Boletín 00045 – 15/02/2006

==== 1.- 8 Vulnerabilities in Mozilla Suite, SeaMonkey Suite, Firefox, and Thunderbird ====
The following eight vulnerabilities exist in Mozilla Foundation’s Mozilla Suite, SeaMonkey Suite (the code name of a new version of Mozilla Suite), Thunderbird email client, and/or Firefox browser. The first vulnerability is rated critical, the next four are rated moderate, and the final three are rated low in terms of severity. The vulnerabilities are as follows:

- XML could be injected into the browser’s localstore.rdf file, which would then be read by the browser at startup. The vulnerability could allow intruders to inject JavaScript code onto a user’s system.

- The browser contains integer overflow errors that could allow intruders to execute arbitrary code on an affected system.

- The products’ QueryInterface method contains a flaw that causes memory corruption, which could allow intruders to execute arbitrary code on an affected system.

- Dynamic changes to certain style elements could cause the browser to attempt operations on freed memory space, which could allow intruders to execute arbitrary code on an affected system.

- Specially crafted JavaScript objects could trigger “garbage collection,” which could cause the browser to attempt operations on freed memory space. The condition could allow intruders to execute arbitrary code on an affected system.

- Web pages with extremely long titles cause the browser to take a long time to start up, or to crash when the computer has insufficient memory available.

- The E4X AnyName object that’s used by the products’ JavaScript engine is unintentionally exposed to Web content, which could allow scripts to perform unauthorized actions.

- The products’ XML parser might read beyond the end of a buffer, which could cause the browser to crash.

El primer fallo puede ocurrir en las siguientes versiones para Windows, Solaris y Linux:
JDK y JRE 5.0 Update 3 y anteriores.
SDK y JRE 1.4.2_08 y anteriores.
SDK y JRE 1.3.1_16 y anteriores

El segundo y tercer fallo pueden ocurrir en las siguientes versiones para Windows, Solaris y Linux:
JDK y JRE 5.0 Update 4 y anteriores.
SDK y JRE 1.4.2_09 y anteriores.

SDK y JRE 1.3.x no están afectados por estos dos fallos.

El cuarto fallo puede ocurrir en las siguientes versiones para Windows, Solaris y Linux:
JDK y JRE 5.0 Update 4 y anteriores.
SDK y JRE 1.4.x y 1.3.x no se ven afectados por este fallo.

El quinto, sexto y séptimo fallo pueden ocurrir en las siguientes versiones para Windows, Solaris y Linux:
JDK y JRE 5.0 Update 5 y anteriores.
SDK y JRE 1.4.x and 1.3.x no se ven afectados por estos tres fallos.

La primera vulnerabilidad está solventada en:
JDK y JRE 5.0 Update 4 y posteriores.
SDK y JRE 1.4.2_09 y posteriores.
SDK y JRE 1.3.1_17 y posteriores.

La segunda y tercera vulnerabilidades están solventadas en:
JDK and JRE 5.0 Update 5 y posteriores.
SDK y JRE 1.4.2_10 y posteriores.

La cuarta vulnerabilidad está solventada en:
JDK y JRE 5.0 Update 5 y posteriores.

La quinta, sexta y séptima vulnerabilidades están solventadas en:
JDK y JRE 5.0 Update 6 y posteriores.

IBM Tivoli Access Manager for Operating Systems es un sistema de control de accesos basado en políticas para los sistemas operativos UNIX y Linux.

==== 11.- 7 parches de Microsoft para el día 14 ====
Microsoft, como de costumbre, ha publicado una nota para adelantar lo que supondrá su actualización mensual de febrero. A grandes rasgos, anuncia que el martes día 14 publicará siete parches de seguridad que afectan a varios de sus productos, algunos de estos parches solventarán vulnerabilidades clasificadas como críticas.

Una vulnerabilidad afecta a Microsoft Windows Media Player con severidad calificada como crítica. Esta actualización no requerirá reinicio del sistema y como de costumbre, será detectada por el Microsoft Baseline Security Analyzer y por Enterprise Scanning Tool.

No se conocen detalles públicos sobre esta vulnerabilidad, con lo que es muy posible que haya sido anunciada a Microsoft de forma “discreta”, y no se darán detalles hasta el día de la publicación del parche. Cuatro de los errores de seguridad afectarán a Microsoft Windows, como
mínimo una de ellos es calificado como crítico, y estos sí que necesitarán de un reinicio del sistema para que tengan efecto. De estos cuatro errores es posible imaginar al menos tres de ellos, pues durante la semana han sido anunciadas por la propia Microsoft varios boletines de seguridad confirmando la existencia de vulnerabilidades, sin demasiados detalles, y anunciando que están estudiando la situación.

Por ejemplo, el 7 de febrero se confirmaba a través de un anuncio de seguridad oficial de Microsoft, un fallo de diseño en Microsoft Windows por el que usuarios locales pueden escalar privilegios. La salida a la luz de este error está directamente relacionada con el estudio publicado recientemente por Sudhakar Govindavajhala y Andrew W. Appel, y comentado en un boletín anterior de “una-al-día”.

En este profuso ensayo se estudiaba en detalle los fallos de diseño del control de acceso de Microsoft a los objetos de sistema. Los permisos SERVICE_CHANGE_CONFIG en los servicios UPnP (Universal Plug and Play), NetBT (Ayuda de NetBIOS sobre TCP/IP), ScardSvr (Tarjeta inteligente), y SSDP (Servicio de descubrimientos SSDP ) podrían ser modificados para que un usuario con pocos permisos (de forma local) ejecutase a través de ellos cualquier programa bajo una cuenta con mayores privilegios. El programa sustituido se ejecutaría al reiniciar el servicio.

El fallo afecta a Windows XP SP1 (en todos los servicios descritos) y a Windows Server 2003 (sólo en el servicio NetBT). Los usuarios de Windows XP SP2 y Windows Server 2003 SP1 parece que estarían a salvo. Existen contramedidas para mitigar los errores a través de la modificación de permisos en el registro y herramientas como sc.exe, y es importante aplicarlas hasta la salida del parche porque, a raíz del estudio publicado, se programó un exploit funcional al alcance de todos en páginas web.

También el día 7 de febrero Microsoft reconoció una vulnerabilidad en Internet Explorer, que podría llevar a la ejecución de código de forma remota. Por el contenido del anuncio, se podría deducir que se trata del mismo error cubierto en el boletín MS06-001 (912919) en el que se publicaba un parche para la famosa vulnerabilidad WMF. Pero no, es otro error distinto que sólo afecta a Internet Explorer 5.01 Service Pack 4 bajo Windows 2000 Service Pack 4 y a Internet Explorer 5.5 Service Pack 2 bajo Windows Millennium, lo que reduce en parte el campo de acción de
la vulnerabilidad. Como era de esperar, la función que hacía posible la vulnerabilidad WMF ha dado pie a nuevos errores y fallos relacionados. En un “una-al-día” anterior, también se hablaba de que “son muchos los que, a raíz del incidente, han escudriñado el motor gráfico de Windows hasta su última función, y es más que posible que en los próximos días sigan apareciendo alertas de seguridad centradas en él, o que se descubra que estas denegaciones de servicio ya expuestas, pueden conducir a la ejecución de código”, aludiendo a pruebas de concepto que se descubrieron (aun con el parche MS06-001 aplicado) y permitían perpetrar denegaciones de servicio sobre el proceso explorer.exe.

Por último, uno de estos cuatro fallos de seguridad en Windows anunciado, podría referirse a un error hecho público en una página especializada. Consiste en una vulnerabilidad en Microsoft HTML Help Workshop que permite la ejecución de código arbitrario en el sistema de la víctima al abrir ficheros en formato HHP. El fallo se ha confirmado en la versión 4.74.8702.0, pero otras podrían verse afectadas. Existe exploit funcional disponible. Microsoft HTML Help Workshop es parte del Microsoft HTML Help 1.4 SDK, un software diseñado para comprimir HTML, gráficos y otros ficheros dentro de un formato estándar comprimido de ayuda con extensión CHM.

Al proporcionar un campo “Contents file” muy largo a un fichero HHP, se desborda una memoria intermedia y permite a un usuario remoto tener control del registro EIP y por tanto ejecutar código en la máquina víctima con sólo abrir un archivo en este formato. Afortunadamente, un usuario medio no tiene por qué tener instalado este software, y una instalación básica de Windows y, que se sepa, no sabría con qué programa abrir ficheros en formato HPP.

El sexto fallo de seguridad anunciado afecta a Windows y a Office, con una criticidad “importante”. Necesitará de reinicio de sistema. El séptimo fallo afectará a Microsoft Office, y también está calificado como “importante”.

El día 14 de febrero, Microsoft además actualizará su herramienta contra el software espía o malintencionado, que se supone protegerá y eliminará virus y malware en general encontrado durante el último mes. Entre ellos seguro se encontrará (a buenas horas) el “antídoto” para “Kama Sutra”.

Desde octubre, mes en el que se publicaron nueve parches, no se habían publicado tantos boletines de seguridad. Hay que tener en cuenta que este anuncio preliminar no es definitivo y puede estar sujeto a importantes cambios. Se hace público este adelanto para que los administradores puedan planear convenientemente la estrategia de actualización y ayudarles en la tarea de parcheado. También como medida de precaución para tomar las decisiones oportunas de prevención sobre los fallos de los que se conocen detalles importantes y son susceptibles de ser aprovechados por atacantes.

Esperemos que entre estas actualizaciones veamos por fin parches para algunas de las vulnerabilidades que podemos encontrar en la lista que mantienen los prestigiosos investigadores de eEye, en la que se detallan los agujeros de seguridad no solventados por los fabricantes, aun habiéndoles sido notificados. En la lista, siempre según eEye, encontramos cuatro alertas de Microsoft, anunciadas a la empresa, críticas y no parcheadas. La más “veterana” con más de 220 días de antigüedad.

El primero de los problemas hace referencia a una debilidad en JBoss que puede ser aprovechada para revelar información sensible del sistema. El fallo se debe a un manejo incorrecto a la hora de descargar código RMI en la clase org.jboss.web.WebServer.

Este error afecta a las versionse 5.0, 5.0 SP1, 5.0 SP2, y 5.0 SP3 sólo bajo Windows.

Existe otra vulnerabilidad que puede ser potencialmente aprovechada para tener acceso a ficheros arbitrarios a través de un ataque de escalada de directorios.

El fallo afecta a las versiones 4.2, 4.2 SP1, 4.2 SP2, 5.0, 5.0 SP1, 5.0 SP2, y 5.0 SP3 sólo bajo Windows.

El fabricante ha publicado contramedidas disponibles desde la página oficial.

El fallo se debe a un error en el servidor LDAP a la hora de manejar ciertas peticiones. Esto puede llevar a tirar el servicio a través de peticiones especialmente construidas formuladas al puerto del servidor LDAP.

La vulnerabilidad ha sido confirmada en la versión 5.2 P4. Otras versiones podrían verse afectadas. Se recomienda restringir el acceso al servicio LDAP.

Por lo que si se decide eliminar estos archivos el antispyware removerá llaves del registro por lo que se volverá inservible el antivirus, así que se necesitara volver a reinstalar.

El problema se da en  la versión corporativa de Symantec 7,8,9 y 10 y en versión de cliente 1,2 y 3.  El troyano por los que son confundidos los archivos de Symantec es PWS.Bancos.A

Microsoft minimizó el problema diciendo que se esta trabajando con Symantec para resolver el problema. Pero recomendó usar  “Restaurar el sistema” de Windows XP para regresar a un punto de correcto funcionamiento del equipo para resolver el problema, si es que se presenta.

No se proporciono una solución para Windows 2000.

Aparentemente Microsoft ya quito estas actualizaciones de la red para no extender el problema. Pero se recomienda checar la versión de actualización y tener cuidado al eliminar algo con el antispyware de microsoft en estos días. El problema fue solucionado con una nueva actualización de 5807 para checar si ya no se tiene el problema ver si se cuenta con esta actualización y checar lo siguiente:

Verificar actualizaciones: abrir MSAS > Help > About > Diagnostics. Si tienes la actualización correcta debes ver lo siguiente:

Definitions Increment Version: 160/160
Definitions ThreatAuditThreatData: 1355029
Definitions ThreatAuditScanData: 3098970
Definitions DeterminationData: 806390

* MS06-004: Se trata de una actualización de seguridad acumulativa para Internet Explorer. Afecta a Microsoft Windows 2000 Service Pack 4 y además está destinado a solucionar la vulnerabilidad en el análisis de imágenes WMF. Está calificado como “crítico”.

* MS06-005: Destinado a solucionar una vulnerabilidad en el Reproductor de Windows Media que podría permitir la ejecución remota de código. Afecta a Reproductor de Windows Media para XP y al Reproductor de Windows Media 9 con Windows Server 2003, Windows 98 y Windows Millennium Edition (ME). Según la calificación de Microsoft tiene un nivel “crítico”.

* MS06-006: Evita una vulnerabilidad en el complemento del Reproductor de Windows Media con exploradores de Internet que no son de Microsoft que podría permitir la ejecución remota de código. Afecta a Windows 2000, Windows XP y Windows Server 2003.

* MS06-007: Corrige una vulnerabilidad de denegación de servicio, que podría permitir que un atacante que enviara a un sistema afectado un paquete IGMP diseñado especialmente provocar que el sistema dejara de responder. Afecta a Windows Server 2003 (todas las versiones).

* MS06-008: Soluciona una vulnerabilidad de ejecución remota de código en la forma en la que Windows procesa las solicitudes de cliente Web que podría permitir a un atacante tomar el control completo del sistema afectado. Afecta a Windows XP y Windows Server 2003.

* MS06-009: Soluciona una vulnerabilidad en Windows y Office en el Editor de métodos de entrada (IME) para el idioma coreano. Esta vulnerabilidad podría permitir que un usuario malintencionado tome pleno control de un sistema afectado. Para que un ataque tenga éxito, un atacante debe poder iniciar sesión de forma interactiva en el sistema afectado. Afecta a Windows XP; Windows Server 2003; los Paquetes de interfaz de usuario multilingüe de Office 2003, Visio 2003 y Project 2003; Herramientas de corrección para Office 2003; Visio 2003; OneNote 2003 y Project 2003.

* MS06-010: Esta actualización está destinada a corregir una vulnerabilidad de divulgación de información en PowerPoint. Un atacante que aproveche esta vulnerabilidad podría intentar obtener
acceso de forma remota a objetos de la carpeta Archivos temporales de Internet explícitamente por nombre. Es importante mencionar que la vulnerabilidad no permitirá al atacante ejecutar códigos o elevar directamente sus derechos de usuario, pero podría servir para reunir información útil que pudiera usarse para tratar de sacar más provecho del sistema afectado. Afecta a Microsoft Office 2000 Service Pack 3.

==== 18.- Windows Defender Beta 2 ====
Microsoft liberó oficialmente Windows Defender beta 2 (nombre dado ahora al antispyware de Microsoft).  Las mejoras de esta nueva versión según el sitio web de Microsoft son:

·       Mejora en la detección y eliminación.
·       Rediseñado y mayor facilidad en el manejo de la interfaz gráfica.
·       Protección para cada uno de los usuarios.
·       Actualización del software a través de Actualizaciones Automáticas.
·       Estadísticas.

Compatible con  Windows 2000 (Service Pack 4+), Windows XP (SP2+ y x64), y Windows Server 2003 (SP1+).

Esta es una opción antispyware gratuita para usuarios validos de Windows y formara parte de Windows Vista. Microsoft declaro que esta nueva versión no tiene problemas con Norton Antivirus.

Windows Defender tiene además una herramienta integrada de nombre “Software Explorer” con la cual puedes:

·       Deshabilitar o eliminar  programas de inicio.
·       Finalizar procesos.
·       Finalizar Conexiones de Red
·       Ver dlls usando.

De todo esto proporciona información  de cada proceso o archivo como:

·       Descripción
·       Fecha de instalación
·       Clasificación
·       Empresa
·       Firma digital.
·       Localización
·       Versión

Funciona más o menos igual que Autoruns y Process Explorer de Sysinternals.