Marcelo.ar

La libreta de direcciones de Mozilla Thunderbird permite campos de longitud ilimitada, lo cual podría ocasionar el fallo del programa si se importa un archivo ldif especialmente alterado.

La explotación exitosa de este fallo, requiere que el usuario atacado sea convencido para que importe un archivo ldif malicioso desde "Herramientas >>> Importar..." ("Tools >>> Import...") a efectos de colgar el programa.

Productos afectados:
Mozilla Thunderbird 1.5 y posiblemente versiones anteriores.

Ref.:
[Full-disclosure] Mozila Thunderbird 1.5 Address Book DoS
From: Javor Ninov <javor_at_securax.org>
Date: Fri, 17 Feb 2006 21:50:31 +0200
http://seclists.org/lists/fulldisclosure/2006/Feb/0403.html

Opera 8.52 es una actualización de seguridad recomendada.
Entre otras cosas, resuelve un problema de seguridad menor que ocasionaba que el navegador no muestre la URL correcta en la barra de estado (Secunia Advisory: SA17571), reemplazo de certificados de seguridad ya expirados de TrustCenter, y la resolución de un problema relacionado con la carga de Gmail.

Opera 8.52 Changelog:
http://opera.com/docs/changelogs/windows/852/

Descarga Opera 8.52:
http://www.opera.com/download/

Descarga Opera 8.52 (win) desde sitio ftp
[es-ES]: Español España / [es-LA]: Español Latinoamérica:
ftp://ftp.opera.com/pub/opera/win/852/

Ref.:
Opera Watch Blog:  Opera 8.52 unofficially released
http://operawatch.blogspot.com/2006/02/opera-852-unofficially-released.html

Calendar of Updates:
Opera 8.52 (Public Event)
http://www.dozleng.com/updates/calendar23006

Se han identificado dos vulnerabilidades en Winamp 5.13, las cuales podrían ser utilizadas por atacantes remotos para comprometer el sistema del usuario atacado.

• El primer problema es debido a un error de desbordamiento de buffer al procesar una lista de reproducción especialmente alterada conteniendo un nombre de archivo demasiado extenso.
• El segundo fallo es debido a un error de desbordamiento de buffer al procesar una lista de reproducción .m3u cuyo nombre de archivo sea demasiado extenso.

Créditos:
Vulnerabilidades reportadas por Alan McCaig y Sowhat

Versiones afectadas:
Los fallos han sido reportados en la versión 5.13. Otras versiones anteriores también podrían estar afectadas.

Nota:
Calificación de estos fallos según su gravedad

- Secunia habla de "debilidades en Winamp" y califica los fallos como "No críticos" ya que solo ocasionan una condición de Denegación de Servicio (DoS) no habiéndose probado aún la posibilidad de ejecución de código arbitrario.

- FrSIRT los califica como "Críticos" ya que consideran que la ejecución de código arbitrario podría ser posible.

- SecurityTracker califica el impacto de los mismos como de "Ejecución de código a través de la red" a pesar de informar que la ejecución de código arbitrario no fue confirmada en el reporte original de Alan McCaig.

Ref.:
SecurityTracker Alert ID: 1015621
Winamp Buffer Overflow in Processing '.m3u' File Names May Let Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2006/Feb/1015621.html

Secunia Advisory: SA18848
Winamp File Handling Buffer Overflow Weaknesses
http://secunia.com/advisories/18848/

FrSIRT/ADV-2006-0613
Nullsoft Winamp Playlist Handling Multiple Buffer Overflow Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0613

[Full-disclosure] Winamp .m3u fun again ;)
Winamp .m3u Remote Buffer Overflow Vulnerability (0day)
http://seclists.org/lists/fulldisclosure/2006/Feb/0352.html

Ya son cuatro los exploits disponibles para las vulnerabilidades recientemente parcheadas por Microsoft en su Reproductor Windows Media (MS06-005 - MS06-006)

Exploits disponibles en Milw0rm:
2006-02-17  MS Windows Media Player 9 Plugin Overflow Exploit (MS06-006) (meta)
2006-02-17  MS Windows Media Player 10 Plugin Overflow Exploit (MS06-006)
2006-02-16  Windows Media Player 7.1 <= 10 BMP Heap Overflow PoC (MS06-005) (2)
2006-02-15  Windows Media Player 7.1 <= 10 BMP Heap Overflow PoC (MS06-005)

Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/02/16/publicado-exploit-para-grave-vulnerabi.html

Se ha hecho público un exploit para la grave vulnerabilidad que afecta al reproductor Windows Media Player, resuelta por la actualización 911565 (MS06-005).

La vulnerabilidad es ocasionada debido a un error de límite en el procesamiento de archivos bitmap (.bmp) y puede ser explotada para ocasionar un desbordamiento de buffer basado en el heap, mediante un archivo bitmap especialmente alterado.

La explotación exitosa de esta vulnerabilidad permite la ejecución de código arbitrario, por ejemplo, cuando el usuario visita una pagina web maliciosa, o abre un documento de Word conteniendo una imágen BMP maliciosa.

eEye Digital Security, que reportó esta vulnerabilidad a Microsoft el 17 de Octubre de 2005, informa que están afectadas todas las versiones del reproductor desde la 7.1 a la 10, en todas las versiones de Windows.

Software afectado:
• Microsoft Windows Media Player 7.1 al 10
* Windows NT 4.0
* Windows 98 / ME
* Windows 2000 SP4
* Windows XP SP1 / SP2
* Windows 2003

Software no afectado:
• Reproductor de Windows Media 6.4 en todos los sistemas operativos Microsoft Windows
• Reproductor de Windows Media 10 con Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 para sistemas con Itanium y Microsoft Windows Server 2003 con SP1 para sistemas con Itanium
• Microsoft Windows Server 2003 x64 Edition

Créditos:
Vulnerabilidad descubierta por Fang Xing, eEye Digital Security

Ref.:
Boletín de seguridad de Microsoft MS06-005
Una vulnerabilidad en el Reproductor de Windows Media podría permitir la ejecución remota de código (911565)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-005-IT.mspx

eEye Digital Security
Windows Media Player BMP Heap Overflow
http://www.eeye.com/html/research/advisories/AD20060214.html

Secunia Advisory: SA18835
Windows Media Player Bitmap File Processing Vulnerability
http://secunia.com/advisories/18835/

FrSIRT/ADV-2006-0574
Microsoft Windows Media Player BMP Handling Vulnerability (MS06-005)
http://www.frsirt.com/english/advisories/2006/0574

FrSIRT - Exploits & Codes
Microsoft Windows Media Player BMP Handling Buffer Overflow Exploit (MS06-005)
http://www.frsirt.com/exploits/20060215.wmp-ms06-005.cpp.php

En el SANS - Internet Storm Center informan que existen muchos usuarios con problemas para instalar el parche 913446 (MS06-007 Vulnerability in TCP/IP Could Allow Denial of Service) en forma automática.
Si bien el parche se descarga, falla al instalarse con este "Error Code: 0x80242006".

La solución, mientras Microsoft no resuelva el problema, es descargar e instalar en forma manual ese parche desde aqui:
Actualización de seguridad para Windows XP (KB913446)

Ref.:
SANS ISC: "Problems with MS patch KB913446 (for the IGMP issue, MS06-007)"
http://isc.sans.org/diary.php?storyid=1121

Resumen de los Boletines de Microsoft del 14 de Febrero (en ingles):
http://www.microsoft.com/technet/security/bulletin/ms06-feb.mspx

Nota: en pocas horas más, los boletines debieran estar disponibles en Español por aquí

[Actualización 15/02/2006, 02:59 a.m. Arg.]
La gente de Microsoft ha confirmado la existencia del problema en este post del "Microsoft Security Response Center Blog":
http://blogs.technet.com/msrc/archive/2006/02/14/419572.aspx

En una nueva actualización del post original, el SANS ISC informa que el problema parece haber sido solucionado.

[Actualización 16/02, 02:59 a.m.]
En efecto, el problema fue resuelto en el día de ayer, según se explica en este post del "Microsoft Security Response Center Blog":
http://blogs.technet.com/msrc/archive/2006/02/15/419604.aspx

Se ha identificado una vulnerabilidad en Microsoft Internet Explorer, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario en el sistema del usuario atacado.

El problema es debido a que Internet Explorer no procesa correctamente ciertos eventos arrastrar-y-soltar.
Un usuario remoto puede crear un html que explote la duración de una operación arrastrar-y-soltar y potencialmente ocasionar la instalación de archivos arbitrarios en el sistema del usuario atacado.

Esto puede ser explotado por sitios web maliciosos para traspasar restricciones de seguridad e insertar ejecutables arbitrarios en un sistema vulnerable, convenciendo al usuario para que seleccione y arrastre un objeto desde una ventana del IE especialmente alterada hacia otra ventana que apunte a recursos locales.

La explotación exitosa de esta vulnerabilidad requerirá de una considerable interacción por parte del usuario, y dependerá de la habilidad del codigo html para predecir el momento del evento de arrastre.

Microsoft fue notificado de esta vulnerabilidad el 3 de agosto de 2005.
No existe solución para esta vulnerabilidad por el momento.
Microsoft planea incluir el parche en Windows Server 2003 SP2 yWindows XP SP3.

Recomendacion:
Desactivar Active Scripting (ActiveX) en las Zonas de seguridad Internet e Intranet Local.

Existen otras sugerencias mas, como por ejemplo:

• Setear el Kill Bit de Shell.Explorer Control, CLSID {8856F961-340A-11D0-A96B-00C04FD705A2}
• Configurar el IE para prevenir la navegación hacia la Zona Intranet Local  (Windows XP SP2, Windows Server 2003 SP1)

Créditos:
Matthew Murphy

Productos afectados:
* Microsoft Internet Explorer 5.01
* Microsoft Internet Explorer 5.5
* Microsoft Internet Explorer 6.0
- Windows 98
- Windows 98 SE
- Windows ME
- Windows 2000
- Windows XP
- Windows Server 2003

Ref.:
SecurityTracker Alert ID: 1015049
Microsoft Internet Explorer Drag-and-Drop Timing May Let Remote Users Install Arbitrary Files
http://securitytracker.com/id?1015049

FrSIRT/ADV-2006-0553
Microsoft Internet Explorer Drag and Drop Events Timing Vulnerability
http://www.frsirt.com/english/advisories/2006/0553

SecuriTeam
Microsoft Internet Explorer Drag-and-Drop Redeux
http://www.securiteam.com/windowsntfocus/5MP0B0UHPA.html

SecuriTeam Blog
Internet Explorer drag&drop 0day
http://blogs.securiteam.com/index.php/archives/286

Microsoft Security Response Center Blog
Information on IE Drag and Drop Issue
http://blogs.technet.com/msrc/archive/2006/02/13/419439.aspx

[Full-disclosure] Internet Explorer drag&drop 0day
http://seclists.org/lists/fulldisclosure/2006/Feb/0258.html

Un falso positivo introducido en una reciente actualización de Microsoft AntiSpyware (software antiespías aún en fase beta), está causando serios problemas a usuarios que también utilizan Norton Antivirus de Symantec, ya que detecta erróneamente a cierta entrada en el registro de Windows perteneciente a este antivirus como un ladrón de contraseñas, invitando al usuario a eliminarla.
Según se observa en varios posts en los newsgroups de usuarios de este popular antiespías, las definiciones recientes (version 5805) detectan la mencionada clave
HKEY_LOCAL_MACHINE\Software\Intel\Landesk\VirusProtect6
correspondiente al Norton, como PWS.Bancos.A.

Si el usuario remueve esta clave (con sus correspondientes sub-claves), Norton Antivirus dejará de funcionar correctamente y ya no continuará brindando protección antivirus al equipo.

Los usuarios de Norton Antivirus afectados por este problema, podrán restaurar el sistema a un punto anterior al borrado de esa clave del registro, o bien reinstalar el antivirus nuevamente.

El problema generado por el software de Microsoft, parece haber sido resuelto mediante una nueva actualización de su producto (versión 5807).

Ref.:
SecurityFix - Brian Krebs on Computer Security
Microsoft Anti-Spyware Deleting Norton Anti-Virus

Algunos ejemplos de posts en AntiSpyware newsgroups:

• Norton AntiVirus disabled ater removing password stealer
• Antispyware updates /symantec Antivirus
• SAV Corporate Edition detected as PWS.Bancos.A Password Stealer

www.virus.gr realizó un test de varios productos antivirus y antitroyanos entre el 14 y 22 de diciembre de 2005.
Este test se llevó a cabo en Windows XP Professional SP1 en un P4 2800 Mhz y  512MB DDRAM.
Los distintos programas antivirus estaban al día tanto en definiciones de virus como en actualizaciones de programa y fueron utilizados con sus capacidades de detección al máximo, como por ejemplo, su heurística activa y escaneos profundos (no se utilizó la configuración por defecto), lo cual podría derivar en la detección de falsos positivos.
Se utilizaron 113334 muestras de virus en esta prueba.

Los resultados de detección son los siguientes:

Ranking

1. Kaspersky Personal Pro version 5.0.390- 99.46%
   Kaspersky 2006 beta version 6.0.15.222- 99.46%
2. F-Secure 2006 version 6.10.330 - 96.92%
3. CyberScrub version 1.0 - 96.62%
4. eScan Virus Control version 2.6.522.9 - 95.21%
5. McAfee version 10.0.27 - 94.80%
6. BitDefender version 9 - 90.75%
7. Nod32 version 2.50.41 - 88.79%
8. AntiVir Personal version 6.32.00.51 - 86.55%
9. MKS_VIR 2005 - 86.16%
10. Norton Professional version 2006 - 85.17%
11. F-Prot version 3.16d - 84.96%
12. Dr. Web version 4.33 - 84.68%
13. Panda Titanium 2006 version 5.01.00 - 82.02%
14. Virus Chaser version 5.0a - 79.37%
15. AVG version 7.1.371 - 77.97%
16. PC-Cillin 2006 version 14.00.1341 - 77.84%
17. Avast version 4.6.744 - 76.93%
18. BullGuard version 6 - 74.02%
19. UNA version 1.83 - 69.83%
20. Norman version 5.83.07 - 69.13%
21. Sophos Sweep version 3.99 - 67.76%
22. VBA32 version 3.10.5 - 63.36%
23. Zondex Guard version 5.3.3 - 56.81%
24. Vexira 2005 version 5.001.32 - 51.62%
25. ClamWin version 0.87.1 - 48.45%
26. E-Trust version 7.0.6.7 - 47.84%
27. ZoneAlarm with VET Antivirus 6.1.737.000 - 47.70%
28. Digital Patrol version 5.00.08 - 47.02%
29. Ewido version 3.5 - 46.31%
30. V3Pro 2004 - 44.16%
31. Solo 4.0 version 3.1.0 - 42.45%
32. Fire version 2.7 - 38.38%
33. Protector Plus version 7.2.H01 - 38.06%
34. A Squared Personal version 1.6 - 35.31%
35. Quick Heal version 8.00 - 33.76%
36. ViRobot Expert version 4.0 - 32.37%
37. AntiTrojan Shield version 2.1.0.14 - 26.45%
38. PC Door Guard version 4.2.0.35- 26.05%
39. Trojan Hunter version 4.2.908 - 11.53%
40. VirIT version 5.2.53 - 10.33%
41. Tauscan version 1.70.1414 - 7.21%
42. Trojan Remover version 6.4.4 - 7.19%
43. The Cleaner version 4.1.42.52 - 5.97%
44. CounterSpy version 1.5.82 - 5.87%
45. SpySweeper version 4.5.7.642 - 2.99%
46. IP Armor version 5.46.0703 - 2.46%
47. Hacker Eliminator version 1.2 - 1.77%
48. Spyware Doctor version 3.2.2.453 - 1.55%
49. Abacre 1.3 - 0.00%
50. SpyHunter 2.0 - 0.00%

Ref.
http://www.virus.gr/english/fullxml/default.asp?id=72&mnu=72

Se han identificado siete vulnerabilidades en la máquina virtual Java de Sun JRE (Java Runtime Environment), las cuales podrían ser explotadas por sitios web maliciosos para comprometer un sistema vulnerable. Estos fallos son debidos a errores en los APIs "reflection", lo cual podría ser explotado por atacantes para leer, escribir y ejecutar archivos locales arbitrarios con solo convencer al usuario víctima para que visite una página web especialmente alterada que contenga un applet de Java malicioso.

Poductos afectados:
* JDK y JRE 5.0 Update 5 y anteriores
* SDK y JRE 1.4.2_09 y anteriores
* SDK y JRE 1.3.1_16 y anteriores

Solución:
Actualizar a las versiones parcheadas

JDK y JRE 5.x:
Actualizar a JDK y JRE 5.0 Update 6
http://java.sun.com/j2se/1.5.0/download.jsp

SDK y JRE 1.4.x:
Actualizar a SDK and JRE 1.4.2_10
http://java.sun.com/j2se/1.4.2/download.html

SDK y JRE 1.3.x:
Actualizar a SDK and JRE 1.3.1_17
http://java.sun.com/j2se/1.3/download.html

Créditos:
Vulnerabilidades reportadas por Adam Gowdiak

Ref.:
http://www.frsirt.com/english/advisories/2006/0467
http://secunia.com/advisories/18760/
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102171-1

Se ha identificado una vulnerabilidad en Microsoft Internet Explorer, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario.
El fallo es debido a un error de corrupción de memoria al procesar archivos de imágen Windows Metafile (WMF) que contengan un encabezado especialmente alterado en su valor tamaño (size).

Esto puede ser explotado para ejecutar código arbitrario, por ejemplo, convenciendo al usuario atacado para que visite un sitio web que albergue un archivo WMF especialmente alterado o mediante un email que contenga un adjunto especialmente alterado.

Productos afectados:

• Microsoft Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000 Service Pack 4
• Microsoft Internet Explorer 5.5 Service Pack 2 en Microsoft Windows Millennium

Productos no afectados:

• Internet Explorer para Microsoft Windows XP SP 1 y Windows XP SP 2
• Internet Explorer para Microsoft Windows XP Professional 64 Bit
• Internet Explorer para Microsoft Windows Server 2003 y Windows Server 2003 SP 1
• Internet Explorer para Windows Server 2003 para Sistemas basados en Itanium
• Internet Explorer para Windows Server 2003 con SP 1 para Sistemas basados en Itanium
• Internet Explorer para Windows Server 2003 x64 Edition
• Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 SP 4
• Internet Explorer 6 Service Pack 1 en Microsoft Windows 98
• Internet Explorer 6 Service Pack 1 en Microsoft Windows 98 SE
• Internet Explorer 6 Service Pack 1 en Microsoft Windows ME

Recomendación de Microsoft:
Actualizar a Internet Explorer 6 SP1, el cual no está afectado.
Descarga de Internet Explorer 6 Service Pack 1 idioma Español

Ref.:
http://www.frsirt.com/english/advisories/2006/0469
http://secunia.com/advisories/18729/
http://www.microsoft.com/technet/security/advisory/913333.mspx

Introducción:
The Bat! es un programa de correo fácil de usar, poderoso y seguro (comparado con otros). Posee varias funcionalidades profesionales como templates, macros, filtro Bayesiano para el SPAM (correo basura), etc. Este es un producto comercial de RitLabs.

Vulnerabilidad:
Existe un defecto de diseño en la forma en que The Bat! muestra los mensajes con formato "Content-Type: message/partial". Este tipo de mensajes, son distribuidos en partes más pequeñas y luego son reconstruidos en un único mensaje al ser recibidos por el gestor de correo. Este mecanismo denominado "Message Fragmentation and Reassembly" (RFC 2046 - 5.2.2.1) suele ser utilizado a efectos de enviar mensajes de gran tamaño cuando agentes de transporte intermedios limitan el tamaño de los mismos.
"Content-Type: message/partial" indica entonces que el cuerpo del mensaje contiene un fragmento del mismo.

Debido a este problema en The Bat!, es posible falsear los encabezados RFC 822 o el mensaje original, como por ejemplo, las líneas "Received:" y "Message-ID:". La explotación exitosa de este fallo posibilita la creación de un mensaje "no rastreable", y falsear el origen del mismo, incluyendo la información de la red del remitente.

Detalles:
The Bat! re-ensambla silenciosamente los mensajes parciales y muestra datos encapsulados. Los encabezados que muestra son aquellos del mensaje encapsulado, perdiéndose por completo los encabezados reales.

Exploit - Prueba de Concepto (PoC):
Reemplazar @example.com por la direccion de destino
http://www.security.nnov.ru/files/thebatexploit.txt

Recomendación:
No confiar en los encabezados que muestra The Bat! 2.x

Versiones afectadas:
El fallo ha sido verificado en The Bat! 2.12.04, otras versiones anteriores también podrían estar afectadas.

Solución:
Actualizar a The Bat! 3.5 (o superior).
http://www.thebat-es.com/download.html

Créditos:
3APA3A - http://www.security.nnov.ru/

Ref.:
SECURITY.NNOV: The Bat! 2.x message headers spoofing (06.02.2006)
http://www.security.nnov.ru/Ldocument310.html

[Actualización 08/02/2006]
Añadida mayor información sobre versiones afectadas y no afectadas.

Se ha reportado una vulnerabilidad del tipo DoS (Denegación de Servicio) en Internet Explorer.

Un usuario remoto puede crear un archivo html que contenga código script especialmente alterado que, al ser cargado por el navegador del usuario atacado, ocasionará el fallo o cuelgue del mismo.

El código script invoca un archivo Shockwave Flash para generar el fallo.

Existen un par de exploits de demostración en las siguientes direcciones:

DoS exploit en IE:
http://www.anspi.pl/~porkythepig/iedown.html

Cuelgue al oprimir el botón derecho del mouse:
http://www.anspi.pl/~porkythepig/index.html

Plataformas vulnerables en que fue testeado el IE:
Windows 2000 sp4 con todos los parches al día
Windows XP sp2
Windows XP64
Windows 98 SE

Según el autor de los exploits, la posibilidad de ejecutar código arbitrario mediante este fallo aún no ha sido verificada, aunque podría existir.

Solución:
No existe solución para este fallo por el momento.

Créditos:
porkythepig

Ref.:
SecurityTracker Alert ID: 1015559
Microsoft Internet Explorer Shockwave Flash Scripting Bug Lets Remote Users Deny Service
http://securitytracker.com/id?1015559

Bugtraq:
Internet Explorer remotely exploitable vulnerability in JScript's document.write() method
http://seclists.org/lists/bugtraq/2006/Feb/0010.html

La gente de F-Secure ha estado operando en conjunto con RCN, la compañía que aloja el contador de infecciones utilizado por el gusano Nyxem.E (alias Kama Sutra).
Luego de filtrar las direcciones IP de los (ro)bots que han estado haciendo incrementar el contador últimamente, F-secure utilizó su tecnología WORLMAP para mapear las direcciones IP hacia un mapa.
Como resultado de ésto obtuvieron una visión de las máquinas infectadas en todo el mundo.

Nyxem.E comienza a sobrescribir archivos media hora después de que la máquina infectada sea iniciada, el día 3 de cada mes.
F-Secure le agradece a Jason Nealis y Chris Jackman por su generosa ayuda en la investigación de este asunto.

Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/01/25/alerta-Crecen-las-infecciones-con-el-g.html

Ref.:
F-Secure Blog: Nyxem on a world map
http://www.f-secure.com/weblog/archives/archive-022006.html#00000800

URL del "contador secreto" (alterado por bots) del gusano Kama Sutra (Nyxem.E):
http://webstats.web.rcn.net/cgi-bin/Count.cgi?df=765247

[Actualización 04/02/2006]: Añadido enlace a mapa en alta resolución, URL del contador, e información omitida inicialmente.

El equipo de investigación de Sunbelt ha encontrado un archivo de lista de reproducción de Winamp (.pls) malicioso, que está siendo activamente utilizado para instalar spyware en las máquinas ejecutando versiones vulnerables de Winamp.

Luego de navegar por el sitio malicioso con sus máquinas de pruebas, el archivo x.pls comienza a descargarse y casi inmediatamente, Winamp procede a reproducir esa lista y comienza la ejecución remota de código malicioso.
Un escaneo mediante el servicio Virus Total de Hispasec demostró que tan solo un antivirus (McAfee) detectaba el exploit (ver reporte).

Se recomienda actualizar a la brevedad a la versión 5.13 de Winamp:
http://www.winamp.com/player/index.php

Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/01/31/winamp-513-resuelve-vulnerabilidad-cri.html

Ref.:
Sunbelt Blog: " Winamp exploit found in the wild"
http://sunbeltblog.blogspot.com/2006/02/winamp-exploit-found-in-wi_113891339953448796.html

Se han identificado ocho vulnerabilidades en Mozilla Firefox (y otros productos Mozilla), las cuales podrían ser explotadas por atacantes remotos para traspasar restricciones de seguridad, realizar ataques XSS, y potencialmente, revelar información sensible y ejecutar código arbitrario.

---

El primer problema es debido a errores en el motor Javascript que falla en proteger correctamente ciertas variables temporales durante la recolección de basura (garbage collection), lo cual podría ser explotado por sitios web maliciosos para ocasionar una corrupción de memoria y potencialmente, ejecutar código arbitrario.

Una de estas vulnerabilidades fue introducida durante el desarrollo de Firefox 1.5 y no afecta a Firefox 1.0

Productos afectados:
Firefox, Thunderbird y Mozilla Suite

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-01
Title: JavaScript garbage-collection hazards
Gravedad: Moderada

---

El segundo fallo es debido a un error de corrupción de memoria al cambiar el estilo de un elemento de "position:relative" a "position:static", lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario.

Este fallo fue introducido durante el desarrollo de Firefox 1.5 y SeaMonkey 1.0, y no afecta a Firefox 1.0 o Mozilla Suite 1.7.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-02
Title: Changing postion:relative to static corrupts memory
Gravedad: Moderada

---

La tercer vulnerabilidad es debida a un error al manejar gran cantidad de información en el archivo "history.dat" (p.ej. por un título de página demasiado extenso), lo cual podría ser explotado mediante una página web especialmente alterada para ocasionar que el navegador falle o consuma una gran cantidad de recursos del sistema al ser reiniciado.

Productos afectados:
Firefox, Mozilla Suite

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Ref.:
Mozilla Foundation Security Advisory 2006-03
Title: Long document title causes startup denial of service
Gravedad: Leve

---

El cuarto problema es debido a un error de corrupción de memoria al invocar al método "QueryInterface", de los objetos Location y Navigator, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario.

El fallo parece haber sido introducido durante el desarrollo de Firefox 1.5 y SeaMonkey 1.0. Firefox 1.0 y Mozilla Suite 1.7 no aparentan ser vulnerables.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-04
Title: Memory corruption via QueryInterface on Location, Navigator objects
Gravedad: Moderada

---

El quinto fallo es debido a un error en la función "XULDocument.persist()" que no valida adecuadamente el atributo name (nombre), lo cual podría ser explotado por atacantes remotos para ejecutar comandos Javascript arbitrarios con los permisos del navegador mediante la inyección de XML en "localstore.rdf" que será leído al iniciar.

Productos afectados:
Firefox, Thunderbird, Mozilla Suite

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-05
Title: Localstore.rdf XML injection through XULDocument.persist()
Gravedad: Critica

---

La sexta vulnerabilidad es debida a errores de desbordamiento de entero en las funcionalidades E4X, SVG, y Canvas, lo cual podría ser explotado por sitios web maliciosos para ejecutar código arbitrario.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-06
Title: Integer overflows in E4X, SVG, and Canvas
Gravedad: Moderada

---

El séptimo fallo es debido a un bug en el procesador XML, que permite que lea pasando el final del buffer y podría ser explotado por atacantes remotos para ocasionar el cuelgue de la aplicación vulnerable, y potencialmente, incorporar información privada dentro de DOM de un documento XML, lo cual no se sabe con certeza si es posible.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-07
Title: Read beyond buffer while parsing XML
Gravedad: Leve

---

El octavo fallo es debido a un error en la implementación E4X que expone el objeto interno "AnyName" a contenido web, lo cual podría ser explotado por sitios web maliciosos para traspasar restricciones de seguridad.
Nota: E4X no estaba soportado en Firefox 1.0 o Mozilla 1.7.

Productos afectados:
Firefox, Thunderbird, SeaMonkey

Resuelto en:
Firefox 1.5.0.1
SeaMonkey 1.0

Recomendación para Thunderbird y Mozilla Suite Mail:
No habilitar Javascript (por defecto ya viene desactivado)

Ref.:
Mozilla Foundation Security Advisory 2006-08
Title: "AnyName" entrainment and access control hazard
Gravedad: Leve

---

Créditos:
Vulnerabilidades reportadas por Igor Bukanov, Martijn Wargers, ZIPLOCK,
Georgi Guninski, moz_bug_r_a4, Johnny Stenback y Brendan Eich.

Descarga de versiones no vulnerables:

Firefox 1.5.0.1
http://www.mozilla.com/firefox/all.html

SeaMonkey 1.0 (en reemplazo de Mozilla Suite 1.7.x)
http://www.mozilla.org/projects/seamonkey/releases/
LangPack Español:
http://nave.escomposlinux.org/productos/descargas.php

Ref.:
FrSIRT/ADV-2006-0413
Mozilla Products Multiple Memory Corruption and Security Bypass Issues
http://www.frsirt.com/english/advisories/2006/0413

[Actualización 07/02/2006]
H D Moore del "Metasploit Project" ha publicado un exploit funcional para la versión de Linux de Mozilla Firefox 1.5 en milw0rm, motivo por el cual, el "Mozilla Foundation Security Advisory 2006-04" ha sido recalificado como de gravedad crítica.

milw0rm: Mozilla Firefox 1.5 QueryInterface() Remote Code Execution Exploit
http://www.milw0rm.com/id.php?id=1474

Firefox 1.5.0.1 es una actualización de estabilidad y seguridad.
Se recomienda a todos los usuarios de Firefox que actualicen a esta versión.

Descarga Firefox 1.5.0.1, todos los idiomas, [es-ES] Español España y [es-AR] Español Argentina:
http://www.mozilla.com/firefox/all.html

Firefox 1.5.0.1 versión ZIP no instalable (Nightly 2006-01-11-13 equivalente a versión final):
firefox-1.5.0.1.en-US.win32.zip

Descarga desde sitio ftp:
http://mozilla.osuosl.org/pub/mozilla.org/firefox/releases/1.5.0.1/

Release Notes (en inglés):
http://www.mozilla.com/firefox/releases/1.5.0.1.html

Changelog:
http://www.squarefree.com/burningedge/releases/1.5.0.1.html

Entrada relacionada:
Mozilla Firefox 1.5.0.1 resuelve múltiples vulnerabilidades

[Actualizado 04/05/2006]: Añadido enlace a versión ZIP no oficial y artículo relacionado de fecha posterior.

Tom Ferris estuvo probando e IE 7.0 Beta 2, y luego de 15 minutos de testeo encontró una vulnerabilidad en el mismo.

Estos son los detalles:

Existe una vulnerabilidad del tipo DoS en Microsoft Internet Explorer 7.0 Beta 2 la cual permite a un atacante ocasionar el cuelgue del navegador, o bien ejecutar código arbitrario.

Al abrir un archivo .html especialmente alterado, urlmon.dll procesa incorrectamente el 'BGSOUND SRC=file://---' (aproximadamente 344 guiones) y ocasiona un crash (fallo del programa).

El siguiente código html generará el fallo:

> <BGSOUND
> SRC=file://---------------------------------------------------------------------
> --------------------------------------------------------------------------------
> --------------------------------------------------------------------------------
> --------------------------------------------------------------------------------
> ---------------------------------- >
 (">" colocados delante intencionalmente)

PoC (prueba de concepto) que ocasiona el cuelgue del navegador:
http://www.security-protocols.com/poc/sp-x23.html

Tom Ferris ha reportado este fallo a Microsoft

Solución temporaria sugerida  por Tom Ferris:
Utilizar Mozilla Firefox

Créditos:
Tom Ferris

Ref.:

Internet Explorer 7.0 Beta 2 urlmon.dll DoS
http://security-protocols.com/modules.php?name=News&file=article&sid=3169

Advisory: Internet Explorer 7.0 Beta 2 urlmon.dll DoS
http://www.security-protocols.com/advisory/sp-x23-advisory.txt

Se ha descubierto una vulnerabilidad en los navegadores Mozilla, la cual podría ser explotada por atacantes remotos para traspasar restricciones de seguridad y obtener información sensible.

Este fallo es debido a un error de validación de origen al procesar ciertas Hojas de Estilo en Cascada CSS (Cascading Style Sheets) y documentos HTML que contengan la propiedad "-moz-binding" especialmente alterada utilizada en conjunción con el lenguaje XBL (eXtensible Bindings Language) , lo cual podría ser explotado por sitios maliciosos para ocasionar que código script malicioso sea ejecutado en el navegador bajo el contexto de seguridad de un dominio arbitrario, y así obtener acceso a información de cookies.

Productos afectados:
Mozilla Firefox 1.5 y anteriores
Mozilla Suite 1.7.12 y anteriores

Ref.:
FrSIRT/ADV-2006-0403
Mozilla Browsers CSS "moz-binding" Cross Domain Scripting Vulnerability
http://www.frsirt.com/english/advisories/2006/0403

SecurityTracker Alert ID:  1015553
Mozilla Firefox '-moz-binding' Property Validation Flaw Lets Remote Users Conduct Cross-Domain Scripting Attacks
http://securitytracker.com/id?1015553

Bugzilla Bug 324253
CVE-2006-0496 Do something about the XSS issues -moz-binding introduces
https://bugzilla.mozilla.org/show_bug.cgi?id=324253

El pasado lunes 30 de enero fue cerrado el foro de usuarios de AMD (Advanced Micro Devices chips) ya que se descubrió que alojaba un exploit para la vulnerabilidad WMF.

La noticia fue divulgada inicialmente en el Blog de F-Secure, en el cual se puede ver una captura de pantalla del IE con un cuadro de diálogo que invitaba a descargar un WMF malicioso al acceder al foro hackeado.

El problema parece haber ocurrido debido a que la compañía que alberga esos foros para AMD no había aplicado los parches de seguridad correspondientes para el software del foro, y fue atacado aprovechando algún agujero de seguridad en el mismo, convirtiéndose entonces el foro de AMD, en un distribuidor de codigo malicioso.

Una vez resuelto el problema, el foro fue puesto en línea nuevamente el lunes por la tarde.

Ref.:
AMD forums laid low by Windows exploit
By Tom Krazit, CNET News.com
http://news.zdnet.com/2100-1009_22-6033068.html

Blog F-Secure:
Exploits from AMD? - Posted by Mikko
http://www.f-secure.com/weblog/archives/archive-012006.html#00000795

SeaMonkey 1.0, el sucesor de Mozilla Suite y Netscape 7.x, ya está disponible para descargar en su primer versión final para el público.

Descarga SeaMonkey 1.0
http://www.mozilla.org/projects/seamonkey/releases/

Descarga directa desde sitio ftp:
http://mozilla.osuosl.org/pub/mozilla.org/seamonkey/releases/1.0/

Paquete idioma Español [es-ES] "Proyecto NAVE"
XPI de idioma: "seamonkey-1.0.es-ES.langpack.xpi"
http://nave.escomposlinux.org/productos/seamonkey/1.0/progreso/
Instrucciones de instalación
http://nave.escomposlinux.org/productos/seamonkey/

Entradas relacionadas:
15/09/2005: Realizado SeaMonkey 1.0 Alfa
20/12/2005: Disponible SeaMonkey 1.0 Beta

Si bien se podía conseguir desde el 20 de enero, ya está oficialmente disponible para descargar desde el sitio de Microsoft, el "Internet Explorer 7 Beta 2 Preview".

Descarga "IE7B2P-WindowsXP-x86-enu.exe":
http://www.microsoft.com/windows/ie/ie7/ie7betaredirect.mspx

Entrada relacionada:
Internet Explorer 7 Build 5299 (Beta 2 Preview) filtrado al publico

Se ha descubierto una vulnerabilidad crítica en el popular reproductor Winamp, la cual puede ser explotada por atacantes remotos para ejecutar código arbitrario.

La vulnerabilidad es ocasionada debido a un error de límite durante el manejo de nombres de archivo que incluyan un "Computer Name" (nombre de computador).
Esto puede ser explotado para ocasionar un desbordamiento de buffer mediante una lista de reproducción (playlist [*.pls]) especialmente alterada que contenga un nombre de archivo que comience con un "Computer Name" demasiado extenso (alrededor de 1040 bytes)

La explotación exitosa de este fallo permite la ejecución de código arbitrario, por ejemplo, al visualizar una página web que contenga un iframe que enlace a un archivo .pls especialmente alterado.

La vulnerabilidad ha sido confirmada en Winamp 5.12. Otras versiones anteriores tambien podrían estar afectadas.

Importante:
Se hizo público un exploit que se aprovecha de esta vulnerabilidad:
Winamp 5.12 Remote Buffer Overflow Universal Exploit (Zero-Day)

Solución:
Actualizar a Winamp 5.13:
http://www.winamp.com/player/index.php

Ref.:

Secunia Advisory: SA18649
Winamp Computer Name Handling Buffer Overflow Vulnerability
http://secunia.com/advisories/18649/

SANS ISC:
"Winamp 5.x Remote Code Execution via Playlists"
http://isc.sans.org/diary.php?storyid=1080

FrSIRT - Exploits & Codes:
Nullsoft Winamp Player <= 5.12 PLS File Handling Remote Buffer Overflow Exploit
http://www.frsirt.com/exploits/20060129.winamp0day.c.php

El gusano Kama Sutra (también conocido como BlackWorm), se está propagando a gran escala.
En este momento el número de usuarios infectados está cercano a los 700.000, lo cual se sabe ya que este gusano se reporta a un servidor que contabiliza la cantidad de infecciones.
[Actualización 26/01/2006 02:15 a.m. Arg]
Si bien en un momento se creyó que la cantidad de infecciones estaban llegando a los dos millones (ver post en Sunbelt Blog), luego de un análisis de esto, en el Blog de SecuriTeam concluyeron que algún "gracioso" (probablemente el autor del gusano) estaba inflando el contador mediante un DDoS (ver post en Blog SecuriTeam via Sunbelt Blog). Se estima entonces, que el número aproximado es de 300.000 infecciones.

El gusano, disfrazado de contenido pornográfico, una vez ejecutado intenta inhabilitar conocidos productos antivirus y cortafuegos, además de propagarse tomando direcciones de correo electrónico de la PC infectada.
Todos los días 3 de cada mes, el gusano destruye ciertos archivos del usuario infectado reemplazándolos con el siguiente string (o cadena de caracteres) "DATA Error [47 0F 94 93 F4 K5]". El gusano atacará los archivos con extensiones DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD y DMP.

El nombre asignado al gusano "Kama Sutra" dependerá del fabricante del antivirus, por lo cual el siguiente listado (provisto por Andreas Marx de AV-Test.org) es de suma utilidad:

Ref.:
http://sunbeltblog.blogspot.com/2006/01/february-3rd-is-possibly-d-day.html
http://sunbeltblog.blogspot.com/2006/01/kama-sutra-worm.html
http://www.f-secure.com/weblog/archives/archive-012006.html#00000787
http://isc.sans.org/diary.php?storyid=1067
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=405

Herramienta de desinfección de Symantec:
W32.Blackmal@mm Removal Tool

Artículo en Sophos (en español):
El gusano Kama Sutra se extiende a gran velocidad

[Actualización 01/02/2006]
IE 7 Beta2 disponible en forma oficial, ver este post.

---

El pasado viernes 20 de enero fue filtrado al público el "Internet Explorer 7 Build 5299 Beta 2 Preview" a través del foro de JCXP.net, junto a unas capturas de pantalla de la nueva versión de este navegador, aún en desarrollo.
A pedido de Microsoft, fueron removidos los links de descarga del mencionado foro, que se encontraban en este post "Internet Explorer 7 Build 5299 (Beta 2 Preview)..."
Notar que las instrucciones para poder instalar esa beta en Windows XP "No Genuinos" ;-) , no fueron removidas.

Aún se puede conseguir una copia de esta beta del IE 7, por ejemplo, desde este post en el sitio cnbeta.com (en Chino)...
http://www.cnbeta.com//modules.php?name=News&file=article&sid=9904
... que se puede entender "un poco" mejor con una traducción al inglés mediante las Herramientas del idioma de Google: Internet Explorer 7 Build 5299 (Beta 2 Preview)
De los dos enlaces de descarga provistos, el de Rapidshare ya fue removido.

[Actualización 30/01/2006]
El enlace de descarga de cnbeta ya no funciona, sin embargo se puede descargar de down.com donde además se explica como poner el IE 7 en español (usar bajo propio riesgo):
http://www.9down.com/story.php?sid=6060
Descarga "Internet Explorer 7 Build 5299 Beta 2 Preview":
http://www.9down.com/downloads.php?fileid=269

Leer comentarios en español sobre este IE 7 Beta2, y más capturas, en esta entrada de Denken Über:
Internet Explorer 7 Build.5299
http://www.uberbin.net/archivos/internet/internet-explorer-7-build5299.php