« Boletín 00005 – 14/02/2005
Boletín 00007 – 04/04/2005 »

Feb

8

Boletín 00006 – 08/03/2005

Category: Seguridad | Leave a Comment

1.- Vulnerabilidad crítica en productos Trend Micro

2.- Nuevo Firefox 1.0.1 corrige 17 vulnerabilidades

3.- Actualización de cyrus-imapd para SuSE Linux 8 y 9

4.- Falsificación de resolución de nombres de dominio en KDE KPPP

5.- Actualización de seguridad para RealNetworks

6.- W32/Bagle.dldr

7.- Microsoft no publicará actualizaciones en marzo

8.- WORM_KELVIR.B

9.- WORM_FATSO.A

==== 1.- Vulnerabilidad crítica en productos Trend Micro ====

Una vulnerabilidad al procesar los archivos ARJ puede ser explotada por un atacante para ejecutar código arbitrario y comprometer los sistemas con algún producto antivirus de Trend Micro.

La explotación puede ser llevada a cabo de forma automática, sin necesidad de que la víctima realice ninguna acción, ya que basta con que el sistema reciba un archivo ARJ especialmente diseñado y que éste sea analizado por el antivirus de Trend Micro.

Tanto estaciones de trabajo, como servidores de correo, servidores de archivos, proxys puedne resultar comprometidos

Trend Micro ha publicado una nueva versión de su motor, VSAPI 7.510, que corrige el problema, y que puede ser descargada según producto en la dirección http://www.trendmicro.com/download/engine.asp

==== 2.- Nuevo Firefox 1.0.1 corrige 17 vulnerabilidades ====

Disponible la nueva versión 1.0.1 de Firefox que corrige 17 vulnerabilidades de diversa consideración, entre otras el problema que favorecía los ataques phishing utilizando caracteres internacionales en el nombre de dominio. El problema se debe a un error en el tratamiento de IDN (International Domain Name), que permite el uso de caracteres internacionales en nombres de dominio. Esta circunstancia puede ser explotada para registrar nombres de dominio con ciertos caracteres internacionales que se parecen a otros de uso común, con lo que se puede engañar al usuario.

A efectos prácticos, es posible enlazar con un dominio que tiene la dirección http://www.paypаl.com/ y que el usuario visualice en su navegador la URL http://www.paypal.com/

Este tipo de vulnerabilidades son aprovechadas especialmente por los ataques phishing, ya que facilita engañar al usuario para que crea que se encuentra navegando en un sitio web legítimo, cuando en realidad estará introduciendo sus credenciales en el sitio web del atacante.

Este problema afectaba, además de a Firefox, a Konqueror, Mozilla, OmniWeb, Opera, Safari, Netscape. En esta ocasión se libraba Internet Explorer al no soportar IDN.

La nueva versión Firefox 1.0.1 corrige además otras vulnerabilidades. Firefox 1.0.1 está disponible para su descarga en la dirección http://www.mozilla.org/products/firefox/

==== 3.- Actualización de cyrus-imapd para SuSE Linux 8 y 9 ====

SuSE ha publicado paquetes actualizados de cyrus-imapd para sus sistemas Linux 8 y 9 debido a que se han detectado vulnerabilidades en dicho componente que podrían ser explotadas para provocar denegaciones de servicio o incluso comprometer la seguridad del propio sistema.

Un problema de control de tamaños de variables en el tratamiento de buzones de correo puede ser explotado por un usuario malicioso autenticado para provocar un desbordamiento de búfer.

Otro problema del mismo tipo en la extensión imapd annotate puede ser también explotado por usuarios maliciosos autenticados para provocar desbordamientos de búfer. gualmente existe otro error de tratamiento de tamaños de variables,

> sin especificar, se ha detectado en fetchnews, y puede ser explotado por administradores de peer news para provocar un desbordamiento de búfer basado en stack.

En backend existe otro error del mismo tipo que puede ser usado por usuarios administrativos maliciosos para provocar desbordamientos de búfer basados en stack.

Finalmente, otro error utilizable para provocar desbordamientos de búfer basados en stack ha sido detectado en el propio imapd. Las direcciones para descargar los paquetes actualizados (según versión y plataforma) son las siguientes:

Plataforma x86:

SUSE Linux 9.2:

ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/i586/cyrus-imapd-2.2.8-6.5.i586.rpm

SUSE Linux 9.1:

ftp://ftp.suse.com/pub/suse/i386/update/9.1/rpm/i586/cyrus-imapd-2.2.3-83.22.i586.rpm

SUSE Linux 9.0:

ftp://ftp.suse.com/pub/suse/i386/update/9.0/rpm/i586/cyrus-imapd-2.1.15-91.i586.rpm

SUSE Linux 8.2:

ftp://ftp.suse.com/pub/suse/i386/update/8.2/rpm/i586/cyrus-imapd-2.1.12-77.i586.rpm

Plataforma x86-64:

SUSE Linux 9.2:

ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/x86_64/cyrus-imapd-2.2.8-6.5.x86_64.rpm

ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/src/cyrus-imapd-2.2.8-6.5.src.rpm

SUSE Linux 9.1:

ftp://ftp.suse.com/pub/suse/x86_64/update/9.1/rpm/x86_64/cyrus-imapd-2.2.3-83.22.x86_64.rpm

ftp://ftp.suse.com/pub/suse/x86_64/update/9.1/rpm/src/cyrus-imapd-2.2.3-83.22.src.rpm

SUSE Linux 9.0:

ftp://ftp.suse.com/pub/suse/x86_64/update/9.0/rpm/x86_64/cyrus-imapd-2.1.15-91.x86_64.rpm

ftp://ftp.suse.com/pub/suse/x86_64/update/9.0/rpm/src/cyrus-imapd-2.1.15-91.src.rpm

==== 4.- Falsificación de resolución de nombres de dominio en KDE KPPP ====

Se ha anunciado una vulnerabilidad en KDE KPPP por la que un usuario local podrá falsificar la resolución de nombres de dominio en el sistema. KPPP es un dialer e interfaz para pppd destinado a funcionar sobre el entorno gráfico KDE. El problema reside en que KPPP no cierra adecuadamente los descriptores de archivos. Un usuario local puede abrir 17 descriptores de archivos antes de ejecutar. KPPP cerrará los descriptores de archivos abiertos con anterioridad dejará un descriptor de archivo privilegiado abierto.

Un usuario local podrá explotar el descriptor de archivo para conseguir acceso de lectura y escritura sobre ‘/etc/hosts’ y ‘/etc/resolv.conf’. Como resultado, el atacante local podrá controlar la resolución de nombres de dominio en el sistema.

Se ha publicado un parche para KDE 3.1, disponible en: ftp://ftp.kde.org/pub/kde/security_patches:0e999df54963edd5f565b6d541f408d9post-3.1.5-kdenetwork.diff

Como contramedida temporal se recomienda eliminar el bit setuid de KPPP y dar privilegior de root de forma manual antes de ejecutar KPPP: chmod -s /usr/sbin/kppp

==== 5.- Actualización de seguridad para RealNetworks ====

RealNetworks, pone a disposición de sus usuarios una actualización para resolver una serie de vulnerabilidades en los reproductores de la familia RealPlayer y por las que un atacante podría ejecutar código arbitrario.

El primer problema corregido consiste en la posibilidad de realizar un desbordamiento de búfer y lograr la consiguiente ejecución de código, al reproducir en la máquina atacada un archivo tipo WAV especialmente construido.

La segunda vulnerabilidad también reside en un desbordamiento de búfer y posterior ejecución de código. Aunque en este caso se produce al tratar un archivo tipo SMIL especialmente mal creado en la máquina atacada.

http://service.real.com/help/faq/security/050224_player/ES-XM/

==== 6.- W32/Bagle.dldr ====

This is a Medium Threat Advisory Upgrade for W32/Bagle.dldr. This Threat has had its Risk Assessment Upgraded to Medium from Low.

Justification

W32/Bagle.dldr has been Upgraded to Medium due to prevalence.

Read About It

Information about W32/Bagle.dldr is located on VIL at: http://vil.mcafeesecurity.com/vil/content/v_129512.htm

Detection

W32/Bagle.dldr was first discovered on 11/01/2004 and new variant detection will be added to the 4437 dat files (Release Date: 03/01/2005). The EXTRA.DAT will be available soon.

If you suspect you have W32/Bagle.dldr, please submit a sample to http://www.webimmune.net.

Risk Assessment Definition

For further information on the Risk Assessment and AVERT Recommended Actions please see:

http://www.mcafeesecurity.com/us/security/resources/risk_assessment.htm

==== 7.- Microsoft no publicará actualizaciones en marzo ====

Microsoft ha anunciado que el próximo martes, de acuerdo a su política de distribución de actualizaciones de seguridad mensuales, no publicará ningún boletín de seguridad.

Este mes de marzo ha anunciado que el martes que viene (día 8), segundo martes de marzo, no está planeada la publicación de ningún boletín. Este hecho no sucedía desde diciembre de 2003. Sin embargo, mantiene el webcast sobre los boletines de seguridad marzo en el que se aprovechará la oportunidad para que los técnicos de Microsoft respondan las preguntas de los usuarios sobre asuntos relacionados con la publicación de boletines y distribución de actualizaciones de seguridad.

Microsoft Security Bulletin Advance Notification http://www.microsoft.com/technet/security/bulletin/advance.mspx

TechNet Webcast: Information about Microsoft’s March Security Bulletins http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032269401&Culture=en-US

==== 8.- WORM_KELVIR.B: ====

This new worm is very similar to WORM_KELVIR.A, in that it also propagates via MSN messenger. It attempts to send the following instant message to all online MSN messenger contacts of an affected user:

http://home.ea<BLOCKED>link.net/gallery10/omg.pif lol! see it! u’ll like it”

When the user clicks the given URL, this worm downloads a copy of itself, named OMG.PIF, from the given URL. When this downloaded copy is executesd, it downloads another malware file from the Internet, which Trend Micro detects as WORM_SDBOT.AUI.

For more information on WORM_KELVIR.B you can visit:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_KELVIR.B

==== 9.- WORM_FATSO.A ====

This memory-resident worm arrives on a system via MSN messenger, a popular instant messaging application. It spreads copies of itself to all online MSN messenger contacts of an affected system by sending an instant message conataining a link, which when clicked, downloads a copy of this worm into the recipient’s system. This worm also has the ability to propagate via eMule, a known peer-to-peer (P2P) file sharing application.

This worm is capable of redirecting infected users to a certain Web site, which as of this writing, is already not available. It does this whenever the user accesses Web sites that are associated with antivirus and security companies.

It may also terminate certain running processes, and disallow them from executing while this worm resides in the memory.

For more information on WORM_FATSO.A you can visit:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FATSO.A



Possibly related:


Comments

Name (requerido)

Email (requerido)

Web

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Share your wisdom

    RSS
    Febrero 2007
    L M X J V S D
        Mar »
     1234
    567891011
    12131415161718
    19202122232425
    262728