GNOME glib Base64 Encoding and Decoding Multiple Integer Overflow Vulnerabilities

The GNOME glib library is prone to multiple integer-overflow vulnerabilities related to encoding and decoding Base64 data.

Successful exploits may allow remote attackers to cause denial-of-service conditions or potentially execute arbitrary code on computers running the affected library.

The following are vulnerable:

GNOME glib 2.11
GNOME glib 2.12
GStreamer gst-plugins-base prior to 0.10.23
GNOME libsoup prior to 2.2.0
GNOME libsoup prior to 2.24
Evolution Data Server prior to 2.24.5

Additional applications and versions may also be affected.

Published:       Mar 12 2009 12:00AM
Updated:         Mar 27 2009 09:06AM

REFERENCIA DE LA VULNERABILIDAD

fuente: securityfocus.com

gnome

Anuncios

Vulnerabilidad 0 day en Mozilla Firefox 3.x para todos los sistemas operativos

El día 25 de marzo se ha publicado sin previo aviso una prueba de concepto que hace que Firefox deje de responder. No existe parche disponible y se sabe que la vulnerabilidad, en realidad, permite ejecución de código. Se trata por tanto, de un 0 day. Al parecer la fundación Mozilla ya ha programado la solución pero no hará pública una nueva versión 3.0.8 del navegador hasta principios de la semana que viene.

El pasado miércoles, un tal Guido Landi hacía públicos (sin previo aviso) los detalles de una vulnerabilidad que permite la ejecución de código en el navegador con solo interpretar un archivo XML especialmente manipulado. En principio la prueba de concepto publicada hace que el navegador deje de responder, pero es posible de forma relativamente sencilla modificar el exploit para que permita la ejecución de código. El problema afecta a todas las versiones (actual y anteriores) del navegador sobre cualquier sistema operativo.

Los desarrolladores de Mozilla han calificado la vulnerabilidad como crítica y urgente, y afirman que ya lo tienen solucionado (en realidad se trata simplemente de un cambio de orden de una línea de código), pero que no publicarán Firefox 3.0.8 hasta principios de la semana que viene. Si el fallo es también reproducible en Thunderbird, es previsible que haya que esperar incluso más tiempo para que se publique una nueva versión.

Se recomienda no visitar páginas sospechosas. Los usuarios más avanzados pueden descargar el archivo corregido directamente del repositorio y recompilar.

Más Información:

Exploitable crash in xMozillaXSLTProcessor::TransformToDoc
https://bugzilla.mozilla.org/show_bug.cgi?id=485217

Firefox Fix Due Next Week After Attack Is Published
http://www.pcworld.com/article/161988/

fuente: Hispasec

firefox-logo1

Boletin de Seguridad de Microsoft MS09-004 (Importante)

Vulnerabilidad en Servidores  Microsoft SQL podria Permitir Ejecución de Código Remota (959420)
Publicado: 10 de febrero de 2009 | Actualizacion: 5 de marzo de 2009
Versión: 1.1

Resumen Información General
Esta actualización de seguridad resuelve una vulnerabilidad reportada en Servidores Microsoft SQL. La vulnerabilidad podría permitir la ejecución de código remoto si usuarios no-validos acceden a un sistema afectado o si un ataque de inyección SQL va dirigido a un sistema afectado. Los sistemas SQL Server 7.0 SP 4, SQL Server SP3, y SQL Server 2008 no estan afectados por esta situacion.

REFERENCIA: http://www.microsoft.com/technet/security/bulletin/ms09-004.mspx

fuente: microsoft.com

technet_microsoft

Información sobre la nueva vulnerabilidad de Excel

La semana pasada se informó sobre la aparición de una vulnerabilidad “zero-day” en Microsoft Excel la cual estaba siendo explota por hackers. Pero recopilemos un poco más de información acerca de este tema.

La vulnerabilidad puede ser explotada al abrir un documento Excel malicioso. Si el exploit tiene éxito podría permitir al atacante ejecutar código arbitrario con los privilegios del usuario que está ejecutando la aplicación, por lo tanto si el usuario está logado con permisos administrativos, el atacante podría obtener el control total del sistema afectado.

Symantec ha detectado exploits que intentan aprovechar la vulnerabilidad detectándolos como Trojan.Mdropper.AC.

Según el artículo More information about the new Excel vulnerability publicado por Microsoft en su blog Security Research & Defense (http://blogs.technet.com/srd/archive/2009/02/24/more-information-about-the-new-excel-vulnerability.aspx), los atacantes tienen como objetivo principal el Office 2007 en Windows XP. Según Microsoft es la primera vez que un exploit puede ejecutar código en Office 2007, siendo el formato vulnerable el archivo binario heredado, no el nuevo formato XML. Y que debido a la naturaleza de la vulnerabilidad es más fácil que sea explotada en Office 2007 que versiones anteriores de Office.

En cuanto a la solución, Microsoft no ha publicado a día de hoy un parche pero si da un par de workarounds. Estas soluciones provisionales vienen descritas en http://www.microsoft.com/technet/security/advisory/968272.mspx. La primera de ellas consiste en habilitar MOICE (Microsoft Office Isolated Conversion Environment), con ello los XLS se convierten a XSLX antes de ser abiertos ya que el nuevo formato XML no es susceptible a la vulnerabilidad. La segunda opción, que podría ser más problemática para la mayoría de entornos, se trata de habilitar FireBlock, con esta opción activa, Excel sólo abrirá archivos con el nuevo formato XML.

fuentes: securityfocus.com, microsoft.com, blogs.technet.com

excel

Aprovechan vulnerabilidad en Internet Explorer 7 a través de documentos Word

Aprovechan vulnerabilidad en Internet Explorer 7 a través de documentos Word
Algunas casas antivirus advierten de que una de las últimas vulnerabilidades de Internet Explorer 7 se está aprovechando activamente por atacantes para infectar sistemas. Lo curioso no es que un fallo (que se suponía previamente desconocido) esté siendo aprovechado poco después de hacerse público. La novedad introducida en este caso, es que se está realizando (ya por segunda vez) el ataque al navegador a través de documentos en formato Word.

El pasado martes 10 de febrero, en su boletín MS09-002, Microsoft solucionó dos vulnerabilidades críticas que afectaban sólo a Internet Explorer 7. Ambas permitían la ejecución de código arbitrario si la víctima visitase una web especialmente manipulada. Apenas una semana después de que Microsoft hiciese público el parche, se han detectado los primeros ataques. Una vez con el parche en su poder, los atacantes aplican ingeniería inversa para conocer las zonas de código que modifica la actualización, y averiguar los detalles técnicos concretos de la vulnerabilidad para así aprovecharla en su beneficio con exploits.

Normalmente este tipo de vulnerabilidades que permiten ejecución de código en el navegador necesitan que la víctima visite una web manipulada. En este caso, además de este vector, los atacantes se están ayudando de un documento Word con un objeto ActiveX incrustado en su interior. Cuando se interpreta con Word el documento, Internet Explorer 7 visita la web que sí contiene el exploit y se aprovecha la vulnerabilidad (si la víctima no ha aplicado el parche). Se establece un paso previo que al parecer puede resultar rentable al atacante: en vez de inducir a la visita de una página web, se incita al usuario a abrir un documento que, gracias a su interactividad con el navegador, abrirá una página web que sí permite infectar al sistema.

La ventaja adicional para los creadores del malware es que esto se produce de forma transparente al usuario. Pero sólo si se ha sido descuidado en la configuración de su paquete ofimático. Si se evita la ejecución de macros en Word, el control ActiveX no se instanciará y no se descargará nada. Por defecto Microsoft bloquea la ejecución de macros en Office. Obviamente, la visita directa a la página (sin abrir el documento) también infectará a la víctima siempre que no esté parcheada y no haya elevado la seguridad de su navegador para evitar la ejecución de JavaScript en sitios desconocidos.

Una vez infectado, como es habitual, el malware descarga diferentes componentes y robará información confidencial de la víctima. En diciembre se dio ya el primer caso de vulnerabilidades en Internet Explorer 7 aprovechadas a través de documentos Word.

Aunque McAfee habla de que el exploit está “in the wild”,  Trend Micro, sugiere que el ataque es todavía limitado. Por firmas son los dos únicos antivirus que detectan el archivo DOC por ahora. En cualquier caso, se recomienda actualizar el navegador lo antes posible.

fuente: hispasec

logo_word

Limitada explotación de reciente vulnerabilidad en Internet Explorer

Un agujero de seguridad en Internet Explorer 7, que fuera solucionado por Microsoft la pasada semana, podría estar siendo explotado comprometiendo aquellos ordenadores que no se han actualizado con los últimos parches.

Han surgido alertas sobre un código malicioso capaz de aprovechar la vulnerabilidad que informara el boletín MS09-002. A esta vulnerabilidad se le adjudicó un índice de explotabilidad medio en su momento, porque no se conocían exploits activos.

La investigación del nuevo código, llevaría a pensar que los atacantes utilizaron ingeniería inversa a partir del parche aplicado, y de ese modo habrían obtenido la información para crear un código malicioso que saca provecho del fallo, permitiéndoles vulnerar la seguridad de los ordenadores a través del navegador afectado.

Según reportes, el método que han utilizado para los ataques, que han sido pocos hasta el momento, es el envío de un archivo de Microsoft Word especialmente modificado para que el Internet Explorer 7, abra silenciosamente un sitio web malicioso.

No deben descartarse otros medios usuales de infección, tales como enlaces en correos electrónicos, falsos videos, o la visita a páginas maliciosas preparadas para buscar y explotar otros agujeros de seguridad existentes en el equipo.

Sin embargo, Sergio de los Santos de Hispasec Sistemas y David Harley, Director of Malware Intelligence de ESET, concuerdan en que este ataque estaría siendo exagerado por algunos medios, aunque si se puede hablar de un impacto limitado.

De todos modos, esto no es razón para descuidar la seguridad de nuestro PC. El sistema operativo debe tener las últimas actualizaciones disponibles, lo que incluye las últimas versiones de cualquier otro software instalado en el ordenador.

Para los usuarios con conocimientos avanzados, se aconseja deshabilitar los macros en Microsoft Word y por supuesto mantener el antivirus actualizado.

fuente: la flecha

757_explorer1

Denegación de servicio en Cisco Unified Communications Manager 5.x y 6.x

Cisco ha publicado una actualización para Cisco Unified Communications Manager 5.x y 6.x que corrige un fallo de seguridad que podría permitir que un atacante remoto causase una denegación de servicio.

La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos.

El servicio Certificate Authority Proxy Function (CAPF) no maneja adecuadamente las entradas mal formadas, lo que podría provocar una interrupción de los servicios de voz. El servicio CAPF no está habilitado por defecto.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.
Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
www.cisco.com/warp/public/707/cisco-sa-20090121-cucmcapf.shtml

fuente: hispasec

cisco1