id?1015559
Bugtraq:
Internet Explorer remotely exploitable vulnerability in JScript's document.write() method
http://seclists.org/lists/bugtraq/2006/Feb/0010.html
|
Mapa mundial de máquinas infectadas con el gusano Kama Sutra
La gente de F-Secure ha estado operando en conjunto con RCN, la compañía que aloja el contador de infecciones utilizado por el gusano Nyxem.E (alias Kama Sutra).
Luego de filtrar las direcciones IP de los (ro)bots que han estado haciendo incrementar el contador últimamente, F-secure utilizó su tecnología WORLMAP para mapear las direcciones IP hacia un mapa.
Como resultado de ésto obtuvieron una visión de las máquinas infectadas en todo el mundo.
Nyxem.E comienza a sobrescribir archivos media hora después de que la máquina infectada sea iniciada, el día 3 de cada mes. F-Secure le agradece a Jason Nealis y Chris Jackman por su generosa ayuda en la investigación de este asunto. Entrada relacionada: http://marcelo.zoomblog.com/archivo/2006/01/25/alerta-Crecen-las-infecciones-con-el-g.htmlRef.: F-Secure Blog: Nyxem on a world map http://www.f-secure.com/weblog/archives/archive-022006.html#00000800URL del "contador secreto" (alterado por bots) del gusano Kama Sutra (Nyxem.E): http://webstats.web.rcn.net/cgi-bin/Count.cgi?df=765247[Actualización 04/02/2006]: Añadido enlace a mapa en alta resolución, URL del contador, e información omitida inicialmente.
|
Mozilla Firefox 1.5.0.1 resuelve múltiples vulnerabilidades
Se han identificado ocho vulnerabilidades en Mozilla Firefox (y otros productos Mozilla), las cuales podrían ser explotadas por atacantes remotos para traspasar restricciones de seguridad, realizar ataques XSS, y potencialmente, revelar información sensible y ejecutar código arbitrario.
El primer problema es debido a errores en el motor Javascript que falla en proteger correctamente ciertas variables temporales durante la recolección de basura ( garbage collection), lo cual podría ser explotado por sitios web maliciosos para ocasionar una corrupción de memoria y potencialmente, ejecutar código arbitrario. Una de estas vulnerabilidades fue introducida durante el desarrollo de Firefox 1.5 y no afecta a Firefox 1.0 Productos afectados: Firefox, Thunderbird y Mozilla Suite Resuelto en: Firefox 1.5.0.1 SeaMonkey 1.0 Recomendación para Thunderbird y Mozilla Suite Mail: No habilitar Javascript (por defecto ya viene desactivado) Ref.: Mozilla Foundation Security Advisory 2006-01Title: JavaScript garbage-collection hazards Gravedad: Moderada
El segundo fallo es debido a un error de corrupción de memoria al cambiar el estilo de un elemento de "position:relative" a "position:static", lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario. Este fallo fue introducido durante el desarrollo de Firefox 1.5 y SeaMonkey 1.0, y no afecta a Firefox 1.0 o Mozilla Suite 1.7. Productos afectados: Firefox, Thunderbird, SeaMonkey Resuelto en: Firefox 1.5.0.1 SeaMonkey 1.0 Recomendación para Thunderbird y Mozilla Suite Mail: No habilitar Javascript (por defecto ya viene desactivado) Ref.: Mozilla Foundation Security Advisory 2006-02Title: Changing postion:relative to static corrupts memory Gravedad: Moderada
La tercer vulnerabilidad es debida a un error al manejar gran cantidad de información en el archivo "history.dat" (p.ej. por un título de página demasiado extenso), lo cual podría ser explotado mediante una página web especialmente alterada para ocasionar que el navegador falle o consuma una gran cantidad de recursos del sistema al ser reiniciado. Productos afectados: Firefox, Mozilla Suite Resuelto en: Firefox 1.5.0.1 SeaMonkey 1.0 Ref.: Mozilla Foundation Security Advisory 2006-03Title: Long document title causes startup denial of service Gravedad: Leve
El cuarto problema es debido a un error de corrupción de memoria al invocar al método "QueryInterface", de los objetos Location y Navigator, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario. El fallo parece haber sido introducido durante el desarrollo de Firefox 1.5 y SeaMonkey 1.0. Firefox 1.0 y Mozilla Suite 1.7 no aparentan ser vulnerables. Productos afectados: Firefox, Thunderbird, SeaMonkey Resuelto en: Firefox 1.5.0.1 SeaMonkey 1.0 Recomendación para Thunderbird y Mozilla Suite Mail: No habilitar Javascript (por defecto ya viene desactivado) Ref.: Mozilla Foundation Security Advisory 2006-04Title: Memory corruption via QueryInterface on Location, Navigator objects Gravedad: Moderada
El quinto fallo es debido a un error en la función "XULDocument.persist()" que no valida adecuadamente el atributo name (nombre), lo cual podría ser explotado por atacantes remotos para ejecutar comandos Javascript arbitrarios con los permisos del navegador mediante la inyección de XML en "localstore.rdf" que será leído al iniciar. Productos afectados: Firefox, Thunderbird, Mozilla Suite Resuelto en: Firefox 1.5.0.1 SeaMonkey 1.0 Recomendación para Thunderbird y Mozilla Suite Mail: No habilitar Javascript (por defecto ya viene desactivado) Ref.: Mozilla Foundation Security Advisory 2006-05Title: Localstore.rdf XML injection through XULDocument.persist() Gravedad: Critica
La sexta vulnerabilidad es debida a errores de desbordamiento de entero en las funcionalidades E4X, SVG, y Canvas, lo cual podría ser explotado por sitios web maliciosos para ejecutar código arbitrario. Productos afectados: Firefox, Thunderbird, SeaMonkey Resuelto en: Firefox 1.5.0.1 SeaMonkey 1.0 Recomendación para Thunderbird y Mozilla Suite Mail: No habilitar Javascript (por defecto ya viene desactivado) Ref.: Mozilla Foundation Security Advisory 2006-06Title: Integer overflows in E4X, SVG, and Canvas Gravedad: Moderada
El séptimo fallo es debido a un bug en el procesador XML, que permite que lea pasando el final del buffer y podría ser explotado por atacantes remotos para ocasionar el cuelgue de la aplicación vulnerable, y potencialmente, incorporar información privada dentro de DOM de un documento XML, lo cual no se sabe con certeza si es posible. Productos afectados: Firefox, Thunderbird, SeaMonkey Resuelto en: Firefox 1.5.0.1 SeaMonkey 1.0 Recomendación para Thunderbird y Mozilla Suite Mail: No habilitar Javascript (por defecto ya viene desactivado) Ref.: Mozilla Foundation Security Advisory 2006-07Title: Read beyond buffer while parsing XML Gravedad: Leve
El octavo fallo es debido a un error en la implementación E4X que expone el objeto interno "AnyName" a contenido web, lo cual podría ser explotado por sitios web maliciosos para traspasar restricciones de seguridad. Nota: E4X no estaba soportado en Firefox 1.0 o Mozilla 1.7. Productos afectados: Firefox, Thunderbird, SeaMonkey Resuelto en: Firefox 1.5.0.1 SeaMonkey 1.0 Recomendación para Thunderbird y Mozilla Suite Mail: No habilitar Javascript (por defecto ya viene desactivado) Ref.: Mozilla Foundation Security Advisory 2006-08Title: "AnyName" entrainment and access control hazard Gravedad: Leve
Créditos: Vulnerabilidades reportadas por Igor Bukanov, Martijn Wargers, ZIPLOCK, Georgi Guninski, moz_bug_r_a4, Johnny Stenback y Brendan Eich. Descarga de versiones no vulnerables: Firefox 1.5.0.1 http://www.mozilla.com/firefox/all.htmlSeaMonkey 1.0 (en reemplazo de Mozilla Suite 1.7.x) http://www.mozilla.org/projects/seamonkey/releases/LangPack Español: http://nave.escomposlinux.org/productos/descargas.phpRef.: FrSIRT/ADV-2006-0413 Mozilla Products Multiple Memory Corruption and Security Bypass Issues http://www.frsirt.com/english/advisories/2006/0413[Actualización 07/02/2006]H D Moore del "Metasploit Project" ha publicado un exploit funcional para la versión de Linux de Mozilla Firefox 1.5 en milw0rm, motivo por el cual, el " Mozilla Foundation Security Advisory 2006-04" ha sido recalificado como de gravedad crítica. milw0rm: Mozilla Firefox 1.5 QueryInterface() Remote Code Execution Exploit http://www.milw0rm.com/id.php?id=1474
|
Descubierta primer vulnerabilidad en Internet Explorer 7.0 Beta 2 (urlmon.dll DoS)
Tom Ferris estuvo probando e IE 7.0 Beta 2, y luego de 15 minutos de testeo encontró una vulnerabilidad en el mismo.
Estos son los detalles:
Existe una vulnerabilidad del tipo DoS en Microsoft Internet Explorer 7.0 Beta 2 la cual permite a un atacante ocasionar el cuelgue del navegador, o bien ejecutar código arbitrario.
Al abrir un archivo .html especialmente alterado, urlmon.dll procesa incorrectamente el 'BGSOUND SRC=file://---' (aproximadamente 344 guiones) y ocasiona un crash (fallo del programa).
El siguiente código html generará el fallo:
> <BGSOUND
> SRC=file://---------------------------------------------------------------------
> --------------------------------------------------------------------------------
> --------------------------------------------------------------------------------
> --------------------------------------------------------------------------------
> ---------------------------------- >
(">" colocados delante intencionalmente)
PoC (prueba de concepto) que ocasiona el cuelgue del navegador:
http://www.security-protocols.com/poc/sp-x23.html
Tom Ferris ha reportado este fallo a Microsoft
Solución temporaria sugerida por Tom Ferris:
Utilizar Mozilla Firefox
Créditos:
Tom Ferris
Ref.:
Internet Explorer 7.0 Beta 2 urlmon.dll DoS
http://security-protocols.com/modules.php?name=News&file=article&sid=3169
Advisory: Internet Explorer 7.0 Beta 2 urlmon.dll DoS
http://www.security-protocols.com/advisory/sp-x23-advisory.txt
|
Firefox: Fallo en validación de propiedad '-moz-binding' permite ataques Cross Domain Scripting
Se ha descubierto una vulnerabilidad en los navegadores Mozilla, la cual podría ser explotada por atacantes remotos para traspasar restricciones de seguridad y obtener información sensible.
Este fallo es debido a un error de validación de origen al procesar ciertas Hojas de Estilo en Cascada CSS (Cascading Style Sheets) y documentos HTML que contengan la propiedad "-moz-binding" especialmente alterada utilizada en conjunción con el lenguaje XBL (eXtensible Bindings Language) , lo cual podría ser explotado por sitios maliciosos para ocasionar que código script malicioso sea ejecutado en el navegador bajo el contexto de seguridad de un dominio arbitrario, y así obtener acceso a información de cookies.
Productos afectados:
Mozilla Firefox 1.5 y anteriores
Mozilla Suite 1.7.12 y anteriores
Ref.:
FrSIRT/ADV-2006-0403
Mozilla Browsers CSS "moz-binding" Cross Domain Scripting Vulnerability
http://www.frsirt.com/english/advisories/2006/0403
SecurityTracker Alert ID: 1015553
Mozilla Firefox '-moz-binding' Property Validation Flaw Lets Remote Users Conduct Cross-Domain Scripting Attacks
http://securitytracker.com/id?1015553
Bugzilla Bug 324253
CVE-2006-0496 Do something about the XSS issues -moz-binding introduces
https://bugzilla.mozilla.org/show_bug.cgi?id=324253
|
Foro de AMD distribuía código malicioso por ataque con exploit WMF
El pasado lunes 30 de enero fue cerrado el foro de usuarios de AMD (Advanced Micro Devices chips) ya que se descubrió que alojaba un exploit para la vulnerabilidad WMF.
La noticia fue divulgada inicialmente en el Blog de F-Secure, en el cual se puede ver una captura de pantalla del IE con un cuadro de diálogo que invitaba a descargar un WMF malicioso al acceder al foro hackeado.
El problema parece haber ocurrido debido a que la compañía que alberga esos foros para AMD no había aplicado los parches de seguridad correspondientes para el software del foro, y fue atacado aprovechando algún agujero de seguridad en el mismo, convirtiéndose entonces el foro de AMD, en un distribuidor de codigo malicioso.
Una vez resuelto el problema, el foro fue puesto en línea nuevamente el lunes por la tarde.
Ref.:
AMD forums laid low by Windows exploit
By Tom Krazit, CNET News.com
http://news.zdnet.com/2100-1009_22-6033068.html
Blog F-Secure:
Exploits from AMD? - Posted by Mikko
http://www.f-secure.com/weblog/archives/archive-012006.html#00000795
|
Winamp 5.13 resuelve vulnerabilidad crítica (Playlist Remote Buffer Overflow)
Se ha descubierto una vulnerabilidad crítica en el popular reproductor Winamp, la cual puede ser explotada por atacantes remotos para ejecutar código arbitrario.
La vulnerabilidad es ocasionada debido a un error de límite durante el manejo de nombres de archivo que incluyan un "Computer Name" (nombre de computador).
Esto puede ser explotado para ocasionar un desbordamiento de buffer mediante una lista de reproducción (playlist [*.pls]) especialmente alterada que contenga un nombre de archivo que comience con un "Computer Name" demasiado extenso (alrededor de 1040 bytes)
La explotación exitosa de este fallo permite la ejecución de código arbitrario, por ejemplo, al visualizar una página web que contenga un iframe que enlace a un archivo .pls especialmente alterado.
La vulnerabilidad ha sido confirmada en Winamp 5.12. Otras versiones anteriores tambien podrían estar afectadas.
Importante:
Se hizo público un exploit que se aprovecha de esta vulnerabilidad:
Winamp 5.12 Remote Buffer Overflow Universal Exploit (Zero-Day)
Solución:
Actualizar a Winamp 5.13:
http://www.winamp.com/player/index.php
Ref.:
Secunia Advisory: SA18649
Winamp Computer Name Handling Buffer Overflow Vulnerability
http://secunia.com/advisories/18649/
SANS ISC:
"Winamp 5.x Remote Code Execution via Playlists"
http://isc.sans.org/diary.php?storyid=1080
FrSIRT - Exploits & Codes:
Nullsoft Winamp Player <= 5.12 PLS File Handling Remote Buffer Overflow Exploit
http://www.frsirt.com/exploits/20060129.winamp0day.c.php
|
Alerta: Crecen las infecciones con el gusano Kama Sutra (Nyxem / Blackmal / MyWife / Tearec)
El gusano Kama Sutra (también conocido como BlackWorm), se está propagando a gran escala.
En este momento el número de usuarios infectados está cercano a los 700.000, lo cual se sabe ya que este gusano se reporta a un servidor que contabiliza la cantidad de infecciones.
[Actualización 26/01/2006 02:15 a.m. Arg]
Si bien en un momento se creyó que la cantidad de infecciones estaban llegando a los dos millones (ver post en Sunbelt Blog), luego de un análisis de esto, en el Blog de SecuriTeam concluyeron que algún "gracioso" (probablemente el autor del gusano) estaba inflando el contador mediante un DDoS (ver post en Blog SecuriTeam via Sunbelt Blog). Se estima entonces, que el número aproximado es de 300.000 infecciones.
El gusano, disfrazado de contenido pornográfico, una vez ejecutado intenta inhabilitar conocidos productos antivirus y cortafuegos, además de propagarse tomando direcciones de correo electrónico de la PC infectada.
Todos los días 3 de cada mes, el gusano destruye ciertos archivos del usuario infectado reemplazándolos con el siguiente string (o cadena de caracteres) "DATA Error [47 0F 94 93 F4 K5]". El gusano atacará los archivos con extensiones DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD y DMP.
El nombre asignado al gusano "Kama Sutra" dependerá del fabricante del antivirus, por lo cual el siguiente listado (provisto por Andreas Marx de AV-Test.org) es de suma utilidad:
AntiVir Worm/KillAV.GR
Avast! Win32:VB-CD [Wrm]
AVG Worm/Generic.FX
BitDefender Win32.Worm.P2P.ABM
ClamAV Worm.VB-8
Command W32/Kapser.A@mm (exact)
Dr Web Win32.HLLM.Generic.391
eSafe Win32.VB.bi
eTrust-INO Win32/Blackmal.F!Worm
eTrust-VET Win32/Blackmal.F
Ewido Worm.VB.bi
F-Prot W32/Kapser.A@mm (exact)
F-Secure Email-Worm.Win32.Nyxem.e
Fortinet W32/Grew.A!wm
Ikarus Email-Worm.Win32.VB.BI
Kaspersky Email-Worm.Win32.Nyxem.e
McAfee W32/MyWife.d@MM
Nod32 Win32/VB.NEI worm
Norman W32/Small.KI
Panda W32/Tearec.A.worm
QuickHeal I-Worm.Nyxem.e
Sophos W32/Nyxem-D
Symantec W32.Blackmal.E@mm
Trend Micro WORM_GREW.A
VBA32 Email-Worm.Win32.VB.bi
VirusBuster Worm.P2P.VB.CIL
Ref.: http://sunbeltblog.blogspot.com/2006/01/february-3rd-is-possibly-d-day.htmlhttp://sunbeltblog.blogspot.com/2006/01/kama-sutra-worm.htmlhttp://www.f-secure.com/weblog/archives/archive-012006.html#00000787http://isc.sans.org/diary.php?storyid=1067http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=405Herramienta de desinfección de Symantec: W32.Blackmal@mm Removal ToolArtículo en Sophos (en español): El gusano Kama Sutra se extiende a gran velocidad
|
Internet Explorer 7 Build 5299 (Beta 2 Preview) filtrado al publico
[Actualización 01/02/2006]
IE 7 Beta2 disponible en forma oficial, ver este post.
El pasado viernes 20 de enero fue filtrado al público el "Internet Explorer 7 Build 5299 Beta 2 Preview" a través del foro de JCXP.net, junto a unas capturas de pantalla de la nueva versión de este navegador, aún en desarrollo. A pedido de Microsoft, fueron removidos los links de descarga del mencionado foro, que se encontraban en este post " Internet Explorer 7 Build 5299 (Beta 2 Preview)..." Notar que las instrucciones para poder instalar esa beta en Windows XP "No Genuinos" ;-) , no fueron removidas. Aún se puede conseguir una copia de esta beta del IE 7, por ejemplo, desde este post en el sitio cnbeta.com (en Chino)... http://www.cnbeta.com//modules.php?name=News&file=article&sid=9904... que se puede entender "un poco" mejor con una traducción al inglés mediante las Herramientas del idioma de Google: Internet Explorer 7 Build 5299 (Beta 2 Preview)De los dos enlaces de descarga provistos, el de Rapidshare ya fue removido. [Actualización 30/01/2006]El enlace de descarga de cnbeta ya no funciona, sin embargo se puede descargar de down.com donde además se explica como poner el IE 7 en español (usar bajo propio riesgo):http://www.9down.com/story.php?sid=6060Descarga "Internet Explorer 7 Build 5299 Beta 2 Preview":http://www.9down.com/downloads.php?fileid=269Leer comentarios en español sobre este IE 7 Beta2, y más capturas, en esta entrada de Denken Über:Internet Explorer 7 Build.5299http://www.uberbin.net/archivos/internet/internet-explorer-7-build5299.php
|
|
El Blog
Calendario
| <<
Julio 2017
|
| L | M | Mi | J | V | S | D |
| |
|
|
|
|
1 | 2 |
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 | | | | | | |
Alojado en
|
