Feb
22
Boletín 00054 - 02/05/2006
Category: Seguridad | 
1.- Aparece Inject.AE. un troyano que se inyecta en el .exe del Explorer
2.- Elevacion de privilegios en Sun Java Studio Enterprise 8
3.- Microsoft prepara parches para los parches de abril
4.- Investigador encontra mas bugs en Max OS X
5.- Graves fallos de seguridad en Mozilla Firefox e Internet Explorer
6.- Vulnerabilidad con etiquetas OBJECT anidadas en IE
7.- Nueva falla de seguridad encontrada en IE
8.- Amenaza de ataque de negacion de servicio en servidores Hitachi
9.- Múltiples vulnerabilidades en Ethereal
10.- Vulnerabilidad en Firefox (js320.dll/xpcom_core.dll)
11.- Bases de datos Oracle con parches todavia estan en riesgo
12.- Vulnerabilidad en diálogos de seguridad ActiveX de Internet Explorer
13.- Ejecución de código en sendmail de Sun Cobalt
14.- Desbordamiento de búfer en ClamAV
15.- Fuentes de Información
==== 1.- Aparece Inject.AE. un troyano que se inyecta en el .exe del
Explorer ====
http://www.laflecha.net/canales/seguridad/noticias/200604231/
Troyano del tipo “Dropper” que libera y ejecuta dos componentes. Tambien intenta descargar y ejecutar otros elementos desde Internet, segun informa VSantivirus.
==== 2.- Elevacion de privilegios en Sun Java Studio Enterprise 8 ====
http://www.hispasec.com/unaaldia/2738
Se ha anunciado la existencia de una vulnerabilidad en Sun Java Studio Enterprise, que puede ser empleada por usuarios locales para elevar sus privilegios en los sistemas afectados.
==== 3.- Microsoft prepara parches para los parches de abril ==== http://www.vnunet.com/vnunet/news/2154572/microsoft-prepares-fix-april
Microsoft esta preparandose para publicar una nueva version de un parche despues que la primera version causo problemas en algunas sistemas.
==== 4.- Investigador encontra mas bugs en Max OS X ==== http://security.itworld.com/4340/060424macbugs/page_1.html
Un investigador de seguridad de califormaia ha publicado codigo que explota un numero de bugs sin parchar en la plataforma Mac OS X.
==== 5.- Graves fallos de seguridad en Mozilla Firefox e Internet Explorer =====
Michal Zalewski ha descubierto un grave fallo para Internet Explorer. Se ha identificado una vulnerabilidad que puede ser aprovechada por atacantes para ejecutar código arbitrario. El fallo se debe a una corrupción en la memora a la hora de procesar scripts HTML manipulados. Si el código contiene etiquetas OBJECT especialmente formadas, el navegador dejaría de funcionar y, probablemente, quedaría en disposición de inyectar código y poder ser ejecutado.
Parece que hoy por hoy, el simple hecho de navegar por Internet puede resultar un deporte de riesgo, y esta vez no se puede apuntar con el dedo exclusivamente a los “sospechosos habituales”. La principal alternativa para la navegación, Mozilla Firefox acababa de solventar unas veinte vulnerabilidades con su última versión 1.5.0.2 del 13 de abril, cuando ya el día 24 se publica un nuevo fallo que provoca que el navegador deje de funcionar (se provoque denegación de servicio). En este caso, no está claro que el problema pueda resultar en la ejecución de código, aunque es probable.
La vulnerabilidad se debe a un error de manejo de Javascript en js320.dll y pcom_core.dll relacionado con la función iframe.contentWindow.focus. Un usuario remoto podría crear una página HTML especialmente manipulada tal que, al ser cargada, dispararía un desbordamiento de memoria intermedia (búfer). Existe prueba de concepto capaz de hacer que Firefox deje de funcionar abruptamente.
La popularidad del navegador de la fundación Mozilla se eleva cada día y, aunque el porcentaje aún se vea superado con creces por Internet Explorer, supone ya un jugoso número de usuarios en cifras totales. Firefox puede estar pagando ya el precio de la fama. Cabía esperar que ante el creciente interés por la aplicación, muchos más ojos lo escudriñaran. El hecho de que su código sea visible facilita el estudio e identificación de vulnerabilidades, además de encontrarse en una versión todavía “joven”.
Estos factores influirán sin duda en que, en lo sucesivo, sigan apareciendo errores.
Ante estas potenciales vulnerabilidades, habrá que estar atento a cómo y en cuánto tiempo serán resueltas. También a un factor externo al navegador pero
importante: la (por ahora escasa) cantidad de malware que phishers y demás fauna de Internet destinen específicamente a aprovecharse de estos hipotéticos fallos. Estas serán condiciones decisivas para seguir considerando a Firefox un software fiable y razonablemente seguro en el futuro.
Para ninguno de los dos errores mencionados existe parche oficial por el momento. Ante tan oscuro panorama, siempre quedarán alternativas como Konqueror y Opera, navegadores con una cantidad de vulnerabilidades
(descubiertas) tan pequeña como su porcentaje de uso. Ventajas de pertenecer a una minoría.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2741/comentar
Más información:
Firefox Javascript flaw:
http://www.milw0rm.com/exploits/1716
MSIE (mshtml.dll) OBJECT tag vulnerability http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/045422.html
==== 6.- Vulnerabilidad con etiquetas OBJECT anidadas en IE ==== http://www.vsantivirus.com/vul-ie-object-220406.htm
Una vulnerabilidad en el visor HTML del Internet Explorer (MSHTML.DLL), puede provocar un desbordamiento de bufer con corrupcion de memoria, cuando el programa intenta manejar etiquetas OBJECT anidadas.
==== 7.- Nueva falla de seguridad encontrada en IE ====
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci11849
76,00.html
Dos semanas despues que Microsoft parcho una serie de fallas de seguridad en Internet Explorer, una nueva vulnerabilidad ha aparecido y podria permitir a intrusos ejecutar codigo malicioso y corromper la memoria del sistema.
==== 8.- Amenaza de ataque de negacion de servicio en servidores Hitachi ==== http://www.vnunet.com/vnunet/news/2154805/hitachi-servers-dos-threat
Un problema ha sido encontrado en software de servidores Hitachi que podria ser utilizado por un intruso malicioso para causar un ataque de negacion de servicio.
==== 9.- Múltiples vulnerabilidades en Ethereal ==== Se han identificado hasta 28 vulnerabilidades en Ethereal, que pueden ser aprovechadas por atacantes remotos para provocar denegaciones de servicio o comprometer los sistemas vulnerables.
Ethereal es una aplicación de auditoría orientada al análisis de tráfico en redes, que goza de mucha popularidad, ya que está disponible en múltiples plataformas, soporta una gran cantidad de protocolos y es de fácil manejo.
Los fallos encontrados se deben a bucles infinitos, off-by-one, y desbordamiento de búfer que afectan a los analizadores de protocolos H.248, UMA, X.509if, SRVLOC, H.245, COPS, ALCAP, AIM, RPC, DCERPC, ASN.1, SMB PIPE, BER, SNDCP, telnet, DCERPC NT, y PER, así como a la impresión OID printing, al contador de estadísticas, Network Instruments, y módulos NetXray/Windows Sniffer.
Estas vulnerabilidades pueden ser aprovechados para ejecutar código arbitrario o provocar denegaciones de servicio a través de ficheros de trazas malformados.
Las versiones afectadas son Ethereal 0.8.5 hasta la 0.10.14, se recomienda actualizar a la versión 0.99.0 desde:
http://www.ethereal.com/download.html#releases
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2742/comentar
Más información:
Ethereal Protocol Dissectors Code Execution and Denial of Service Vulnerabilities
http://www.frsirt.com/english/advisories/2006/1501
==== 10.- Vulnerabilidad en Firefox (js320.dll/xpcom_core.dll) ==== http://www.vsantivirus.com/vul-firefox-240406.htm
Una vulnerabilidad del tipo “Zero day” (dia cero),o sea hecha publica antes de que el problema haya sido solucionado, afecta al navegador Firefox, incluyendo su ultima version 1.5.0.2 publicada hace apenas unos dias.
==== 11.- Bases de datos Oracle con parches todavia estan en riesgo ==== http://www.zdnetasia.com/news/security/0,39044215,39354937,00.htm
La ultima actualizacion de Oracle no soluciona una falla de seguridad en la base de datos que ya ha sido explotada, un investigador de seguridad alerto.
==== 12.- Vulnerabilidad en diálogos de seguridad ActiveX de Internet Explorer ====
Se ha identificado una vulnerabilidad en Microsoft Internet Explorer que puede ser aprovechada por atacantes para ejecutar código en un sistema afectado. El fallo se debe a una condición de carrera a la hora de mostrar y procesar diálogos de seguridad relativos a controles ActiveX. Esto podría ser aprovechado por atacantes remotos para manipular los diálogos si se incita al usuario a que visite una página especialmente manipulada, aunque requiere de cierta interactividad por parte del usuario.
La explotación exitosa de este problema puede provocar la instalación, de forma inadvertida para el usuario, de código ActiveX en el sistema. No existe parche oficial por el momento. Se recomienda no navegar por páginas no confiables.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2743/comentar
Más información:
Microsoft Internet Explorer Modal Security Dialog Race Condition May Let Remote Users Install Code or Obtain Information http://securitytracker.com/alerts/2006/Apr/1015720.html
==== 13.- Ejecución de código en sendmail de Sun Cobalt ====
Sun ha confirmado la existencia de una vulnerabilidad en equipos Sun Cobalt, que permitiría a un usuario local o remoto no privilegiado podría ejecutar código arbitrario con privilegios elevados o provocar una denegación de servicio.
Según el aviso de Sun, el problema reside en una vulnerabilidad en el demonio sendmail relacionada con el manejo de señales.
El problema afecta a:
RaQ4 con versiones de sendmail 8.10.2-C4stackguard o anteriores.
RaQ550 con versiones de sendmail 8.11.6-1C6stackguard o anteriores.
RaQXTR con versiones de sendmail 8.11.6-1C6stackguard o anteriores.
Aunque por el momento no existe parche oficial, se recomienda como contramedida bloquear el acceso al servicio afectado desde redes no confiables como Internet, o desactivar el demonio sendmail si no se hace uso de él. Se puede emplear un firewall o cualquier otro tipo de tecnología de filtrado de paquetes para bloquear los puertos apropiados.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2745/comentar
Más información:
Sun Cobalt sendmail(8) Security Issue Involving Signal Handling Daemon http://sunsolve9.sun.com/search/document.do?assetkey=1-26-102324-1&searchcla
use=
==== 14.- Desbordamiento de búfer en ClamAV ====
Se ha anunciado la existencia de una vulnerabilidad en ClamAV, que podría llegar a explotarse por usuarios maliciosos para provocar denegaciones de servicio e incluso llegar a comprometer un sistema vulnerable. ClamAV es un motor antivirus de código abierto, empleado con cierta frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria.
La vulnerabilidad reside concretamente en Freshclam, una utilidad de línea de comandos responsable de la descarga e instalación de las actualizaciones de firmas de virus. Una de sus características es un cliente HTTP que realiza descargas de archivos desde servidores web. La vulnerabilidad se debe a un desbordamiento de búfer en dicho cliente http cuando recibe cabeceras que exceden de 8 KB.
La explotación exitosa requires que se use Freshclam para descargar firmas de virus desde un servidor web espejo malicioso por ejemplo mediante envenenamiento DNS. Según el propio aviso de seguridad de ClaAv el problema no es fácil de explotar, debido a la diversidad de arquitecturas y plataformas cliente.
La vulnerabilidad de ha confirmado en las versiones 0.80 hasta la 0.88.1. Se ha publicado la versión 0.88.2 que corrige el problema y se encuentra disponible para descarga desde:
http://prdownloads.sourceforge.net/clamav/clamav-0.88.2.tar.gz?download
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2746/comentar
Más información:
Security advisory: 0.88.2
http://www.clamav.net/security/0.88.2.html
==== 15.- Fuentes de Información ====
- Revista Electronica de la Lista Mx-seguridad
- (c) 2005 Hispasec http://www.hispasec.com/copyright
- Security Hot Topic on the Windows IT Pro Network
- Malware Digest - Revista Electronica de la Lista Antivirus
- Mx-seguridad Digest - Revista Electronica de la Lista Mx-seguridad
- Trend Micro Weekly Virus Report
