Boletín 00077 - 06/11/2006

==== 1.- Navegadores nuevos con viejos problemas ====
Dos nuevas versiones de navegadores muy utilizados han aparecido casi de forma simultánea. Mozilla Firefox 2.x e Internet Explorer 7.x de Microsoft. Son dos evoluciones muy esperadas por los usuarios, que se supone traerían mejoras en funcionalidad y protección. Tras varios días a disposición de los usuarios, se ha demostrado que sufren distintos problemas de seguridad. Lo extraño es que varios los han heredado de sus versiones predecesoras.

Como adelantábamos hace unos días en un boletín, a IE7 “no le espera una vida ‘cómoda’”, y con sólo unos días en la calle, ha quedado demostrado. Nada más “nacer”, algunas casas ya lanzan ataques antiguos contra el nuevo navegador de Microsoft. Se demostró el día 19 de octubre que un problema de seguridad descubierto en abril de 2006 (y sin parche oficial) en Internet Explorer 6, también afectaba a la nueva versión 7. Puede ser aprovechado por atacantes para revelar información sensible.

El día 30 se ha descubierto una “nueva” vulnerabilidad en Internet Explorer 7 que puede ser aprovechada por atacantes para falsificar el contenido de una ventana emergente que se cargue desde un web site en la que se confía. Este problema es un variación de un fallo muy similar no corregido, encontrado en diciembre de 2004 en Internet Explorer 6.x.

Además, se ha publicado código para hacer que Internet Explorer 7.x deje de responder a través de ADODB.Connection (aunque se especula con que es posible ejecutar código, no se ha confirmado) y otro error de falsificación de URL que afecta en mayor o menor medida a todos los navegadores, pero que en Internet Explorer 7 resultaría especialmente “útil” para realizar ataques de phishing.

Por otro lado, Mozilla Firefox no se queda atrás. Desde que está disponible su versión final, ya se ha demostrado que vuelve a ser vulnerable a dos errores de seguridad que se suponían solucionados. El primero consiste en tres formas de echar abajo las versiones 1.5.x, descubiertas por Michal Zalewski. Aunque se suponían solucionados, la versión 2 todavía es vulnerable a alguno de los tres fallos. Por si fuera poco, se ha descubierto también que es vulnerable a otro error calificado como crítico y con casi un mes de antigüedad.

Las razones de estos fallos prematuros y antiguos (y aparecerán más, sin duda) en unas versiones “mejoradas” pueden ser muy diversas, y aventurarse a encontrar un motivo concreto no es sencillo. Se supone un problema surgido por combinación de varios factores y no resultaría productivo estancarse en la “pelea mediática” entre el código que no se conoce y el que puede ser analizado por millones de ojos. Toda transición a una versión superior con nuevas funcionalidades puede ser más o menos traumática, no hay que llevarse las manos a la cabeza. Lo que es sin duda deseable es que ciertos factores no hayan tenido nada que ver. Por ejemplo, esperamos que no hayan influido de ninguna manera procesos de calidad insuficientes en productos que se ponen a disposición de millones de usuarios. O que las prisas por aparecer y protagonizar una lucha mediática hayan tenido mayor peso que el hecho de lanzar un producto de mayor calidad… o que los parches creados para vulnerabilidades anteriores no hayan supuesto más que maquillaje que no solucionen los problemas de raíz… En cualquier caso, y sean cuales sean los motivos, como decía Alan Cox hace sólo unos días, “la alta calidad sólo se aplica a algunos proyectos, los que tienen buenos autores y buenas revisiones de código”, y esta afirmación será siempre válida para todo el software.

Opina sobre esta noticia:

Más información:

==== 4.- IE 7.0 Vulnerable to Window Content Injection ====
Internet Explorer (IE) 7.0 is vulnerable to window content injection under certain circumstances. When a malicious Web site is open in one browser window and a legitimate Web site is open in another then the malicious Web site could alter the content of a pop-up window generated by the legitimate Web site. The vulnerability could lead to the exposure of private sensitive information.

Microsoft is aware of the problem and considers the issue to be a known risk that is to be mitigated by the user, therefore it is unlikely that a security patch will be forthcoming. In a message posted to the company’s Security Response Center blog, a spokesperson for the company said that IE 7.0 presents an address bar in pop-up windows, where previous versions of IE did not do so. The spokesperson said that the burden is on the user to examine the address bar to ensure that its content is legitimate. “[People] should never decide to trust a web page without first verifying both the address of the web page and an SSL connection,” the spokesperson said. See the URL below for the blog entry.

El problema se debe a un error de manejo de puntero NULL en NAT Helper Components de la librería ipnathlp.dll a la hora de procesar peticiones a través del a función NatCreateRedirect. Esto puede ser aprovechado por atacantes en una red interna para hacer que que el servicio deje de responder si se envía una petición DNS especialmente manipulada a la interfaz compartida de un equipo con la conexión compartida a Internet habilitada.

No existe parche oficial. Se recomienda utilizar otra forma de compartir la conexión a Internet.

==== 8.- Nueva versión de PHP resuelve numerosas vulnerabilidades ====
Se ha publicado una actualización de PHP que resuelve un grave problema de seguridad. PHP es vulnerable a un fallo por el que un atacante remoto podría ejecutar código arbitrario en el sistema afectado.

El código de las funciones htmlspecialchars y htmlentities contienen un desbordamiento de memoria intermedia. Un usuario remoto podría proporcionar datos especialmente manipulados a una aplicación que use las funciones afectadas y, potencialmente, ejecutar código arbitrario.
Para realizar un ataque con éxito el conjunto de caracteres UTF-8 debe estar activado.

La nueva versión 5.2.0, además, resuelve otros potenciales problemas de seguridad en la extensión cURL, que podrían servir para eludir las restricciones de safe_mode y open_basedir. También, y sólo para sistemas de 64 bits, pueden existir problemas en las funciones str_repeat y wordwrap que permitan la ejecución de código arbitrario. Por último, un fallo en la función tempnam permitiría crear ficheros temporales arbitrarios en cualquier directorio saltándose las restricciones de open_basedir.

La actualización rompe con la rama 5.1.0 y según php.net, debe ser aplicada por todos los usuarios tan pronto como sea posible, pues mejora además problemas de estabilidad y seguridad en general. Tanto la rama 4.x como la 5.x se ven afectadas.

==== 9.- Denegación de servicio a través de NMAS en Novell eDirectory 8 ====
Se ha anunciado una vulnerabilidad en Novell eDirectory, que puede ser explotada por usuarios maliciosos para provocar denegaciones de servicio. Novell eDirectory es un servidor LDAP (Lightweight Directory Access Protocol) multiplataforma. De forma adicional eDirectory implementa el sistema de autenticación NMAS (Novell Modular Authentication System).

La vulnerabilidad se debe a un  error en el tratamiento de punteros en la función “BerDecodeLoginDataRequest()”del módulo libnmasldap.so.
Un atacante podría explotar este problema para provocar la caída del proceso a través de una petición de login especialmente creada.

==== 10.- Ejecución remota de código a través del control ActiveX XMLHTTP en Windows ====
Se ha encontrado una vulnerabilidad en Microsoft XML Core Services que puede ser aprovechada por atacantes remotos para ejecutar código arbitrario en el sistema afectado.  Una atacante remoto podría crear una página HTML especialmente manipulada que al ser cargada por el sistema afectado, provocaría una corrupción de memoria en el control ActiveX XMLHTTP 4.0 (concretamente en la función setRequestHeader) y permitiría la ejecución de código arbitrario con los privilegios del usuario ejecutando la aplicación vulnerable.

La vulnerabilidad ha sido confirmada por Microsoft y está siendo aprovechada por atacantes activamente.

No existe parche oficial. Se recomienda evitar que el control ActiveX XMLHTTP 4.0 se ejecute en Internet Explorer, activando el kill bit.
Para ello se debe guardar este archivo con extensión .reg y ejecutarlo como administrador:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{88d969c5-f192-11d4-a65f-0040963251e5}]
“Compatibility Flags”=dword:00000400

O deshabilitar la ejecución automática de ActiveX en el navegador.