Vulnerabilidades potenciales en OSX

La consultora Secunia ha informado de la existencia de varias vulnerabilidades potenciales en OSx que podrían provocar ataques de Denegación de Servicio o comprometer los sistemas.

Por el momento no existe parche para estas vulnerabilidades.

Gabol, un virus para MatLab

Enciclopediavirus.com informa del descubrimiento de Gabol, un infector de scripts de MatLab, que como era de suponer no es sino una prueba de concepto. Crudo lo iba a tener para propagarse con éxito.

Otro troyano amenzador

Según informa Sophos, el troyano Ransom amenaza con destruir cada diez minutos uno de los ficheros presentes en las máquinas que infecta en tanto no se le paguen diez dólares a su autor.

Lo curioso es que el autor del troyano no parece tener excesiva confianza en su criatura y proporciona una dirección de correo en yahoo para atender a quienes, una vez efectuado el pago, tuvieran problemas para desinstalar el troyano.

Vivir para ver!

Actualizaciones de Norman

A falta de la previsible para hoy, de momento son dos, una segunda el miércoles por la tarde y otra ayer a primera hora de la mañana, incorporando 383 y 189 firmas respectivamente.

[Ampliación]

Ya ha llegado la actualización prevista para hoy y ha incorporado 603 nuevas firmas.

Graves vulnerabilidades en Internet Explorer y Firefox

Unaaldia ha reseñado el descubrimiento de una vulnerabilidad a la hora de procesar scripts HTML que es compartida por Internet Explorer y Firefox.

Por el momento no existen parches para ninguno de los dos navegadores.

Polip, un virus polimórfico

Aunque afortunadamente no está teniendo difusión, quiero comentar la aparición de Polip, un virus de caracterísiticas poco habituales en estos tiempos de troyanos y gusanos de correo.

Polip es un virus es el sentido estricto del término, esto es, un infector de ficheros que utliza la técnica cavity o introducción de una copia funcional de sí mismo en zonas no utilizadas de archivos ejecutables. También es un gusano, pero no este caso no de correo electrónico sino de redes P2P.

Por supuesto intenta interferir con software de seguridad (antivirus, cortafuegos...) y además es polimórfico, de modo que altera su código de forma aleatoria en un intento de eludir la detección por firma. (aquí tendría que venir la batallita nostálgica el recordar el pavor que producían los virus polimórficos hace apenas unos años).

Esta es la descripción que de Polip proporciona el CATA.

Decálogo para la recuperación tras un desastre

Unaaldia dedicó su entrega de ayer a exponer un detallado conjunto de medidas prácticas de recuperación y continuidad, que pretenden paliar las consecuencias de un posible desastre y agilizar la vuleta a la normalidad.

Revelación de información sensible en Thunderbird

VSAntivirus informa del descubrimiento de diversas vulnerabilidades en Mozilla Thunderbird que podrían conducir a la revelación de información sensible. Por el momento no hay parche para ellas.

Sobre la Re-release de MS06-015

Sigo con la mosca destrás de la oreja. Este es el mensaje que he remitido a los compañeros:

Hola:

Ayer por la tarde Microoft publicó una
re-actualización de su boletín MS06-015 con la
intención de corregir algunos problemas que había
provocado la versión original que se publicó dos
semanas antes junto con la colección
correspondiente al mes de abril. [1]

Estos problemas afectan al uso de determinado
software de HP incluido en diversos drivers de
sus productos (impresoras DeskJet con lectores de
tarjetas, escáneres, cámaras, grabadoras...) y
del firewall personal de Kerio. Los efectos son
basicamente mal funcionamiento de carpetas
especiales de Windows (Mis docoumentos, Mis
imágenes...) tanto desde el explorador de Windows
como desde aplicaciones de Office. [2]

El nuevo problema es que Windows Update no
descarga esta re-actualización sino otra (hasta
ahora desconocida) referenciada en un artículo de
enero. [3]

De momento no hemos encontrado información
respecto a este fallo, pero he remitido la
consulta a los foros de Ayuda y Soporte Técnico
de Microsoft. [4]

Señalar por último que aunque Microsoft había
minimizado el problema indicando que sólo debía
preocupar a usuarios domésticos (literalmente
"little to no impact on corporate news"), me
queda la duda de si alguno de los últimos partes
de soporte que nos han llegado no estarán
relacionados. [5]

Saludos

[1] http://www.microsoft.com/technet/security/bulletin/ms06-015.mspx
[2] http://www.enciclopediavirus.com/noticias/verNoticia.php?id=630
[3] http://support.microsoft.com/kb/900485/en-us
[4] http://support.microsoft.com/newsgroups/default.aspx
[5] http://jkanarres.blogspot.com/2006/04/ms-sobre-los-ltimos-parches-de.html

Actualización de Norman

Esta mañana se ha publicado una actualización de Norman que incorpora 565 nuevas firmas y actualiza la versión del motor de escaneo 5.90.17.

Entre las firmas está la del nuevo virus Polipos, clasificado comom polimórfico y al que voy a tener que dedicar una entrada.

El pegamento como herramienta de seguridad

La reseña es de Kriptopolis y en ella se comenta como la sede londinense de un banco japonés ha decidido pegar con SuperGlue los conectores de los cables de los teclados. Y es que sufrieron un intento de robo por parte de falsos empleados de limpieza que instalaron dispositivos keylogger en dichos conectores para hacerse con identificadores y contraseñas de los empleados.

La historia podría parecer una broma, pero yo mismo he tenido que recurrir al pegamento, aunque eso sí, para evitar robos muecho menos importantes, los de las bolas de los ratones de los equipos de las salas de usuarios.

Disponible el Service Pack 1 para SQL Server 2005

La noticia me ha llegado desde Unaaldia y como todo Service Pack que se precie no sólo acumula actualizaciones de seguridad sino que también incorpora mejoras en el producto.

Intento de phishing contra Banesto

La noticia no lo es tanto por el intento en sí como por ser la primera vez que veo en castellano un intento de Phishing que trata de eludir los sistemas TAN (Número de autenticación de Transacción) de los que ya comenté algo el pasado día 5.

Historias spamtosas (VII): Más spam facha

Hoy he recibido dos ejemplares de un mensaje en el que me proponían adquirir la autobiografía de Ricardo Saenz de Ynestrillas. Afortunadamente mi temple y fortaleza de caracter has contribuido a evitarme el infarto.

Con todo, lo que me ha parecido más gracioso es el subtitulo del libro "Crónica de un hombre libre" cuando la única que lo he visto en persona fue desde la ventana de casa de mis padres... mientras la policía se lo llevaba detenido por manifestación ilegal.

Actualizaciones de Norman

Las dos previsibles, una ayer y otra esta mañana, con 1225 y 296 firmas respectivamente.

Por cierto que la de ayer incorpora una nueva firma genérica para Feebs, un gusano que parece estar ocasionándonos algún problema en estas últimas fechas.

Multado por comercializar falso software antiespías

Según informa Sophos, un ciudadano de Oregón ha sido multado con 84.000 dolares por comercializar falso software antiespías. Y es posible que la cosa no acabe ahí; aún está pendiente de afrontar otros cargos ya que lo publicitaba como spam.

Actualización de Java para Mac OSX 10.4.5

Apple ha publicado una actualización de seguridad para Java 2 Standard Edition (J2SE) Release 4 para Mac OSX 10.4.5, disponible en su area de descargas:

http://www.apple.com/support/downloads

Esta actualización se corresponde a este aviso oficial publicado por Sun.

Previsión de reparcheo de Microsoft

Microsoft ha anunciado que el próximo martes dia 25 liberará una nueva release del parche MS06-015. La noticia y sus detalles están registradas en la FAQ del propio boletín.

Actualizaciones para Oracle

Llegado abril se han distribuido un buen número de actualizaciones para productos de Oracle. Esta es la reseña de Unaaldia.

Falso virus para blogs

Panda ha publicado una nota de prensa en la que advierte de la existencia de un supuesto virus para blogs que en realidad no es sino una broma (poco afortunada, diría yo).

Al parecer está causando cierta inquietud entre los aficionados a las bitácoras.

Actualizaciones de Norman

Dos, una en la mañana de ayer (276 nuevas firmas) y otra hoy mismo (689).

Nueva vulnerabilidad en Internet Explorer

El Centro de Alerta Temprana se ha hecho eco de una nueva vulnerabilidad en Internet Explorer, descrita por Secunia apenas unos días antes de la publicación de la colección de parches de este mes de abril.

Por el momento no parece que se hayan reportado incidentes, pero como decía en una nota anterior, vaya primavera llevamos!!

Secretos militares USa en el zoco

Oxygen3 se ha hecho eco de una noticia publicada en el diario Los Angeles Times, según la cual se habría visto a la venta en una bazar de Bagram (Afganistán) material informático proveniente del ejército de los Estados Unidos entre el cual se encontrarían sistemas de almacenamiento (discos portátiles, memorias flash...) que contendrían información clasificada; desde datos sobre valoración de objetivos, descripción de defensas o identificación de oficiales afganos corruptos hasta números de la seguridad social (estadounidense, claro).

Lo divertido (para mí, claro) es que precisamente estos días estoy probando software para el borrado seguro de datos que usa procedimientos utilizados por el propio ejército norteamericano, aunque por lo que se ve *no tan* usados...

Más sobre los últimos parches de Microsoft

Siguiendo una noticia publicada en El Pais llego a este artículo de PCWorld donde se recogen declaraciones de un responsable de seguridad de Microsoft en el sentido de que los problemas provocados por los últimos parches para Windows sólo deberían preocupar a los usuarios domésticos, literalmente "little to no impact on corporate networks,"

Parece que la primavera a afectado seriamente a los de Redmond...

Virus doble; afecta a Windows y Linux

Aunque nunca han llegado a suponer una amenaza real existen varias muestras de virus capaces de afectar directamente a diferentes plataformas.

Unaaldia reseña hoy una prueba de concepto capaz de afectar tanto a Windows como a Linux que ha sido bautizada por Kaspersky como Virus.Linux.Bi.a/Virus.Win32.Bi.a.

De no ser que la noticia se difunda mucho (si no llega a los medios, vaya) no pasará de ser una curiosidad para los investigadores.

Actualización de Norman

Acaba de producirse una actualización de Norman que supone la incorporación de 398 nuevas firmas.

Más sobre Phishing

Unaaldia dedicó su entrega de ayer a comentar el "estado de la cuestión" en torno al phishing.

Los datos son escalofriantes, un estudio afirma que el 80% de los clientes de banca electrónica no serían capaces de discernir entre un mensaje de correo electrónico legítimo y otro fraudulento y según otro trabajo de campo el 91% de los participantes dió por buena una web bancaria falseada.

Así las cosas no es de extrañar la atención que los medios de comunicación están prestando al fenómeno; el telediario de ayer le dedicó unos minutos.

Problemas con la agenda de Lotus Notes

Según informa Oxygen3, IBM ha anunciado la existencia de una vulnerabilidad en el cliente Lotus Notes 6 que podría provocar que los usuarios enviaran inadvertidamente mensajes de correo electrónico.

Las contramedidas están disponibles en:

http://www-1.ibm.com/support/docview.wss?re=475&uid=swq21232945

Problemas con los últimos parches de Microsoft

Los parches correspondientes a los boletines MS06-013 y MS06-015 están causando algunos problemas, tal y como reseña EnciclopediaVirus.com.

En el primer caso los problemas se localizan en la shell y cierto software de HP y en el segundo en el funcionamiento de Internet Explorer.

Habrá que estudiarlo más detenidamente...

Vulnerabilidad en Oracle 9 y 10

Según reseña Unaaldia se ha descubierto una vulnerabilidad en Oracle 9 y 10 que podría permitir a un usuario remoto autenticado la modificación de datos en tablas para las que disponga de permisos de SELECT. Aunque no hay parche oficial para el problema si existen recomendaciones para remediarlo.

Actualización de Norman

Esta mañana se ha producido una actualización de Norman que supone la incorporación de 902 nuevas firmas.

Vulnerabilidades en Sun Solaris 8, 9 y 10

La pasada semana Unaaldia dedicó dos entregas a vulnerabilidades en Sun Solaris 8, 9 y 10; la primera afectando a LDAP y la segunda a la shell sh.

Actualización de Firefox 1.5

Es agradable constatar la mejoría del sistema de actualiazciones de la versión 1.5 de Firefox; se publicaron el viernes y en cuanto he abierto el navegador me ha advertido de su existencia y las ha descargado e instalado con gran rapidez.

En cuanto a las vulnerabilidades corregidas esta es la relación que publica VSAntivirus.

Vulnerabilidades en PHP

Unaaldia ha informado de la detección de diversas vulnerabilidades en PHP que podrían permitir la realización de ataques de denegación de servicio, cross-site scripting o evitar restricciones de seguridad.

Por su parte (y aunque no dispongo de enlace) Oxygen3 ha reseñado otra vulnerabilidad crítica en el gestor de listas PHPlist. Hay más información al respecto en la dirección:

http://tincan.co.uk/phplist

Corregida vulnerabilidad crítica en Opera

Según informa VSAntivirus, Opera ha lanzado la versión 8.54 de su navegador para corregir una vulnerabilidad crítica cuyo origen parece estar en otra vulnerabilidad del reproductor Macromedia Flash Player.

La nueva versión está accesible para las diversas plataformas en la dirección:

http://www.opera.com/download

Aluvión de intentos de estafa

En estos días festivos y entre las que han llegado a mi buzón y las filtradas por el sistema anti-spam me han remitido más de una docena de falsas ofertas de trabajo, contando solamente las redactadas en castellano.

Parches Microsoft de abril

Tal como estaba previsto se han publicado cinco:

MS06-013, actualización crítica para Internet Explorer que corrige diversas vulnerabilidades, entre ellas la ya descrita CVE-2006-1359.

MS06-014, También crítica y que afecta a MDAC (Microsoft Data Access Component) sobre diversas versiones de Windows.

MS06-015, Actualización crítica para el explorador de Windows (*NO* Internet Explorer).

MS06-016, Calificada como Importante, afecta a Outlook Express.

MS06-017, Actualización Moderada para las extensiones de servidor de Front Page, que podría permitir Cross-Site Scripting.

Respecto a esta última no entiendo porque se la califica de Moderada, cuando el propio boletín de Microsoft señala que podría permitir ejecución remota de código, lo que obligaría a considerarla Crítica.

Actualizaciones de Norman

En estos últimos días se han producido las siguientes, entre paréntesis va el número de firmas incorporadas:

Viernes 7 de abril (997)
Lunes 10 de abril (3.031)
Martes 11 de abril (545)
Miércoles 12 de abril (462)
Jueves 13 de abril (66)
Viernes 14 de abril (574)
Lunes 17 de abril (577)

Vulnerabilidades en ClamAV

Según reseña Unaaldia, analistas de seguridad de Debian han descubierto tres vulnerabilidades en el antivirus de código abierto ClamAV.

Las vulnerabilidades quedan corregidas en la versión 0.88.1, disponible en:

http://www.clamav.net/

Previsión de parches Microsoft para abril

Microsoft ha anunciado que el próximo martes se liberarán un total de cinco parches, cuatro que afectan a Windows y tienen caklificación máxima de "críticos" y uno que afecta a Office y Windows catalogado como "moderado".

Al parecer uno de los parches críticos es el que corrige la vulnerabilidad CVE-2006-1359.

Actualización para Mac OSX Tiger

Apple ha publicado una actualización de seguridad para Mac OSX Tiger, con lo que se alcanza la versión 10.4.6, y que afecta tanto a los equipos PPC como a los Intel y a Mac OSX Server.

Las actualizaciones están disponibles en su area de descargas:

http://www.apple.com/support/downloads/

Actualización de Norman

En la tarde de ayer se produjo una actualización de Norman que supuso la incorporación de 1.939 nuevas firmas.

Vulnerabilidad en software de impresoras laser HP

Diversas fuentes se están haciendo eco de la vulnerabilidad descubierta en una utilidad de gestión de impresoras HP Color LaserJet desde sistemas Windows que podría permitir a un usuario remoto la lectura de archivos del sistema.

Esta es la reseña de Unaaldia.

Actualización de Norman

Acaba deproducirse una actualización de Norman que supone la incorporación de 1.072 nuevas firmas.

Cae red internacional de phisers

Según reseña Sophos, la policia alemana ha anunciado la detención de siete personas acusadas de organizar una red de phishing a través de la cual habrían obtenido una gran número de identificadores, contraseñas y TAN (Números de Autenticación de Transacción) de usuarios de banca en línea.

Actualización de Norman

En la tarde de ayer se produjo una actualización de Norman que supone la incorporación de 1.686 nuevas firmas.

Cross-Site Scripting en MediaWiki

Según reseña Unaaldia, se ha descubierto una vulnerabilidad en MediaWiki que podría permitir un ataque de Cross-Site Scripting. Los parches ya están disponibles y, calma, Wikipedia ya los ha aplicado.

Falsas páginas de la BBC instalan troyanos

EnciclopediaVirus.com reseña la detección de mensajes de correo que animan a los usuarios a visitar páginas falseadas que presuntamente pertenecen a la BBC y desde las que se descargarían troyanos capaces de aprovechar la vulnerabilidad CVE-2006-1359.

¿En Microsoft sólo verán la Fox?

CVE-2006-1359, cuarta parte

Todo el mundo parece dar sentado que, efectivamente, Microsoft publicará el parche para esta vulnerabilidad como parte de las actualizaciones programadas para el próximo día 11.

De hecho , ayer mismo ampliaron su Aviso, pero sólo para incorporar nueva información acerca del tema.

Destrucción de datos

Normalmente estas palabras suelen provocar sudores fríos y, sin embargo, hau ocasiones en que destruir efectivamente los datos es un requisito de seguridad; cunado se retiran o reubican del servicio ordenadores o discos.

Esta entrega de Unaladia reseña estándares, técnicas y productos que ayudan a evitar que es esas situaciones la información sensible pueda caer en manos inadecuadas. Lo malo es que ahora me tocará a mí estudiar y documentar las soluciones...

Historias spamtosas (VI): Técnicas de ocultación

Estábamos acostumbrados a que los spammers incluyeran en sus mensajes ristras de palabras inconexas con el objetivo de eludir los sistemas antispam, pero esto es nuevo; según informa Sophos se han detectado envíos de correo no solicitado que junto a la publicidad incluyen fragmentos de la novela "El Maestro y Margarita" de Mikhail Bulgakov.

Actualización de Norman

Esta mañana se ha publicado una actualización de Norman que supone la incorporación de 2.317 nuevas firmas.