Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social Digg  Bookmarking social Delicious  Bookmarking social Reddit  Bookmarking social Stumbleupon  Bookmarking social Slashdot  Bookmarking social Yahoo  Bookmarking social Google  Bookmarking social Blinklist  Bookmarking social Blogmarks  Bookmarking social Technorati  

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


Hispasec Sistemas, Seguridad y Tecnologías de la Información

Ver el tema anterior Ver el tema siguiente Ir abajo

Hispasec Sistemas, Seguridad y Tecnologías de la Información

Mensaje por Gaillimh el Dom Nov 04, 2007 12:12 am

Boletines de seguridad Una al día, de Laboratorio Hispasec:

http://www.hispasec.com/directorio/laboratorio/ultimasunaaldia

Es una página de referencia obligada para adentrarse en lo básico de la seguridad y la criptografía -de ahí apunta a numerosos enlaces de interés, como CriptoRed.

Estas son las últimas publicadas hasta hoy:

02/11/2007
Ataque con troyano para usuarios de Mac

01/11/2007
Actualización del kernel para productos Red Hat Linux 4

31/10/2007
Cross-site scripting a través de navigateTree.do en IBM WebSphere 6.x

30/10/2007
Ejecución de código arbitrario en IBM Lotus Notes 7.x y 8.x

29/10/2007
Denegación de servicio a través de SCTP INIT en Sun Solaris 10

28/10/2007
Salto de restricciones a través de objetos COM en PHP 5.x

27/10/2007
Ejecución de código a través de IMAP en IBM Lotus Domino

26/10/2007
Múltiples vulnerabilidades en productos RealPlayer, RealOne y HelixPlayer

25/10/2007
Archivos PDF aprovechan un fallo en Adobe Reader para infectar sistemas

24/10/2007
Actualización de kernel para Red Hat Enterprise Linux 5

23/10/2007
La epidemia del "Storm Worm", algunas cifras

22/10/2007
Vulnerabilidad en RealPlayer permite ejecución de código

21/10/2007
Grupo de parches de Octubre para diversos productos Oracle

20/10/2007
Varias vulnerabilidades en Cisco PIX 7.x y ASA 7.x

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

04/11/2007 Cross-site scripting en IBM Tivoli Service Desk 6

Mensaje por Gaillimh el Lun Nov 05, 2007 7:31 pm




04/11/2007 Cross-site scripting en IBM Tivoli Service Desk 6.x

Se ha encontrado una vulnerabilidad en IBM Tivoli Service Desk 6.x que podría ser explotada por un atacante remoto para construir ataques de cross-site scripting.
La vulnerabilidad está causada porque la entrada pasada al campo description del formulario, al crear nuevos cambios en Maximo, no se limpia antes de ser almacenada. Esto podría ser aprovechado por un atacante remoto para insertar código script y HTML en la sesión del navegador de un usuario que está visualizando datos manipulados en el contexto de una página maliciosa.
La vulnerabilidad está confirmada para la versión 6.2 aunque otras versiones también podrían estar afectadas. No existe parche disponible. Se recomienda deshabilitar los parámetros en tiempo de ejecución que puedan verse afectados por la vulnerabilidad.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3298/comentar

Más Información:

IZ06387: JavaScript can be executed from description fields in maximo 6
http://www-1.ibm.com/support/docview.wss?uid=swg1IZ06387


Laboratorio Hispasec
laboratorio@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

07/11/2007 Múltiples vulnerabilidades en Apple Quicktime 7.x

Mensaje por Gaillimh el Vie Nov 09, 2007 9:40 am

07/11/2007 Múltiples vulnerabilidades en Apple Quicktime 7.x

Se han encontrado siete vulnerabilidades en Apple Quicktime 7.x que podrían ser explotadas por un atacante remoto para saltarse restricciones de seguridad, acceder a información sensible, ejecutar código arbitrario y comprometer un sistema vulnerable.
* La primera vulnerabilidad está causada por un error de límite en el manejo de átomos STDT (Sample Table Sample Descriptor) y podría ser explotada por un atacante remoto para provocar un desbordamiento de búfer si un usuario abre un archivo de vídeo especialmente manipulado.
* Una segunda vulnerabilidad está causada por un error de límites al procesar algunos átomos pertenecientes a archivos de vídeo en QTVR (QuickTime Virtual Reality). Ésto podría ser explotado por un atacante remoto para provocar un desbordamiento de búfer si el usuario abre un archivo de vídeo especialmente manipulado.
* La tercera vulnerabilidad está causada por errores al analizar sintácticamente los códigos de operación tipo Poly (opcodes 0x0070-74) y el campo PackBitsRgn (opcode 0x0099) al procesar imágenes PICT. Ésto podría ser explotado por un atacante remoto para provocar la corrupción de heap si el usuario abre una imagen PICT especialmente manipulada.
* Una cuarta vulnerabilidad está causada por un error en el manejo de los átomos de descripción de imágenes. Ésto podría ser explotado por un atacante remoto para corromper la memoria si un usuario abre un archivo de vídeo especialmente manipulado.
* La quinta vulnerabilidad está causada por un error de límite al procesar imágenes PICT. Ésto podría ser explotado por un atacante remoto para causar un desbordamiento de búfer si un usuario abre un archivo PICT especialmente manipulado, que contenga una longitud no válida para el código de operación UncompressedQuickTimeData.
* Una sexta vulnerabilidad está causada por múltiples errores en QuickTime para Java. Ésto podría ser explotado por un atacante remoto, por medio de Java applets no confiables, para acceder a información sensible o ejecutar código arbitrario con elevados privilegios cuando un usuario visite una página web que contenga un applet malicioso.

* La séptima y última vulnerabilidad está causada por un error al analizar sintácticamente los átomos CATB. Ésto podría ser explotado por un atacante remoto para causar un desbordamiento de búfer heap si un usuario abre un archivo de vídeo especialmente manipulado que contenga una tabla de colores inválida.
Las vulnerabilidades han sido identificadas en las versiones de QuickTime anteriores a la 7.3.
Se recomienda actualizar a la versión 7.3 de Apple QuickTime disponible para las siguientes plataformas desde:
Para Windows:
http://www.apple.com/support/downloads/quicktime73forwindows.html
Para Leopard:
http://www.apple.com/support/downloads/quicktime73forleopard.html
Para Tiger:
http://www.apple.com/support/downloads/quicktime73fortiger.html
Para Panther:
http://www.apple.com/support/downloads/quicktime73forpanther.html


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3301/comentar

Más Información:

About the security content of QuickTime 7.3
http://docs.info.apple.com/article.html?artnum=306896

Apple QuickTime Panorama Sample Atom Heap Buffer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=620

ZDI-07-068: Apple QuickTime Uncompressedfile Opcode Stack Overflow
http://www.zerodayinitiative.com/advisories/ZDI-07-068.html

ZDI-07-067: Apple QuickTime PICT File Poly Opcodes Heap Corruption
http://www.zerodayinitiative.com/advisories/ZDI-07-067.html

ZDI-07-066: Apple Quicktime PICT File PackBitsRgn Parsing Heap Corruption
http://www.zerodayinitiative.com/advisories/ZDI-07-066.html

ZDI-07-065: Apple QuickTime Color Table RGB Parsing Heap Corruption
http://www.zerodayinitiative.com/advisories/ZDI-07-065.html


Laboratorio Hispasec
laboratorio@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

08/11/2007 Cross-site scripting en Cisco Unified MeetingPlac

Mensaje por Gaillimh el Vie Nov 09, 2007 9:42 am

08/11/2007 Cross-site scripting en Cisco Unified MeetingPlace 5.x y 6.x

Se ha encontrado una vulnerabilidad en Cisco Unified MeetingPlace 5.x y 6.x que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.
La vulnerabilidad está causada por un fallo en mpweb/scripts/mpx.dll que no limpia de forma adecuada algunos parámetros, como FirstName o LastName, antes de ser devueltos al usuario. Ésto podría ser explotado por un atacante remoto para ejecutar código arbitrario script o HTML en el contexto de la sesión del navegador de un usuario que visita una web maliciosa.
Se recomienda aplicar los parches 5.4.156.2E o 6.0.244.1A según versiones.
Véase la tabla con los distintos parches y versiones disponibles a través del centro de asistencia técnica de Cisco (Cisco TAC):
http://www.cisco.com/warp/public/707/cisco-sr-20071107-mp.shtml


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3302/comentar

Más Información:

Cisco Security Response: Cisco Unified MeetingPlace XSS Vulnerability
http://www.cisco.com/warp/public/707/cisco-sr-20071107-mp.shtml


Laboratorio Hispasec
laboratorio@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Microsoft publicará dos boletines seguridad próximo martes

Mensaje por Gaillimh el Lun Nov 12, 2007 1:14 pm

09/11/2007 Microsoft publicará dos boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan dos boletines de seguridad, ambos dedicados a su sistema operativo Windows
Si en octubre fueron seis boletines de seguridad que salieron a la luz (aunque en un principio se anunciaron siete), este mes Microsoft prevé publicar dos actualizaciones el día 13 de noviembre. Uno de los dedicados a Windows (que parecen afectar a toda la gama de versiones) alcanzan la categoría de "crítico" (ejecución remota de código) y el otro de "importante", al parecer relacionado con la falsificación.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán tres actualización de alta prioridad no relacionadas con la seguridad.
A mediados de octubre se anunció una vulnerabilidad de escalada de privilegios en Microsoft Windows 2003 y XP, de la que apareció exploit público aprovechándola. Se debe a un fallo la hora de comprobar el establecimiento de la memoria intermedia en, al menos, un controlador instalado por defecto, secdrv.sys, de la que es responsable la compañía Macrovision. Un atacante local podría aprovechar esto para ejecutar código arbitrario en el espacio de memoria del kernel y por tanto, conseguir completos privilegios sobre el sistema.
Hace sólo unos días, Macrovisión ha publicado una actualización para su controlador secdrv.sys, disponible para la descarga desde:
http://www.macrovision.com/webdocuments/Downloads/SECDRVSYS.zip
y se supone que Microsoft propondrá además la descarga y actualización desde sus sistemas.
Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3303/comentar


Sergio de los Santos
ssantos@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

12/11/2007 Acceso a routers vulnerables de uso doméstico

Mensaje por Gaillimh el Miér Nov 14, 2007 6:34 am

12/11/2007 Acceso a routers vulnerables de uso doméstico

Hace aproximadamente un mes, se dieron a conocer múltiples vulnerabilidades en los routers y hubs de Thomson, más concretamente en los modelos: Thomson SpeedTouch 780 6.x,Thomson SpeedTouch 716 5.x, BT Home Hub y Thomson/Alcatel SpeedTouch 7G 6.x.
Dichas vulnerabilidades podrían ser aprovechadas por un atacante remoto para ganar control total sobre los routers, requiriéndose únicamente que el usuario visite una página web maliciosa. Una vez tomado el control sobre los dichos routers, un atacante remoto podría aprovecharlo para causar una denegación de servicio o para perpetrar ataques de distinta naturaleza.
Según los distintos modelos afectados y de acuerdo con la información aportada por Adrian Pastor y las comprobaciones realizadas por consultores independientes, las vulnerabilidades son las siguientes:
* Para el modelo Thomson SpeedTouch 780 se han encontrado dos vulnerabilidades que podrían ser explotadas por un atacante remoto para conducir falsificaciones de peticiones y ataques de cross-site scripting. Éstas han sido comprobadas para los sistemas que usan la versión 6.1.4.3 del firmware, aunque también podría afectar a los aparatos que lleven instaladas otras versiones.
1- La primera permitiría a usuarios realizar ciertas acciones por medio de peticiones HTTP que no son validadas por parte del router. Por ejemplo, cambiar la contraseña de administrador si éste visita una web maliciosa, tomando el control del sistema vulnerable.
2- La segunda vulnerabilidad está provocada por un fallo al validar de forma adecuada el parámetro de entrada 'url' en cgi/b/ic/connect/ antes de ser devuelto al usuario. Esto podría ser explotado por un atacante remoto para conducir ataques de cross-site scripting ejecutando código HTML y JavaScript arbitrario en el contexto de seguridad del navegador.
* Se ha comprobado que la segunda vulnerabilidad introducida anteriormente también afecta a los modelos Thomson SpeedTouch 716 con la versión 5.4.0.14 del firmware, pudiendo ser vulnerables también aquellos que tengan una versión de firmware distinta.
* Se ha comprobado que la primera vulnerabilidad citada anteriormente afecta también a los modelos de hub distribuidos en el Reino Unido por British Telecom y al modelo SpeedTouch 7G de Thomson con la versión 6.2.2.6 del firmware; También podría afectar a los modelos provistos con otra versión distinta de firmware. Además los citados productos también se ven afectados por otras dos vulnerabilidades descritas a continuación.
3- Existe un error de validación de entrada al procesar URLs que podría ser aprovechado por un atacante remoto para acceder a recursos protegidos por contraseña, como la configuración del router, con la posibilidad de realizar modificaciones de arbitrarias de dicha configuración.
4- Se ha encontrado que la entrada 'name' tampoco se valida de forma adecuada, tal y cómo sucedía anteriormente con la entrada 'url', lo que podría ser aprovechado por un atacante remoto para conducir ataques de cross-site scripting.
En la página web de Adrian Pastor se incluyen más detalles sobre las vulnerabilidades y una serie de exploits para aprovecharlas. Entre otras cosas se explica como robar la clave WEP o WPA, como provocar ataques de cross-site scripting o como establecer una puerta trasera para ganar control total sobre el sistema afectado.
Adrian Pastor y su equipo se pusieron en contacto con British Telecom y Thomson después de que incluso la BBC se hiciera eco de una denegación de servicio múltiple que tuvo lugar el día 13 del pasado mes de Octubre. La respuesta se ha dado a conocer hoy, casi un mes después de que muchos británicos se quedaran momentáneamente sin acceso a Internet, al verse publicada una actualización para el firmware de los routers (versión 6.2.6.B) que solventa la vulnerabilidad que tenía un mayor nivel de riesgo, la cual hacía posible crear una puerta trasera para para acceder y obtener el control sobre el router. Además se ha deshabilitado el acceso a telnet y los contenidos del archivo de configuración están ahora cifrados. Aunque, trascurrido un mes, todavía no se han parcheado el resto de vulnerabilidades.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3306/comentar

Referencias:

Exploits:
http://www.gnucitizen.org/blog/bt-home-flub-pwnin-the-bt-home-hub-4

BT Home Hub and Thomson/Alcatel Speedtouch 7G Multiple Vulnerabilities:
http://www.securityfocus.com/bid/25972/references

BT Home Flub: Pwnin the BT Home Hub - Vulnerabilities details published
http://seclists.org/fulldisclosure/2007/Nov/0267.html

Recortes de prensa:
http://www.bbc.co.uk/radio4/youandyours/items/01/2007_42_wed.shtml
http://www.theregister.co.uk/2007/10/09/bt_home_hub_vuln/
http://www.btplc.com/today/art70350.html
http://news.bbc.co.uk/1/hi/technology/7052223.stm

Vídeo sobre el exploit para deshabilitar la conectividad wireless:
http://www.youtube.com/watch?v=QiFQPKcAtNI


Pablo Molina
pmolina@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

16/11/2007 Múltiples vulnerabilidades en PHP 5.2.x

Mensaje por Gaillimh el Sáb Nov 17, 2007 11:28 am

16/11/2007 Múltiples vulnerabilidades en PHP 5.2.x

Se han encontrado múltiples vulnerabilidades en PHP 5.2.x, algunas de ellas son de impacto desconocido y otras podrían ser explotadas por un atacante remoto para saltarse ciertas restricciones de seguridad.
* Una vulnerabilidad está causada por un error en el manejo de variables y podría ser explotada por un atacante remoto para sobrescribir valores en httpd.conf por medio de la función ini_set().
* La segunda vulnerabilidad está causada por un error al procesar archivos .htaccess y podría ser explotada por un atacante remoto para saltarse la directiva disable_functions si modifica la directiva php.ini mail.force_extra_parameters por medio de un archivo .htaccess.
* Otra vulnerabilidad está causada por varios errores de límite en las funciones fnmatch(), setlocale(), y glob() que podrían ser explotados por un atacante remoto para provocar desbordamientos de búfer.
* La última vulnerabilidad está causada por varios errores en las funciones htmlentities y htmlspecialchars que no aceptan secuencias multibyte parciales.
Se recomienda a actualizar a la versión 5.2.5 disponible desde:
http://www.php.net/downloads.php


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3310/comentar

Más Información:

PHP 5.2.5 Release Announcement
http://www.php.net/releases/5_2_5.php


Laboratorio Hispasec
laboratorio@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Ataque phishing a gran escala contra entidades bancarias

Mensaje por Gaillimh el Sáb Nov 24, 2007 9:51 am

23/11/2007 Ataque phishing a gran escala contra entidades bancarias españolas que además intenta troyanizar el sistema

En los últimos días se están produciendo varios ataques phishing específicos contra entidades españolas especialmente agresivos a través de un kit que comprende a muchos bancos españoles. No sólo simulan ser la página del banco, sino que además intentan infectar al sistema que lo visita de una manera nada trivial.
La pasada semana detectamos en Hispasec un kit de phishing que afectaba a 35 entidades españolas, todos en un mismo servidor. Hasta ahí, el hecho es relativamente normal. Hace sólo algunas horas, hemos detectado el mismo kit alojado en varios servidores distintos, lo que ya indica cierta insistencia de los atacantes. Lo importante en este caso es que además se está intentando infectar a quien lo visita, de forma que no sólo es víctima quien introduce los datos en la página falsa. A través de un JavaScript y según el navegador, la página intenta ejecutar código y hacerse con el sistema. En algunos casos, lo único que intentan es desestabilizar el navegador realizando ataques de JavaScritp, con el único propósito de que sea necesario reiniciar la máquina.
Los phishing suelen estar alojados en páginas legítimas comprometidas, normalmente en algún directorio interno de la web. La estructura suele ser:
http://www.XXXXX.ZZ/XXXX/s/(banco)
Habiendo encontrado dominios de Rusia, Brasil y .ORG. Donde "banco" representa el código de la entidad afectada. Hasta 35 por dirección. Todas españolas.
Las entidades a las que pretende simular son:
Bancaja, Banca March, Bankinter, Bankoanet, BBK, BBVANet, Banco Guipuzcoano, Caixa Catalunya, Caixanova, Caja España, CajaMadrid, CajaMurcia, CajaSur, Caja Mediterraneo, Caja Canarias, Caja Castilla La Mancha, Caja Navarra, Deutsche Bank, Caixa Geral, Banco Herrero, IberCaja, ING Direct, Kutxa, Caixa d'Estalvis Laietana, Caixa Ontinyent, OpenBank, Caja Rural, Banco Sabadell, Solbank, Caixa Tarragona, Unicaja, Banco Urquijo, VitalNet.
En estos momentos al menos un servidor sigue activo y casi toda su infraestructura (donde se aloja el malware) también. Se recomienda no seguir ningún enlace, ni aunque se conozca que se trata de un phishing y se pretenda simplemente reportar el incidente, además de actualizar el sistema y el antivirus.
El ataque está fuertemente ofuscado, con JavaScripts cifrados que intentan descargar y ejecutar diferentes binarios en una especie de laberinto de redirecciones. Hemos encontrado hasta 6 ejecutables distintos, todo malware bancario destinado a Windows, y con muy diferentes niveles de detección en VirusTotal según el archivo. De una forma bastante agresiva, el ataque parece intentar aprovechar vulnerabilidades del navegador para la ejecución de código.
Informaremos en profundidad sobre el ataque cuando tengamos más detalles al respecto.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3317/comentar


Sergio de los Santos
ssantos@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

26/11/2007 Múltiples vulnerabilidades en RealPlayer 10.x y 1

Mensaje por Gaillimh el Miér Nov 28, 2007 11:53 am

26/11/2007 Múltiples vulnerabilidades en RealPlayer 10.x y 11.x

Se han encontrado múltiples vulnerabilidades de desbordamiento de búfer en RealPlayer 10.x y 11.x que podían ser explotadas por un atacante remoto para causar una denegación de servicio en Internet Explorer u otra aplicación que haga uso del control de Active X vulnerable Ierpplug.dll.
Existe una prueba de concepto disponible, si bien no se ha confirmado si es posible la ejecución remota de código arbitrario. Las versiones afectadas son la 11 y la 10.5 aunque otras versiones anteriores también podrían verse afectadas.
No existe parche disponible por el momento. Se recomienda no visitar páginas web ni enlaces no confiables.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3320/comentar

Más Información:

RealMedia RealPlayer Ierpplug.DLL ActiveX Control Multiple Buffer Overflow Vulnerabilities
http://www.securityfocus.com/bid/22811

Cómo impedir la ejecución de un control ActiveX en Internet Explorer
http://support.microsoft.com/kb/240797


Laboratorio Hispasec
laboratorio@hispasec.com
-------------------------------------------------------------------------------------


27/11/2007 Ejecución de código arbitrario en Apple Quicktime


Se ha encontrado una vulnerabilidad en Apple Quicktime que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario y, si la aplicación es ejecutada con privilegios de administrador, conseguir control total sobre el sistema.

La vulnerabilidad está causada por un fallo de límites al procesar respuestas que usan el protocolo RTSP para streaming de audio y vídeo (Real Time Streaming Protocol). La aplicación comete un error al comprobar los límites de una entrada introducida por el usuario de manera que la copia en un búfer de memoria en pila demasiado pequeño. Esto podría ser aprovechado por un atacante remoto para provocar un desbordamiento de búfer a través de una respuesta RTSP que contengan un encabezado Content-Type demasiado largo. La vulnerabilidad es explotable si la víctima abre un stream especialmente manipulado o visita una página web maliciosa. De realizar un ataque con éxito, el atacante podría ejecutar código arbitrario con los privilegios con los que se ejecuta la aplicación.

La vulnerabilidad, que fue hecha pública el día 23 por Krystian Kloskowski (el mismo que en agosto descubrió un grave fallo en Nessus) podría afectar a todos los usuarios de Apple Quicktime que hagan uso de la versión 7.3 (versión actual) o de cualquiera de las versiones anteriores. Los usuarios de iTunes también se verían afectados por el problema puesto que la última versión de Quicktime está incluida en la instalación de iTunes, el popular software multimedia de Apple.

Poco después de que se conociera la vulnerabilidad, ya se publicó un exploit para Windows XP y Vista que la aprovecha para ejecutar código. En teoría Microsoft Vista, gracias al ASLR (Address Space Layout Randomization), protegería en cierta medida de la ejecución de código derivada de los desbordamientos de búfer, pero no es el caso. Los archivos de sistema sí son colocados en espacios aleatorios, pero el resto de binarios deben tener un bit activo para aprovechar esta funcionalidad. Los programadores de Apple no lo han activado para QuickTime, así que el exploit es igual de funcional en XP y Vista.

Por ahora, según Symantec, el exploit hecho público tiene diferente comportamiento según el navegador.

En Internet Explorer 6 y 7 y Safari 3 Beta, se carga QuickTime como plugin interno. Esto provocaría el desbordamiento y la aplicación dejaría de responder, pero no permitiría la ejecución de código. En Firefox, la petición es manejada directamente por QuickTime como un proceso separado. Como resultado, el atacante podría ejecutar código arbitrario. En cualquier caso, el exploit podría ser reprogramado y funcionar bajo cualquier navegador.
No existe ningún parche disponible por el momento. Para protegerse, es posible bloquear el protocolo RTSP a través de red, o deshabilitarlo en QuickTime desde el panel de control de la aplicación. En Preferencias y seleccionar Tipos de Archivo / Avanzado / MIME Settings y quitar de la selección la descripción RTSP stream bajo la opción Streaming – Streaming movies.
Con respecto a los navegadores, es posible deshabilitar el control de ActiveX QuickTime en Internet Explorer, para ello hay que activar el kill bit para los CLSID 02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} y {4063BE15-3B08-470D-A0D5-B37161CFFD69}. Esto evitará que el fallo sea aprovechado a través de una web.
En el caso de Firefox, se recomienda deshabilitar la ejecución de JavaScript bajo páginas no confiables.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3321/comentar

Más Información:

Zero-Day Exploit for Apple QuickTime Vulnerability
http://www.symantec.com/enterprise/security_response/weblog/2007/11/0day_exploit_for_apple_quickti.html

New QuickTime bug opens XP, Vista to attack
http://computerworld.com/action/article.do?command=viewArticleBasic&articleId=9048678&intsrc=hm_list


Pablo Molina
pmolina@hispasec.com
Sergio de los Santos
ssantos@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Desbordamiento de búfer en IBM Lotus Notes al visualizar ...

Mensaje por Gaillimh el Vie Nov 30, 2007 9:32 pm

28/11/2007 Desbordamiento de búfer en IBM Lotus Notes al visualizar archivos de Lotus 1-2-3

Se ha encontrado una vulnerabilidad en IBM Lotus Notes (versiones 5, 6, 7 y 8 ) que podría ser explotada por un atacante para ejecutar código arbitrario y comprometer un sistema vulnerable.
La vulnerabilidad está causada por un desbordamiento de búfer en l123sr.dll al visualizar un archivo adjunto de Lotus 1-2-3 (con extensión .123). Esto podría ser explotado por un atacante remoto para comprometer el sistema si un usuario abre un archivo .123 especialmente manipulado y que venga adjunto en un email.
La vulnerabilidad afecta a los sistemas basados en Windows, pero no a los Domino Server.
Para Lotus Notes 7.x y 8.x se recomienda instalar los últimos parches, disponibles desde:
http://www-306.ibm.com/software/lotus/support/upgradecentral/index.html
Para Lotus Notes 5.x y 6.x no existe ningún parche, se recomienda deshabilitar los visores de archivos afectados hasta que se determine una solución final.
(Borrar o renombrar el archivo DLL afectado, que en este caso es l123sr.dll).


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3322/comentar

Más Información:

Buffer overflow vulnerability in Lotus Notes file viewer for Lotus 1-2-3 attachments
http://www-1.ibm.com/support/docview.wss?uid=swg21285600

Lotus Notes buffer overflow in the Lotus WorkSheet file processor
http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=2008


Laboratorio Hispasec
laboratorio@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Servicios antiphishing ¿efectivos?

Mensaje por Gaillimh el Jue Dic 06, 2007 11:17 am

05/12/2007 Servicios antiphishing ¿efectivos?

Un estudio de Symantec revela que el 25% de las visitas a un sitio de phishing se produce durante la primera hora del lanzamiento del fraude. Transcurridas 12 horas habrá recibido el 60% de las visitas. Si los servicios antiphishing tardan más tiempo en desactivarlos, ¿cuál es su efectividad real en la prevención del fraude?
El estudio, que se ha llevado a cabo durante varios meses, analiza los logs correspondientes a 6.158 ataques, y pone números a algo que todos sabíamos: en un fraude por phishing las primeras horas son cruciales y concentran el mayor porcentaje de las visitas y estafas.
Durante las 6 primeras horas del ataque se llegarían a concentrar el 51,6% de las visitas, entre las 6 y 12 horas aumenta un 10,7%, entre las 12 y 24 horas se suma un 13%, y el 24,6% de las visitas restantes se suceden transcurridas las primeras 24 horas.
Estos datos dejan en entredicho la efectividad de los servicios antiphishing reactivos que mantienen medias superiores a las 6 horas de cierre, ya que no evitarían la mayoría de las visitas y por tanto la rentabilidad del ataque. Esto explica en parte que, pese a la inversión en este tipo de servicios, los ataques a ciertas entidades sigan siendo periódicos.
Desde el punto de vista del atacante, un servicio antiphishing de una entidad que cierre en el menor tiempo posible repercutiría negativamente en su negocio, y por tanto es de preveer que migrara sus ataques a otras entidades que no entorpecieran tanto el fraude.
Por ello la velocidad en el cierre de las infraestructuras de phishing es crucial en la prevención, tanto por los casos puntuales, como por estrategia a medio plazo que conlleve una disminución en los ataques a una entidad al dejar de ser un objetivo rentable.
¿Deberían las entidades exigir tiempos de reacción a los servicios antiphishing?
Queda claro que a mayor tiempo de reacción aumenta la rentabilidad del atacante, lo que también favorecería que la entidad sufra nuevos ataques. Como efecto colateral la empresa que ofrece el servicio antiphishing tendría que llevar a cabo más actuaciones, y también saldría beneficiada económicamente. Algo falla en la ecuación.
Dada la importancia de la velocidad de reacción, es lógico pensar que la entidad requiriera establecer algún tipo de escala basada en tiempos. No debería pagar lo mismo por la desactivación de un phishing en 1 hora que en 24, debería incentivar y premiar la mayor celeridad posible en las actuaciones, inclusive no pagar aquellas que se dilaten demasiado en el tiempo.
La realidad es que el cierre de una infraestructura de phishing depende de factores externos que no puede controlar la empresa de seguridad, y por lo tanto la efectividad en casos concretos, o en determinadas campañas, puede ser muy variable. No obstante, eso no debe ser ápice para que se establezcan mecanismos que incentiven los mejores resultados.
De los últimos 100 casos de phishing gestionados por el servicio antifraude de Hispasec, 47 de ellos se cerraron en menos de 1 hora. La media de cierre se sitúa en 3 horas 1 minuto.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3329/comentar

Más Información:

Server Log Analysis of Phishing Web Sites
http://www.symantec.com/enterprise/security_response/weblog/2007/12/server_log_analysis_of_phishin.html


Bernardo Quintero
bernardo@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Re: Hispasec Sistemas, Seguridad y Tecnologías de la Información

Mensaje por Contenido patrocinado Hoy a las 5:38 pm


Contenido patrocinado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.