Daboweb | Seguridad y ayuda informática |

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y una vulnerabilidad de seguridad crítica de Cross site scripting; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Aparte de las copias de seguridad que hay que hacer siempre antes de actualizar un CMS hay que tener en cuenta que la actualización a las versiones 6.11 y 5.17 pisa los archivos .htaccess y robots.txt con lo cual hay que prestar especial atención a la hora de salvar estos archivos, especialmente si los hemos personalizado ya que perderíamos los cambios realizados.

• Anuncio oficial.
• Descarga versión 6.11
• Descarga versión 5.17
• Parche versión 6.10
• Parche versión 5.16

Se ha reportado por parte de Stephen Fewer (Harmony Security) una vulnerabilidad en Kaspersky Online Scanner, este fallo en el software está catalogado por el fabricante como de alto riesgo.

Esta solución anti-malware gratuita realiza una comprobación del sistema vía web en busca de virus, spyware, troyanos, etc. Se actualiza desde la propia base de Kaspersky cada hora, siendo capaz de utilizar la heurística para detectar virus desconocidos hasta la fecha.

El bug se da en el control ActiveX necesario para cargar el módulo desde el navegador del usuario (sólo IE) por un control insuficiente de la entrada de parámetros en dicho componente bajo ciertas circunstancias un atacante remoto podría lleva a una ejecución de código arbitrario mediante un desbordamiento del búfer en el sistema afectado.

Las versiones afectadas por esta vulnerabilidad son la 5.0.93.1 y anteriores.

La solución pasa por actualizar el software a la versión 5.0.98 .0

Fuente y más información.

Por David Hernández (Dabo).

Roi Saltzman del IBM Rational Application Security Research Group ha reportado una vulnerabilidad en Google Chrome que afecta a la versión 1.0.154.55 y anteriores considerada como de riesgo moderado.

Este bug podría permitir a atacantes remotos saltarse las restricciones de seguridad y conseguir información sensible del sistema afectado. El falllo es provocado por un error en el tratamiento de «ChromeHTML» URI pudiendo provocar la enumeración de archivos del usuario o listado de sus directorios así como una ejecución arbitraria de código.

Curiosamente al igual que ha sucedido en alguna ocasión con Firefox, la explotación de la vulnerabilidad viene en combinación de la visita a una web maliciosa utilizando Internet Explorer.

La solución pasa por actualizar Google Chrome a la versión 1.0.154.59. Fuente Vulpen | Más info.

Por David Hernández (Dabo).

Se ha reportado por parte de Microsoft una vulnerabilidad crítica en Microsoft Office PowerPoint que puede ser aprovechada por atacantes cuando se procesan  ficheros especialmente manipulados de PowerPoint (PPT).

Dicho ataque puede derivar en un mal funcionamiento de la aplicación o en el peor de los casos en la ejecución de código arbitrario en el sistema afectado, las versiones afectadas son las siguientes;

Microsoft Office PowerPoint 2000 Service Pack 3.
Microsoft Office PowerPoint 2002 Service Pack 3.
Microsoft Office PowerPoint 2003 Service Pack 3.
Microsoft Office 2004 para Mac OS X.

Dado que de momento no hay una solución a modo de parche para esta vulnerabilidad se recomienda extremar las precacuciones cuando se abren ficheros de este tipo y que sen sólo de fuentes de confianza. Una forma de paliarlo sería a través del uso de otra suite ofimática como puede ser OpenOffice de libre descarga y gratuita además de no tener limitaciones de uso habiendo versiones para todos los sistemas operativos.

Info y descarga de OpenOffice | Fuente (Vulpen)

Los que llevamos un tiempo en Daboweb, recordamos como si fuera ayer infecciones masivas como las del Blaster o Sasser (publicado aquí). Conficker es como un «remake» pero más elaborado y el modus operandi e impacto en el sistema, aún teniendo algún paralelismo con ellos va un paso más allá.

Ayer fue 1 de Abril, un día en el que la amenaza Conficker se ha sentido por toda la Red ya que se hablaba de una actividad masiva del virus, cosa que realmente no ha sucedido.

Este malware que se propaga como un virus y actúa como un troyano, como mucho sabréis explota una vulnerabilidad provocada por un desbordamiento del búfer a través de una solicitud RPC manipulada para ese fin y una vez se hace un hueco en el sistema, deja fuera de juego a servicios como Windows Update, pasando por todos los relacionados con la seguridad de Windows (Defender o el Centro de Seguridad o reporte de errores).

Adicionalmente, se conecta con el exterior a través de un puerto (filtrar el 445 en vuestro Firewall) en el que permanece a la escucha además de continuar propagándose e infectar el sistema con más malware o réplicas de si mismo, pudiendo enviar a terceros información personal de la «víctima».Algunas variantes de este virus también llamado Downup o Kido, pueden crear unas 50.000 urls falsas para seguir distribuyéndose.

Su impacto ha sido tan grande que se estima que entre un 6 y un 8% de todos los ordenadores de la población mundial están infectados y los daños que está provocando ahora mismo, son casi imposibles de calcular, tanto es así, que Microsoft  este pasado 13 de Febrero, ofreció 250.000 $ de recompensa a quien de los datos necesarios para descubrir a su creador…

Lo que parece mentira, es que unos años después del Blaster, ese bug en las llamadas a procedimientos remotos (RPC) explotado por Conficker, tenga tanta repercusión y que el virus siga tan activo ya que comenzó su andadura a principios de Octubre y el día 23 Microsoft publicó un parche que solventaba el fallo, 23 de Octubre…hace más de 4 meses.

Por lo que tenemos que pensar que la gente no acaba de concienciarse de la importancia de tener un sistema operativo debidamente actualizado.

Pero además de este detalle, parece ser que muchos usuarios a su vez no tienen sus antivirus actualizados lo cual agrava el problema y en este caso no se le puede echar toda la culpa a Microsoft como muchos suelen (solemos) hacer, hay que ser serios que para bromas la que postee ayer sobre Internet Explorer 8.1 -;), Microsoft dio la solución, bugs los hay en todas las plataformas sólo que algunos parchean más rápido que otros y también, dada la cuota de mercado de Windows, es lógico que los que se sufren bajo esa plataforma, se expandan con más rapidez y tengan más impacto (otro tema sería en servidores web donde GNU/Linux tiene una fuerte y creciente implantación, ahí seria un caso parecido en cuanto al impacto).

Algo achacable a Microsoft, puede ser que no haya liberado parches para versiones que no sean o Windows Vista, XP SP2 o SP3 o Windows 2000 SP4, técnicamente están en su derecho ya que son versiones que no tienen ya soporte pero en un caso de estos, creo que hay que hacer un esfuerzo extra por parar de la forma más rápida posible un virus como este más allá del titular de los 250.000 $.

La verdadera culpa es del creador de Conficker cuya «cabeza» vale 250.000 $ (mucho dinero para tanta crisis) y la responsabilidad final es del usuario que no actualiza debidamente el sistema porque

«me sale a la derecha un rollo de Windows Update pero yo lo cierro y pista, total, ¿qué me va a pasar? y ahh «tampoco tengo nada que ocultar».

Amigos, esto no es una ciber-bronca que todos tenemos mucho que callar, pero un ordenador ahora mismo es un centro de recopilación de información de una persona y de la misma forma que pones una puerta acorazada en tu casa, deberías de pensar en tu ordenador como algo parecido. Piensa que las pérdidas de tiempo, información y privacidad son mayores que ese tiempo que «no pierdes» asegurando tu sistema.

Herramienta de eliminación de Conficker | Parche de Microsoft

Por David Hernández (Dabo)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticia

Nueva actualización para Joomla!, 1.5.10 de nombre Wohmamni y con 66 errores corregidos y una actualización de seguridad de nivel moderado.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.

Descarga paquete completo 1.5.10.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Desde la fundación Mozilla nos informan de que ya está disponible una (rápida) actualización de seguridad para Firefox etiquetada con el número de versión 3.0.8.

Esta actualización de Firefox viene a corregir dos vulnerabilidades críticas para el sistema incluyendo la tan comentada «0 day». Se recomienda a todos los usuarios que actualicen a la mayor brevedad posible sus navegadores para estar protegidos ante los posibles ataques que podrían sufrir caso de explotar dichos bugs.

Descarga de Firefox 3.0.8 | Notas de la versión | Bugs corregidos.

Ha sido liberada la versión 2.0.0.21 de Thunderbird, cliente de correo electrónico de Mozilla para Windows, Linux y Mac.

Esta actualización del programa Thunderbird viene a corregir varias vulnerabilidades que afectan de las versiones anteriores, tres catalogadas como críticas y una como importante,  como siempre, es recomendable instalar lo antes posible esta nueva versión.

Aviso de seguridad:

MFSA 2009-10 Upgrade PNG library to fix memory safety hazards
MFSA 2009-09 XML data theft via RDFXMLDataSource and cross-domain redirect
MFSA 2009-07 Crashes with evidence of memory corruption (rv:1.9.0.7)
MFSA 2009-01 Crashes with evidence of memory corruption (rv:1.9.0.6)

Listado de cambios.

Descargar Thunderbird 2.0.0.21 (Windows, GNU/Linux y Mac OS X).

Manual de Thunderbird.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Symantec pcAnywhere es un software para administrar y conectarse remotamente a otros equipos para realizar tareas de soporte o iniciar una sesión de control remoto del mismo.

Se ha reportado una vulnerabilidad por parte de Deral Heiland (Layered Defense) que puede ser explotada por atacantes locales para causar una caida del sistema o denegación de servicio en el equipo afectado.

Concretamente, este bug afecta a las siguientes versiones;

Symantec pcAnywhere  12.0
Symantec pcAnywhere  12.1
Symantec pcAnywhere  12.5

La solución pasa por instalar la versión 12.5 SP1 vía Symantec LiveUpdate, su gestor de actualizaciones.

Fuente; VUPEN Security.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

¿Os imagináis un software que sólo tiene un bug conocido cada 10 años?, es el caso de Djbdns, hasta ahora y de Qmail que, corregidme si me equivoco, sigue ahora encabezando la lista en solitario.

Dan Bernstein cumplirá su promesa hecha hace años que no era otra que comprometerse a pagar 1.000 $ US a quien descubriera una vulnerabilidad en Djbdns, el servidor de DNS considerado hasta ahora el más seguro y alternativa a el considerado casi como un standard y muy castigado por los bugs, BIND.

La vulnerabilidad no es fácil de explotar, pero de paso que nos hacemos eco de esta curiosa forma de premiar a quien reporta un bug, os aconsejamos a quienes lo utilicéis su conveniente actualización (Bernstein ya ha parcheado el software).

El afortunado ganador de los 1.000 $ es Matthew Dempsky. La película podía titularse; “Vivir de los bugs en tiempos de crisis…”. Bernstein ha cumplido su «Garantía de seguridad» (y de pago), a ver cuanto tiempo aguanta Qmail -;).

Fuente Slashdot | Info del Bug (traducido con Google).

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Desde phpt.net anuncian la disponibilidad de la versión 5.2.9 que viene a solventar unas 50 vulnerabilidades encontradas en la rama 5.2.x.

Algunas de ellas están catalogadas como «severas», por lo que conviene actualizar a la mayor brevedad posible tal y como informan en el anuncio de la release.

Los fallos más notables solucionados son los siguientes;

• Fixed security issue in imagerotate(), background colour isn’t validated correctly with a non truecolour image. Reported by Hamid Ebadi, APA Laboratory (Fixes CVE-2008-5498). (Scott)
• Fixed a crash on extract in zip when files or directories entry names contain a relative path. (Pierre)
• Fixed explode() behavior with empty string to respect negative limit. (Shire)
• Fixed a segfault when malformed string is passed to json_decode(). (Scott)

Toda la lista de cambios | Sección de descargas.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Nuevas versiones para el popular, y potente, gestor de contenidos (CMS), Drupal.

Estas nuevas versiones no incluyen ninguna novedad y han sido lanzadas con la única finalidad de corregir problemas de seguridad calificados como críticos.

La actualización es altamente recomendada y es necesario correr el archivo update.php después de hacerlo para refrescar la caché del menú y cualquier otro tipo de caché existente en el sistema; la actualización no afecta a los archivos .htaccess y robots.txt (cualquier actualización sobre estos tendría que ser posterior y a mano) ni a los archivos settings.php (por defecto).

Existe un parche para las versiones anteriores a esta nueva actualización, la 6.9 y la 5.15 (el parche no es válido para versiones anteriores a estas).

• Anuncio oficial.
• Descarga versión 6.10
• Descarga versión 5.16

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Se han reportado varias vulnerabilidades en el navegador Safari de Apple que afectan a sistemas Windows Vista y XP.

Ya está disponible la versión 3.2.2 de Safari que solventa dichos bugs desde el actualizador de software de Apple así como del sitio de descargas del navegador.

Estos fallos (ejecución de código arbitrario en feeds / RSS manipulados o Javascript embebidos en los mismos) no afectan a sistemas Mac OS X con el Security Update 2009-001 instalado (publicados los detalles del mismo en Daboweb hace unas horas).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias