Boletin de Seguridad de Microsoft, Mayo 2010

Microsoft publico los boletines de seguridad correspondientes al mes de mayo.

El boletín MS10-030 resuelve una vulnerabilidad que afecta a Outlook Express, Windows Mail, y Windows Live Mail que un atacante podría explotar para comprometer un servidor de correo electrónico, establecer un servidor de correo electrónico malicioso, o ejecutar un ataque ‘man-in-the-middle’ para interceptar las comunicaciones entre el cliente y el servidor. Un ataque de este tipo es aquel en el que se pueden leer y modificar los mensajes entre dos partes sin que ninguna de ellas sepa que el enlace entre ellos ha sido violado.

El boletín MS10-031, soluciona un fallo en Microsoft Visual Basic for Applications (VBA) que podría permitir que un atacante ejecutara código de forma remota. La actualización resuelve el problema cambiando la manera en que VBA busca los controles Active X que están embebidos en los documentos.

Los boletines afectan a Windows 2000, XP, Vista, Windows 7, Server 2003, Server 2008, Office XP, Office 2003, 2007 Microsoft Office System, Microsoft Visual Basic for Applications y el kit de desarrollo de software Visual Basic for Applications. Los usuarios de Windows 7 and Server 2008 R2 no son vulnerables en las configuraciones por defecto.

Microsoft sigue trabajando en la solución a una vulnerabilidad en SharePoint Services 3.0 y SharePoint Server 2007 que fue descubierta a finales del mes pasado y que podría llevar a ataques a través del navegador.

vulnerabilidades relacionadas

BOLETIN DE SEGURIDAD DE MICROSOFT, MAYO 2010

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: microsoft.com | us-cert.org

Anuncios

Microsoft publica de nuevo la actualización del boletín MS10-025

Microsoft se ha visto obligada a publicar de nuevo el parche del boletín MS10-025, al descubrir que tras su instalación no protegía de la vulnerabilidad que pretendía corregir.

La vulnerabilidad, con CVE-2010-0478, afecta al sistema operativo Windows 2000 SP4 y está calificada de crítica al permitir la ejecución de código arbitrario. El problema reside en un proceso corresponde al servicio “Windows Media Unicast Service” del componente opcional “Windows Media Services”.

El error se trata de un desbordamiento de pila en el proceso “nsum.exe” durante el procesamiento de paquetes con información de transporte especialmente manipulados.

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos,  a través de la herramienta Windows Update o descargándola desde el centro de descargas de Microsoft:

http://www.microsoft.com/downloads/details.aspx?familyid=73B3D681-26BB-49C1-849E-1F72484CB978&displaylang=en

fuente: hispasec.com

Boletín de Seguridad de Microsoft, Abril 2010

Microsoft ha publicado once boletines de seguridad (del MS10-019 al MS10-029) correspondientes a su ciclo habitual de actualizaciones.

MICROSOFT SECURITY BULLETIN – APRIL 2010

Los boletines “críticos” son:

* MS10-019: Actualización para corregir dos vulnerabilidades en la comprobación de código de autenticación de Windows que podría permitir la ejecución remota de código. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-020: Actualización para corregir cinco vulnerabilidades que podrían permitir la ejecución remota de código si un atacante envía una respuesta SMB especialmente creada a una petición de cliente SMB. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-025: Actualización para corregir una vulnerabilidad que podría permitir la ejecución remota de código en Servicios de Windows Media en Microsoft Windows 2000 Server.

* MS10-026: Actualización para corregir una vulnerabilidad en los códecs de audio MPEG Layer-3 de Microsoft. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo AVI especialmente diseñado que contenga una secuencia de audio MPEG Layer-3. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

* MS10-027: Actualización para corregir una vulnerabilidad de ejecución remota de código en el control ActiveX de Reproductor de Windows Media. Afecta a Microsoft Windows 2000 y Windows XP.

Los boletines  “importantes” son:

* MS10-021: Esta actualización de seguridad resuelve ocho vulnerabilidades en el kernel de Windows que podrían permitir la elevación de privilegios local. Cinco de las vulnerabilidades corregidas fueron reportadas por Matthew “j00ru” Jurczyk y Gynvael Coldwind, de Hispasec. Afecta a Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-022: Se trata de una actualización de seguridad para resolver una vulnerabilidad en VBScript de Windows que podría permitir la ejecución remota de código. Afecta a Windows 2000, Windows XP y Windows Server 2003.

* MS10-023: Boletín destinado a corregir una vulnerabilidad en Microsoft Office Publisher que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de Publisher especialmente diseñado.

* MS10-024: Actualización destinada a corregir dos vulnerabilidades en en Microsoft Exchange y en el servicio SMTP de Windows.

* MS10-028: Actualización que soluciona dos vulnerabilidades en Microsoft Office Visio que podrían permitir la ejecución remota de código si un usuario abre un archivo de Visio especialmente diseñado.

Por último, la vulnerabilidad considerada como “moderada”:

* MS10-029: Actualización publicada para evitar una vulnerabilidad en el componente ISATAP de Windows que podría permitir que un atacante suplantara una dirección IPv4. Esto podría ser empleado por un atacante para pasar por alto dispositivos de filtrado que se basen en la dirección IPv4 de origen. Afecta a Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft. Dada la gravedad de las vulnerabilidades, desdeVulnerability Team, exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.se recomienda la actualización de los sistemas con la mayor brevedad posible.

fuente: microsoft.com | securityfocus.com

Microsoft encuentra 1.800 agujeros en Office

Los desarrolladores de Office han localizado más de 1.800 agujeros en Office 2010 sin solucionar tras ejecutar millones de pruebas de las denominadas “fuzzing”. Microsoft aclara que no todos los fallos comprometen la seguridad de la suite.

Según explica Tom Gallagher, del equipo Trustworthy Computing de Microsoft, estas pruebas fuzzing son una práctica que llevan a cabo tanto los desarrolladores de software como los investigadores de seguridad cuando buscan agujeros en las aplicaciones. Para ello, insertan datos en analizadores de formatos de archivos para ver dónde fallan los programas. Debido a que algunos errores pueden ser posteriormente atacados con éxito para romper el software, permitiendo a un atacante insertar código maligno en la aplicación, estas prácticas fuzzing son de gran interés tanto para los investigadores, ya sean criminales o con objetivos legítimos, a la hora de localizar vulnerabilidades de seguridad.

“Hemos localizado, y solucionado, 1.800 agujeros en el código de Office 2010″, explica Gallagher, quien, tras reconocer que es “un gran número”, destaca que “lo importante es que no significa que hayamos encontrado 1.800 problemas de seguridad, puesto que también hemos solucionado aspectos que no conciernen a la seguridad de la aplicación”.

Gallagher declinó, en cualquier caso, cuantificar el número de agujeros localizados por estas técnicas que sí podrían ser considerados vulnerabilidades. Algunas de ellas ya han sido solucionadas en versiones anteriores de la suite ofimática puesto que la información obtenida con los análisis fuzzing del código de Office 2010 fue contrastada con el código de esas versiones anteriores (como Office 2007 y 2003) y parcheadas durante el desarrollo de Office 2010.

Así, los agujeros descubiertos en la última versión que no afectan a la seguridad pero que ya existían en versiones anteriores serán solucionados en los próximos Service Pack que prepara la compañía, asegura Gallagher.

Microsoft ha sido capaz de encontrar tal cantidad de agujeros utilizando no sólo máquinas de su laboratorio, si no también PC infrautilizados o sin trabajo dentro de la empresa. Un concepto que tampoco es nuevo. El proyecto Search for Extraterrestrial Intelligence fue el primero en popularizar esta práctica, que también se utiliza en investigaciones médicas o para localizar el mayor número primo.

Tal y como explica Gallagher, “lo llamamos una red botnet para fuzzing”, en referencia a lo que la propia Microsoft ha denominado Distributed Fuzzing Framework (DFF). Así, el software cliente instalado en las máquinas de la red de Microsoft automáticamente detecta cuándo un PC está sin trabajo, como los fines de semana, y lo aprovecha para realizar estos tests fuzzing. “Podemos hacer millones de operaciones de este calibre cada semana”, explica Gallagher, quien calcula que, en algunos casos, se superan los 12 millones de operaciones.

Aunque todo el equipo de desarrollo de Office utiliza esta red DFF, no todos los grupos dentro de Microsoft explotan sus posibilidades. En estos momentos, SharePoint, MSN y las búsquedas con Fast han probado este sistema, pero no los desarrolladores de Windows, por ejemplo.

fuente: csospain.es


Actualizacion del Boletin de Seguridad MS10-018

Microsoft acaba de publicar una actualizacion del Boletin de Seguridad para el mes de marzo el cual incluye el boletín de seguridad fuera de periodo MS10-018 de carácter crítico, en el que se solucionan hasta diez vulnerabilidades diferentes en Internet Explorer. Si bien la publicación con carácter de urgencia se debe a la última vulnerabilidad recientemente anunciada y que está siendo utilizada de forma activa.

La vulnerabilidad que ha propiciado la publicación del boletín afecta a Internet Explorer 6 y 7. Con el CVE-2010-0806 asignado, se encuentra en “iepeers.dll” y está causada por un puntero inválido al que se podría acceder, bajo ciertas condiciones, tras liberar el objeto apuntado. Ya tratamos anteriormente este problema en una-al-día.

Aparte de este problema la actualización corrige otros nueve problemas que afectan a Internet Explorer 5.01, 6, 7 y 8, relacionados mayoritariamente con el tratamiento de objetos en memoria y que podrían dar lugar a la ejecución de código arbitrario de forma remota.

La actualización publicada puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización del navegador con la mayor brevedad posible.

Boletín de Microsoft MS10-018

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: hispasec.com | microsoft.com



Microsoft apresura un parche para un fallo de ‘Día Cero’ en IE

Los usuarios de IE8 e IE7 no son vulnerables a este particular fallo, aunque también tendrán que actualizar porque el parche soluciona nueve vulnerabilidades.

Microsoft lanzará una actualización de emergencia el próximo martes (6 de abril) para Internet Explorer que soluciona nuevas vulnerabilidades, incluida una que ha sido utilizada en ataques en IE6 e IE7, ha dicho la compañía.

El fallo Día Cero en Internet Explorer podría permitir a un atacante tomar el control de una máquina si un usuario visita una web maliciosa. Microsoft ha advertido que los usuarios de IE8 e IE7 no son vulnerables a este particular fallo, aunque todas las versiones de Windows se verán afectadas por un parche acumulativo porque se solucionarán nueve vulnerabilidades.

La decisión de Microsoft de acelerar el lanzamiento en lugar de esperar hasta el próximo 13 de abril, que se corresponde con el segundo martes de mes, que es cuando Microsoft lanza sus parches de seguridad, es una indicación de que los ataques contra estas vulnerabilidades están aumentando.

Si se está utilizando IE6 o IE7 debe actualizarse de forma inmediata, ha dicho Microsoft, pero incluso si se está utilizando IE8 también se debe aplicar el parche.

fuente: itespresso.es


Microsoft Security Bulletin Advance Notification para Marzo 2010

Microsoft ha anunciado que emitirá dos actualizaciones de seguridad el próximo martes 9 de marzo, en su ciclo habitual de actualizaciones, para cubrir ocho vulnerabilidades en sus productos Windows y Office. Ambas actualizaciones han sido clasificadas como “importantes” dentro del ranking de valoración de la compañía.

El bajo número de actualizaciones de este mes contrasta con la elevada cantidad de parches emitida por Microsoft en su actualización de febrero, cuando lanzó 13 boletines para cubrir nada menos que 26 fallos de seguridad. Algo que no es de extrañar, según Andrew Storms, director de operaciones de seguridad de nCircle Network Security. “El mes pasado, se centró más en el sistema operativo, mientras que éste, cubrirá algunas aplicaciones”.

Por otra parte, según Storms, marzo ha sido tradicionalmente un mes escaso en parches para Microsoft, mientras que febrero, por el contrario, suele caracterizarse por el alto número de actualizaciones emitidas por la compañía.

En cualquier caso, las vulnerabilidades que cubrirán los boletines del próximo martes permiten a los atacantes insertar código malicioso en los PC comprometidos, lo que en principio permitiría calificarlos no ya de “importantes”, el segundo nivel de seguridad dentro de la clasificación del fabricante, sino de “críticos”, según los propios criterios de Microsoft.

“Cuando Microsoft clasifica una vulnerabilidad como `importante´ aunque pueda ser aprovechada para la ejecución remota de código, generalmente significa que existe algún estado por defecto que mitigaría los ataques para todos los usuarios”, explica Storms. Tal estado puede ser una configuración por defecto que proteja a los usuarios o el hecho de que la vulnerabilidad resida en un componente no instalado por defecto.

En concreto, uno de los boletines resolverá una brecha de seguridad en Windows XP, Vista y Windows 7, y afecta a los más recientes Service Packs para XP y Vista: SP3 y SP2 respectivamente. El otro cubre una o más vulnerabilidades en Excel 2002, Excel 2003 y Excel 2007 sobre Windows; Excel 2004 y Excel 2008 sobre Mac y otras piezas relacionadas con Excel y la conversión de archivos de las suites Ofice.

Microsoft Security Bulletin Advance Notification for March 2010

fuente: csospain.es | microsoft.com