Feb
8
Boletín 00011 – 02/05/2005
Category: Seguridad | 
Leave a Comment
1.- Actualización de TrendMicro bloquea los sistemas de sus clientes
2.- Parche de seguridad crítico para OpenOffice
3.- Nueva actualización de seguridad de Firefox
4.- Dos problemas de seguridad en FreeBSD
5.- Vulnerabilidad en Adobe Acrobat Reader 6.0
6.- Two Vulnerabilities in Citrix Program Neighborhood Agent
==== 1.- Actualización de TrendMicro bloquea los sistemas de sus clientes ====
Una actualización del patrón de firmas de TrendMicro causó que sistemas que utilizan su antivirus se bloquearan por completo. En un primer momento muchos administradores de sistemas creyeron que se trataba de algún tipo de virus que estaba afectando a sus redes.
La voz de alarma comenzó en foros y listas de correos. Administradores de sistemas contaban como muchas estaciones de trabajo de sus redes corporativas se encontraban totalmente bloqueadas, con un consumo de CPU al 100% que impedía trabajar con ellas.
Tras unos primeros momentos de confusión, donde se especulaba sobre un posible nuevo virus o gusano, al final se logró encontrar un punto en común.
Todos los sistemas afectados utilizaban un motor antivirus de TrendMicro.
En efecto el problema había sido ocasionado por la actualización del patrón de firmas 594 publicado por TrendMicro el pasado viernes 22 de abril. La compañía antivirus asegura que dicha actualización fue retirada en apenas 1 hora y media tras ser publicada y reemplazada de inmediato por un nuevo patrón de firmas que corregía el problema. Sin embargo la solución no fue automática.
En muchos casos los sistemas bloqueados tenían tal consumo de recursos que impedía al propio sistema de actualización de TrendMicro que descargara e instalara el nuevo patrón de firmas que corregía el problema. Por ello se hizo necesario una actuación manual que pasaba por iniciar Windows en modo seguro, borrar el archivo de actualización 594, reiniciar el sistema, y asegurarse de que se actualizaba con el patrón de firmas 596 o superior.
Si bien en los foros se comentó que el bloqueo afectaba tanto a sistemas Windows 2000 como Windows XP y a diversos productos de Trend, en el sitio de soporte de TrendMicro se documenta que los problemas se localizaron en sus productos PC-cillin Internet Security 2005 y OfficeScan Corporate Edition
(OSCE) instalados en sistemas Windows XP con SP2.
Sobra recodar que los laboratorios antivirus deben poner especial énfasis en dotar de estrictos controles de calidad a las actualizaciones antes de ser publicadas, para asegurar su compatibilidad y buen funcionamiento en diferentes configuraciones. De lo contrario la solución puede convertirse en el problema, como ha ocurrido en este caso.
Windows XP Service Pack 2 machines with critical patches and PC-cillin Internet Security 2005 starts to experience high CPU utilization after updating to Pattern 594
http://kb.trendmicro.com/solutions/search/main/search/solutionDetail.asp?sol
utionId=24264
Windows XP Service Pack 2 machines with critical patches and OfficeScan Corporate Edition (OSCE) starts to experience high CPU utilization after updating to Pattern 594 http://kb.trendmicro.com/solutions/search/main/search/solutionDetail.asp?sol
utionId=24263
==== 2.- Parche de seguridad crítico para OpenOffice ====
El parche corrige un desbordamiento de buffer en el procesamiento de documentos (.doc) que permite la ejecución de código arbitrario. Dada la gravedad del problema, y que los detalles de la explotación se han hecho públicos, se recomienda a todos los usuarios de OpenOffice actualicen de forma urgente.
La vulnerabilidad afecta a OpenOffice 1.1.4 y versiones anteriores en todas las plataformas, incluyendo Linux, Solaris, Windows y Mac OS X.
El parche publicado está destinado a corregir el problema en la versión 1.1.4, por lo que los usuarios de versiones anteriores deberán en primer lugar actualizar a OpenOffice 1.1.4 y a continuación instalar el mencionado parche.
Todos los detalles de la vulnerabilidad en la dirección
http://www.openoffice.org/issues/show_bug.cgi?id=46388
Instrucciones sobre la descarga e instalación del parche se encuentran disponibles en http://download.openoffice.org/1.1.4/security_patch.html
==== 3.- Nueva actualización de seguridad de Firefox ====
La fundación Mozilla ha publicado la versión 1.0.3 de su navegador web Firefox, con la que soluciona varios problemas de seguridad.
Mozilla es un entorno de código abierto multiplataforma, de gran calidad, nacido a partir de una iniciativa de Netscape. Firefox es el componente navegador web del proyecto Mozilla, un producto de calidad y popularidad creciente, con más de 25 millones de descargas.
Se acaba de publicar la versión 1.0.3 de Firefox, con la que se solucionan los siguientes problemas de seguridad:
* Debido a un bug de programación del intérprete de JavaScript del navegador, un script puede llegar a acceder a memoria interna del navegador web, y revelar posiblemente información potencialmente sensible.
* Un error en la gestión de “PLUGINSPAGE” cuando no tenemos instalado el “plugin” correspondiente permite ejecutar código JavaScript con privilegios locales.
* Si el usuario tiene filtrados los “popups”, pero decide activar uno puntualmente de forma manual, y dicho “Popup” contiene código JavaScript, éste se ejecutará con privilegios locales.
* Una página web maliciosa puede instalar código JavaScript que será ejecutado en el contexto de la próxima página cargada. Esto puede utilizarse para acceder a información sensible (claves, “cookies”) o realizar operaciones maliciosas sobre dicha web, con las credenciales del usuario.
* Una página web maliciosa puede ejecutar código JavaScript con privilegios locales, a través de enlaces “favicon” (los pequeños iconos en la barra y en la libreta de direcciones ).
* Un código JavaScript malicioso, instalado como “plugin” de búsqueda, puede ejecutarse con los privilegios de la página cargada cuando se realiza la búsqueda. Ello permite acceder a los datos de su contexto (por ejemplo, “cookies”), filtrar información confidencial o realizar operaciones maliciosas con las credenciales del usuario.
* Dos fallos de seguridad permiten que una página maliciosa ejecute código con privilegios locales, a través de la modificación en tiempo de ejecución de páginas privilegiadas (por ejemplo, “about:config”).
* Los objetos que gestionan la instalación de extensiones aceptaban objetos arbitrarios incorrectamente. Eso podría permitir la ejecución de código arbitrario, en el peor de los casos.
* La sobreescritura de objetos DOM privilegiados en memoria puede permitir la ejecución de código JavaScript con privilegios elevados.
Se recomienda a todos los usuarios de Firefox que actualicen a la versión 1.0.3.
Es de destacar la premura con la que la fundación Mozilla soluciona los problemas de seguridad que le son comunicados. Y es de destacar, también, que sigan manteniendo los “boletines Mozilla” para los informes de fallos de seguridad de sus productos.
Javascript “lambda” replace exposes memory contents http://www.mozilla.org/security/announce/mfsa2005-33.html
PLUGINSPAGE privileged javascript execution http://www.mozilla.org/security/announce/mfsa2005-34.html
Showing blocked BLOCKED SCRIPT popup uses wrong privilege context http://www.mozilla.org/security/announce/mfsa2005-35.html
Cross-site Scripting through global scope pollution http://www.mozilla.org/security/announce/mfsa2005-36.html
Code execution through BLOCKED SCRIPT favicons http://www.mozilla.org/security/announce/mfsa2005-37.html
Search plugin cross-site scripting
http://www.mozilla.org/security/announce/mfsa2005-38.html
Arbitrary code execution from Firefox sidebar panel II http://www.mozilla.org/security/announce/mfsa2005-39.html
Missing Install object instance checks
http://www.mozilla.org/security/announce/mfsa2005-40.html
Privilege escalation via DOM property overrides http://www.mozilla.org/security/announce/mfsa2005-41.html
Mozilla Firefox JavaScript Engine Information Disclosure Vulnerability http://secunia.com/advisories/14820/
Fixed in Firefox 1.0.3
http://www.mozilla.org/projects/security/known-vulnerabilities.html#Firefox
Firefox 1.0.3 and Mozilla Suite 1.7 Released
http://it.slashdot.org/article.pl?sid=05/04/16/054234
Mozilla Firefox 1.0.3 Release Notes
http://www.mozilla.org/products/firefox/releases/1.0.3.html
Firefox
http://www.mozilla.org/products/firefox/
==== 4.- Dos problemas de seguridad en FreeBSD ====
Las versiones no actualizadas de FreeBSD contienen dos vulnerabilidades que comprometen la estabilidad del sistema y la confidencialidad de los datos contenidos en él.
FreeBSD es un sistema operativo OpenSource gratuito y de alta calidad, perteneciente a la familia *BSD, como NetBSD u OpenBSD.
Los sistemas FreeBSD sin actualizar se ven afectadas por dos problemas de seguridad que ponen en peligro la estabilidad del sistema, e incluso llegan a permitir el acceso a memoria privilegiada.
La primera vulnerabilidad es explotable en arquitecturas amd64 y permite el acceso no controlado a los dispositivos hardware. Ello facilita desde bloquear la máquina, al acceso incontrolado a la información contenida en los diferentes dispositivos del ordenador, pasando por la alteración o destrucción de dichos datos e, incluso, hasta dañar físicamente el hardware.
La segunda vulnerabilidad, que afecta a todas las arquitecturas, permite que cualquier usuario del sistema acceda a memoria kernel y obtenga, potencialmente, acceso a datos sensibles. El problema radica en la gestión de la función “sendfile()” del kernel ante truncamientos del fichero a transmitir.
Para solucionar estas vulnerabilidades, se recomienda actualizar los sistemas FreeBSD a versiones posteriores al 6 de Abril de 2005.
Más Información:
sendfile kernel memory disclosure
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:02.sendfile.
asc
unprivileged hardware access on amd64
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:03.amd64.asc
==== 5.- Vulnerabilidad en Adobe Acrobat Reader 6.0 ====
Se ha descubierto una vulnerabilidad en la versión 6.0 y anteriores de Adobe Acrobat Reader que podría ser explotada por atacantes para ejecutar código arbitrario en la máquina de la víctima.
Adobe Acrobat reader es un software de uso muy extendido y popular, utilizado para la visualización e impresión de documentos en formato PDF (Portable Document Format).
El problema se debe a que un usuario malicioso remoto puede crear un archivo PDF especialmente formado a tal efecto que, una vez cargado por la víctima, provocará un error Invalid-ID-Handle-Error en ‘AcroRd32.exe’, lo que podría ser aprovechado para escribir ciertas partes de memoria y ejecutar así código arbitrario.
Más Información:
Vulnerability in Adobe Acrobat Reader 6.0:
http://www.alphahackers.com/advisories/acrobat6.txt
Acrobat Reader Invalid-ID-Handle-Error Buffer Overflow May Let Remote Users Execute Arbitrary Code http://www.securitytracker.com/alerts/2005/Apr/1013774.html
Adobe Systems Incorporated
==== 6.- Two Vulnerabilities in Citrix Program Neighborhood Agent ==== The Citrix Program Neighborhood Agent contains an unchecked buffer that could allow an intruder to run arbitrary code on an affected system. The code would run in the same security context as the user who is currently logged on to the system. The problem exists due to the way the agent software builds the filenames of associated icons. A second vulnerability could allow an intruder to create arbitrary shortcuts in a user’s startup folder. Citrix Systems released updated versions of its client packages along with an article, “Vulnerabilities in Program Neighborhood Agent could allow arbitrary code execution,” that describes the problem.
http://list.windowsitpro.com/t?ctl=8C08:51B03
