Adobe y sus 29 actualizaciones de Seguridad.

Adobe entra de lleno en el mundo de las actualizaciones de seguridad programadas solucionando en este ciclo nada menos que 29 problemas de seguridad en su software más popular: los lectores y editores de PDF Adobe Reader y Acrobat. Rivaliza con Microsoft, que en este ciclo ha resuelto también 34 fallos.

Los administradores de sistemas deben andar todavía ocupados intentando actualizar sus productos Microsoft y Adobe. Adobe emitió en mayo un comunicado por el que se comprometía a mejorar su política de seguridad. Básicamente, decía que mejoraría el código de desarrollo centrándose en la seguridad, que mejoraría los procesos de respuesta a incidentes, y que programaría regularmente las actualizaciones de sus productos. En concreto, cada tres meses, lo segundos martes de cada mes. Con un criterio discutible, coincidiría con los días de actualización que hace años eligió Microsoft.

Estas promesas recuerdan inevitablemente a la Trustworthy Computing que Microsoft tuvo que implantar a principios de 2002 (a través de un comunicado del propio Bill Gates) para intentar encarar los continuos reveses en seguridad que sufría. Se puso en marcha la Strategic Technology Protection Program (STPP) que más tarde daría sus frutos en proyectos que se han demostrado eficaces como el Windows Software Update Services, Microsoft Operations Manager, la política de actualización periódica, sistemas fortificados “por defecto”, etc. Aun así lo peor estaría por llegar en 2003 con Blaster, pero eso ya pertenece a la “prehistoria”, y los esfuerzos de Microsoft comenzaron a dar resultados años después.

Adobe acaba de publicar uno de sus primeros ciclos de actualizaciones con nada menos que 29 vulnerabilidades resueltas. Entre ellas la que estaba siendo aprovechada por atacantes desde hace semanas, y que permitía la ejecución de código arbitrario a través de archivos PDF especialmente manipulados. El mismo día Microsoft corregía 34, pero en una mucha mayor gama de productos.

Adobe comienza así a mejorar su seguridad, siete años más tarde que Microsoft (que aún lo está adaptando y asumiendo)… De hecho, ya se empieza a conocer a Adobe como “la nueva Microsoft”, heredando sus problemas logísticos a la hora de mejorar la seguridad, teniendo que rediseñar su estrategia (cuando quizás sea tarde), y actuando de forma reactiva en vez de haber aprendido de otros fabricantes. Ahora que Adobe se toma en serio su seguridad, esperamos que no sean necesarios tantos años para, como le está costando a Microsoft, materializar los resultados, puesto que el mundo del malware no es el mismo que en 2002, y las consecuencias de los problemas de seguridad de hoy son mucho más serias.

Adobe Reader and Acrobat Security Initiative

Security Updates Available for Adobe Reader and Acrobat

fuente: hispasec.com

Adobe curita

Anuncios

Resumen de vulnerabilidades para la Semana del 20 de julio 2009 (by US-CERT)

El US-CERT Cyber Security bulletin contiene un resumen de las nuevas vulnerabilidades que han sido registradas por el Instituto Nacional de Estándares y Tecnología (NIST) y por la Base de Datos Nacional de la vulnerabilidad (NVD) durante la semana pasada. El NVD está patrocinado por el Departamento  Homeland Security (DHS) de la División Nacional de Seguridad Cibernética (NCSD) / y el  Equipo de Preparación de Emergencia Informática de los Estados Unidos (US-CERT).

Las vulnerabilidades se basan en el estandar  CVE  y están organizadas de acuerdo a la gravedad, determinada por la puntuación de la vulnerabilidad del sistema común (CVSS) . La división de alta, media y baja gravedad se corresponden con los siguientes resultados:

  • HIGH (Alto) – Las vulnerabilidades serán etiquetados de alta gravedad si tienen un CVSS base de puntuación de 7,0 – 10,0
  • MEDIUM (Media) – Las vulnerabilidades serán etiquetados Medio gravedad si tienen un CVSS base de puntuación de 4,0 – 6,9
  • LOW (Mínima) – Las vulnerabilidades serán etiquetados de baja gravedad si tienen un CVSS base de puntuación de 0,0 – 3,9

Algunas de las vulnerabilidades que aparecen en el resumenya las hemos informado con anterioridad en este blog.

VER Vulnerability Summary for the Week of July 20, 2009 / Release Date june 27

fuente: us-cert.gov

us-cert

SE BUSCAN: Ciber Guerreros

¿Te sientes poco motivado en tu trabajo?. ¿No encuentras opciones de futuro como técnico o experto de seguridad?

La División de Inteligencia y Sistemas de la Información de los Estados Unidos oferta 250 puestos para contratar a cyber warriors que ayuden a combatir, de forma ofensiva como defensiva, en la ciberguerra digital que se avecina.

Se buscan perfiles con habilidades en ingeniería inversa, desarrollores de kernel, expertos en detección de intrusos, vulnerabilidades, sistemas de la información, seguridad en redes, web, análisis forense…

Si tienes aptitudes de cyber ninja o cyber warrior, nacionalidad americana y estás dispuesto a pasar una prueba de polígrafo exhaustiva, ésto es lo que buscas.

Las guerras que se aproximan, nada tendrán que ver con las de los últimos 100 años, donde el más fuerte era el que mejor estrategia y más armas tenía. Los soldados y capitanes quedarán atrás y se abrirá una nueva era de figuras como Neo, Morfeo o Trinity.

¿Te vas a quedar ahí sentado viviendo la realidad que Matrix te ha asignado? Escojas el bando que escojas … elige la pastilla roja.

REFERENCIA

http://www.wired.com/threatlevel/2009/07/raytheon/

fuente: securitybydefault.com

tio_sam05-06-07

VULNERABILIDAD. Nuevas variantes de vulnerabilidades que afectan a Mozilla Firefox

Mozilla Firefox and Thunderbird Remote Integer Overflow Vulnerability

Mozilla Firefox Flash Player Unloading Remote Code Execution Vulnerability

Mozilla Firefox and Thunderbird Multiple Remote Memory Corruption Vulnerabilities

Mozilla Firefox and Thunderbird RDF File Handling Remote Memory Corruption Vulnerability

Mozilla Firefox/Thunderbird Double Frame Construction Memory Corruption Vulnerabilities

Mozilla Firefox ‘setTimeout()’ Remote Code Execution Vulnerability

Mozilla Firefox ‘watch()’ and ‘ __defineSetter__ ()’ Functions Remote Code Execution Vulnerability

Published:       Jul 21 2009
Updated:          Jul 22 2009

fuente: securityfocus.com

firefox

Sun corrige 15 vulnerabilidades en JRE 1.5,x y 6.x

Sun corrige 15 vulnerabilidades en JRE 1.5,x y 6.x
La nueva versión 13 de la rama 6 de Java Runtime Environment corrige múltiples vulnerabilidades, como viene siendo habitual. El “Update 13”, como su propio nombre indica, es la decimotercera tanda de corrección de problemas de seguridad desde que apareció la rama 6 hace ahora dos años.

También se han corregido la rama 5 con el Update 18 y el JDK para desarrolladores. Los siete boletines publicados corrigen hasta 15 vulnerabilidades diferentes que podrían ser aprovechadas por un atacante remoto para escalar privilegios, provocar denegación de servicio y potencialmente, ejecutar código arbitrario.

Brevemente, las vulnerabilidades son:

  • Se ha corregido una vulnerabilidad en su implementación del servidor HTTP. Esto podría se aprovechado por un atacante remoto sin privilegios para causar una denegación de servicios a través de vectores no especificados.
  • Se han corregido múltiples desbordamientos de memoria en JRE al procesar ficheros de imagen en formato PNG o GIF, así como ficheros de fuentes. Esto podría permitir a un atacante remoto escalar privilegios a través de applets o aplicaciones Java Web Start especialmente manipuladas
  • Se ha corregido un error en la máquina virtual de JRE, que podría permitir a un atacante remoto la ejecución de código arbitrario a través de applets especialmente manipulados.
  • Se han corregido múltiples vulnerabilidades en Java Plug-in, podrían permitir a un atacante remoto escalar privilegios y obtener información sensible a través de applets especialmente manipulados.
  • Se han corregido dos vulnerabilidades en JRE al procesar y almacenar ficheros fuentes de carácter temporal consumiendo gran cantidad de espacio en disco. Esto podría permitir a un atacante remoto provocar denegación de servicio a través de applets especialmente manipulados.
  • Se ha corregido un error de desbordamiento de enteros y memoria en la utilidad de desempaquetado ‘unpack200’ de JRE. Esto podría ser aprovechado por un atacante remoto para escalar privilegios a través de applets especialmente manipulados.
  • Se ha corregido un error en la implementación de LDAP, que podría permitir a un atacante remoto realizar denegación de servicio a través de la realización múltiples conexiones desde un cliente LDAP.

Las vulnerabilidades han sido solucionadas en JDK y JRE 6 Update 13 y JRE 5.x Update 18 desde:
http://www.java.com/es/download/

JRE Updates:

http://sunsolve.sun.com/search/document.do?assetkey=1-66-254609-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254571-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254610-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254611-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254608-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254570-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254569-1

fuente: hispasec.com

java

VULNERABILIDADES. Nuevas variantes en recientes vulnerabilidades que afectan a Microsoft

Microsoft Windows Kernel Handle Local Privilege Escalation Vulnerability

Microsoft Windows Kernel GDI EMF/WMF Remote Code Execution Vulnerability

Microsoft Windows Invalid Pointer Local Privilege Escalation Vulnerability

Microsoft Windows DNS Server WPAD Access Validation Vulnerability

Microsoft Windows WINS Server WPAD and ISATAP Access Validation Vulnerability

Microsoft Windows DNS Server Incorrect Caching DNS Spoofing Vulnerability

Microsoft Windows DNS Server Response Caching DNS Spoofing Vulnerability

fuente: securityfocus.com

microsoft_logo21