Adobe y sus 29 actualizaciones de Seguridad.

Adobe entra de lleno en el mundo de las actualizaciones de seguridad programadas solucionando en este ciclo nada menos que 29 problemas de seguridad en su software más popular: los lectores y editores de PDF Adobe Reader y Acrobat. Rivaliza con Microsoft, que en este ciclo ha resuelto también 34 fallos.

Los administradores de sistemas deben andar todavía ocupados intentando actualizar sus productos Microsoft y Adobe. Adobe emitió en mayo un comunicado por el que se comprometía a mejorar su política de seguridad. Básicamente, decía que mejoraría el código de desarrollo centrándose en la seguridad, que mejoraría los procesos de respuesta a incidentes, y que programaría regularmente las actualizaciones de sus productos. En concreto, cada tres meses, lo segundos martes de cada mes. Con un criterio discutible, coincidiría con los días de actualización que hace años eligió Microsoft.

Estas promesas recuerdan inevitablemente a la Trustworthy Computing que Microsoft tuvo que implantar a principios de 2002 (a través de un comunicado del propio Bill Gates) para intentar encarar los continuos reveses en seguridad que sufría. Se puso en marcha la Strategic Technology Protection Program (STPP) que más tarde daría sus frutos en proyectos que se han demostrado eficaces como el Windows Software Update Services, Microsoft Operations Manager, la política de actualización periódica, sistemas fortificados “por defecto”, etc. Aun así lo peor estaría por llegar en 2003 con Blaster, pero eso ya pertenece a la “prehistoria”, y los esfuerzos de Microsoft comenzaron a dar resultados años después.

Adobe acaba de publicar uno de sus primeros ciclos de actualizaciones con nada menos que 29 vulnerabilidades resueltas. Entre ellas la que estaba siendo aprovechada por atacantes desde hace semanas, y que permitía la ejecución de código arbitrario a través de archivos PDF especialmente manipulados. El mismo día Microsoft corregía 34, pero en una mucha mayor gama de productos.

Adobe comienza así a mejorar su seguridad, siete años más tarde que Microsoft (que aún lo está adaptando y asumiendo)… De hecho, ya se empieza a conocer a Adobe como “la nueva Microsoft”, heredando sus problemas logísticos a la hora de mejorar la seguridad, teniendo que rediseñar su estrategia (cuando quizás sea tarde), y actuando de forma reactiva en vez de haber aprendido de otros fabricantes. Ahora que Adobe se toma en serio su seguridad, esperamos que no sean necesarios tantos años para, como le está costando a Microsoft, materializar los resultados, puesto que el mundo del malware no es el mismo que en 2002, y las consecuencias de los problemas de seguridad de hoy son mucho más serias.

Adobe Reader and Acrobat Security Initiative

Security Updates Available for Adobe Reader and Acrobat

fuente: hispasec.com

Adobe curita

Resumen de vulnerabilidades para la Semana del 10 de agosto 2009 (by US-CERT)

El US-CERT Cyber Security bulletin contiene un resumen de las nuevas vulnerabilidades que han sido registradas por el Instituto Nacional de Estándares y Tecnología (NIST) y por la Base de Datos Nacional de la vulnerabilidad (NVD) durante la semana pasada. El NVD está patrocinado por el Departamento  Homeland Security (DHS) de la División Nacional de Seguridad Cibernética (NCSD) / y el  Equipo de Preparación de Emergencia Informática de los Estados Unidos (US-CERT).

Las vulnerabilidades se basan en el estandar  CVE y están organizadas de acuerdo a la gravedad, determinada por la puntuación de la vulnerabilidad del sistema común (CVSS) . La división de alta, media y baja gravedad se corresponden con los siguientes resultados:

* HIGH (Alto) – Las vulnerabilidades serán etiquetados de alta gravedad si tienen un CVSS base de puntuación de 7,0 – 10,0
* MEDIUM (Media) – Las vulnerabilidades serán etiquetados Medio gravedad si tienen un CVSS base de puntuación de 4,0 – 6,9
* LOW (Mínima) – Las vulnerabilidades serán etiquetados de baja gravedad si tienen un CVSS base de puntuación de 0,0 – 3,9

Algunas de las vulnerabilidades que aparecen en el resumenya las hemos informado con anterioridad en este blog.

VER Vulnerability Summary for the Week of August 10, 2009 / Release Date august 17

fuente: us-cert.gov

us-cert

Resumen de vulnerabilidades para la Semana del 20 de julio 2009 (by US-CERT)

El US-CERT Cyber Security bulletin contiene un resumen de las nuevas vulnerabilidades que han sido registradas por el Instituto Nacional de Estándares y Tecnología (NIST) y por la Base de Datos Nacional de la vulnerabilidad (NVD) durante la semana pasada. El NVD está patrocinado por el Departamento  Homeland Security (DHS) de la División Nacional de Seguridad Cibernética (NCSD) / y el  Equipo de Preparación de Emergencia Informática de los Estados Unidos (US-CERT).

Las vulnerabilidades se basan en el estandar  CVE  y están organizadas de acuerdo a la gravedad, determinada por la puntuación de la vulnerabilidad del sistema común (CVSS) . La división de alta, media y baja gravedad se corresponden con los siguientes resultados:

  • HIGH (Alto) – Las vulnerabilidades serán etiquetados de alta gravedad si tienen un CVSS base de puntuación de 7,0 – 10,0
  • MEDIUM (Media) – Las vulnerabilidades serán etiquetados Medio gravedad si tienen un CVSS base de puntuación de 4,0 – 6,9
  • LOW (Mínima) – Las vulnerabilidades serán etiquetados de baja gravedad si tienen un CVSS base de puntuación de 0,0 – 3,9

Algunas de las vulnerabilidades que aparecen en el resumenya las hemos informado con anterioridad en este blog.

VER Vulnerability Summary for the Week of July 20, 2009 / Release Date june 27

fuente: us-cert.gov

us-cert

Actualización por vulnerabilidades de ejecución de código en Adobe Flash Player

Adobe ha publicado una actualización para Flash Player que soluciona numerosos problemas de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario en el sistema vulnerable.

VULNERABILIDADES recientes publicadas que afectan a Adobe Flash Player

A continuación se especifican las vulnerabilidades corregidas.

  1. Una referencia a un objeto no válido podría permitir a un atacante remoto ejecutar código arbitrario a través de un archivo Flash especialmente manipulado. Esta vulnerabilidad, descubierta por Javier Vicente Vallejo y reportada a través de iDefense, fue notificada al equipo de Adobe el pasado mes de agosto.
  2. Un error de validación de entrada que podría causar una denegación de servicio, e incluso permitir la ejecución remota de código.
  3. Se ha corregido un error no especificado relacionado con Settings Manager que podría permitir ataques de clickjacking.
  4. Un fallo no especificado relacionado con la visualización por pantalla del puntero del ratón podría permitir ataques de clickjacking en sistemas Windows.
  5. Revelación de información sensible, a través del binario de Flash Player para Linux, que podría permitir una escalada de privilegios. Adobe no ha proporcionado detalles técnicos acerca de las vulnerabilidades, aunque especifica que explotando la primera, y posiblemente la segunda, un atacante podría ejecutar código arbitrario si el usuario reproduce un fichero SWF especialmente manipulado.

Los productos y versiones afectados son:

  • Adobe Flash Player version 10.0.12.36 y anteriores.
  • Adobe Flash Player version 10.0.15.3 para Linux y anteriores.
  • Adobe AIR 1.5.
  • Adobe Flash CS4 Professional.
  • Adobe Flash CS3 Professional.
  • Adobe Flex 3.

Debido a gravedad de los fallos corregidos y a las múltiples posibilidades de explotación, se recomienda aplicar las actualizaciones de seguridad a la mayor brevedad posible.

REFERENCIAS:
Security Advisories : APSB09-01 – Flash Player update available to address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb09-01.html

Adobe Flash Player Invalid Object Reference Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=773

fuente: hispasec.com

adobe-flash-player2

VULNERABILIDAD. Microsoft SQL Server 2000 ‘sp_replwritetovarbin’ Remote Memory Corruption Vulnerability

Microsoft SQL Server 2000 is prone to a remote memory-corruption vulnerability because it fails to properly handle user-supplied input.

Authenticated attackers can exploit this issue to execute arbitrary code and completely compromise affected computers. Failed attacks will likely cause denial-of-service conditions.

The issue affects Microsoft SQL Server 2000.

fuente: securityfocus

REFERENCIA DE LA VULNERABILIDAD

microsoft-sql-server

VULNERABILIDADES. Grupo de vulnerabilidades encontradas en productos ADOBE.

Nuevo grupo de vulnerabilidades encontradas en productos de ADOBE.

Adobe Acrobat and Reader 8.1.2 Multiple Security Vulnerabilities

Adobe Reader ‘util.printf()’ JavaScript Function Stack Buffer Overflow Vulnerability

Adobe Acrobat Reader Unspecified Remote Denial Of Service Vulnerability

Adobe Acrobat 9 Unspecified PDF Document Encryption Weakness
fuente: securityfocus

adobe



VULNERABILIDAD. 10 Nuevas vulnerabilidades reportadas en el kernel de LINUX.

Se han reportado 10 nuevas vulnerabilidades que afectan el kernel de LINUX.

fuente: securityfocus

Linux Kernel SCTP INIT-ACK AUTH Extension Remote Denial of Service Vulnerability

Linux Kernel ‘/include/xen/blkif.h’ 32-on-64 Support Denial Of Service Vulnerability

Linux Kernel ‘do_splice_from()’ Local Security Bypass Vulnerability

Linux Kernel ‘truncate()’ Local Privilege Escalation Vulnerability

Linux Kernel SCTP Protocol Violation Remote Denial of Service Vulnerability

Linux Kernel i915 Driver ‘drivers/char/drm/i915_dma.c’ Memory Corruption Vulnerability


Linux Kernel ‘hfsplus_find_cat()’ Local Denial of Service Vulnerability

Linux Kernel ‘tvaudio.c’ Operations NULL Pointer Dereference Denial of Service Vulnerability

Linux Kernel ‘__scm_destroy()’ Local Denial of Service Vulnerability

Linux Kernel ‘hfs_cat_find_brec()’ Local Denial of Service Vulnerability

linux2