Falsa infeccion con DNS Hijack Utopia.net en modem Sagemcom Fast 3890 V3 de Fibertel

Desde principios de éste año varios usuarios del proveedor de Internet Fibertel vienen reportando supuestas infecciones en algunos modelos de modems instalados por esta empresa, inicialmente el Technicolor DPC3848VE y recientemente el Sagemcom Fast 3890 V3 CVA. La sospecha era que estos modems/routers venían con el firmware infectado con el "DNS Hijack Utopia.net".

Al hacer un ipconfig /all desde línea de comandos (WIN+R --> CMD), se observa que en lugar de "fibertel.com.ar" como sufijo DNS sale "utopia.net" Eso motivó infinidad de quejas y reclamos de los usuarios de esta compañía que en algunos casos lograron el recambio del modem/router supuestamente infectado por otro de distinta marca. El soporte de Fibertel no brindó ninguna explicación convincente a los usuarios, en algunos casos contestaban que el dominio utopia.net pertenecía a la empresa y en otros que era una infección en la PC del usuario, lo cual motivó que la supuesta infección de los módems se viralizara en redes sociales. Fibertel estaría utilizando un Firmware Open Source desarrollado por Cisco en los mencionados cablemodems. Observando el codigo fuente del mismo en linea 356 se ve que el sufijo "utopia.net" es solo una configuracion por defecto: "$lan_domain=utopia.net"

Lo correcto hubiera sido que Fibertel editara esa línea del siguiente modo: $lan_domain=fibertel.com.ar o bien dejarla en blanco como se observa en versiones posteriores de ese firmware. Fibertel, además del sufijo DNS olvidó cambiar otras configuraciones como se observa en la UI del panel del modem ( http://192.168.0.1/ ) ya que dejó algunas que coinciden con la de los modems del proveedor norteamericano Comcast.net / Xfinity, por ejemplo al pasar el puntero del mouse sobre el logo de Cablevision-Fibertel se lee "xfinity" y además en la sección "Diagnostic Tools" figura comcast.net como sitio de prueba, como se puede ver en estas capturas.

Cisco DPC3941T de Comcast.net / xfinity:

Sagemcom Fast 3890 V3 de Fibertel:

Por lo tanto no existe ningun DNS Hijack en estos módems, solo se trata de un error trivial en su configuración. Podemos verificar que los DNS no están alterados con solo acceder a sitios como F-Secure Router Checker, whoismydns.com , www.dnsleaktest.com o ipleak.net entre otros. En caso que el usuario no quiera ver más "utopia.net" como sufijo, podrá personalizar esto desde las propiedades del adaptador de red: protocolo TCP/IP V4, Opciones avanzadas, y elegir un sufijo que le agrade:

El nombre utopia obedece al proyecto de Cisco sobre migracion de Telefonia PBX a Telefonía IP: The Road to IP Telephony: How Cisco Systems Migrated from PBX to IP Telephony Por Stephanie Carhee, Cisco Systems 

Los modems de Fibertel mencionados cuentan con uno o dos puertos de Telefonía, motivo por el cual utilizan este firmware desarrollado por Cisco. 

 Actualización 25/09/2019: Usuarios de Fibertel informan que se les actualizó el firmware del módem. 

Versión anterior (sufijo utopia.net): "FAST3890V3_CVA-RDK_72.20.5" 

Versión actual (sufijo fibertel.com.ar): "FAST3890V3_CVA-RDK_72.30.1" 

Créditos:  

Foro 3dgames - usuario el_bardero  

Foro Bandaangosta - usuario jrbcba 

Ref.: Solucion microcortes de fibertel (Reddit) https://www.reddit.com/r/argentina/comments/aep7f8/solucion_microcortes_de_fibertel/ 

Reclamos (Facebook) https://web.facebook.com/cablevisionfibertel/posts/10156180440818807/?_rdc=1&_rdr 

Información incorrecta difundida por el Centro de Protección de Datos Personales (web Defensoría del pueblo de C.A.B.A.): 

Atención: Cómo saber si tu Módem está infectado 

Captura: Cómo saber si tu Módem está infectado 

Captura artículo original en el ahora desparecido blog de zoomblog

Nuevo sitio de links por cierre de MyOpera

"Agradecimiento" especial a la Gente de Opera que decidió eliminar no solo su excelente navegador Opera 12 (y reemplazarlo por otro basado en Chromium) sino que también borró todos los blogs, enlaces, etc. de la comunidad My.Opera.com desde marzo de 2014.
Por este motivo, improvisé una página con los links que tenía en MyOpera (http://my.opera.com/marcelo_ar/links/)

Marcelo.ar | Links

Martes 13 para usuarios del AVG Free (user32.dll - Trojan horse Generic9.TBN)

El pasado martes 13 de noviembre de 2007, muchos usuarios del AVG fueron damnificados por un error en la actualización de su virus database.
Debido a eso, el AVG daba erróneamente como infectado (falso positivo) al archivo user32.dll con "Trojan horse Generic9.TBN" motivo por el cual, quienes seleccionaban la opción de enviar a cuarentena o limpiar el mencionado archivo, en la práctica, se quedaban sin Sistema Operativo, debido a que Windows no podría reiniciar correctamente sin éste.

El problema parece haber sido resuelto con la actualización del martes 13 por la tarde, pero quienes se quedaron sin S.O. por la mañana debido al update defectuoso, quizás nunca se enteren del motivo.

En este post de Taringa! hay soluciones para los usuarios afectados por el update defectuoso del AVG.
El post mencionado, en realidad es un 'copiar & pegar' (sin citar la fuente) de este post del blog de un usuario afectado, pero lo cito debido a que hay buenos comentarios de algunos usuarios, por ejemplo, el de "nanubcn" que aporta una solución.

Espero que no hayan habido muchos damnificados por esta nueva negligencia por parte de Grisoft, que dicho sea de paso, en su foro del AVG Free, apenas hay un post mencionando este problema, que solo parece haber afectado a usuarios de Windows en Español:
http://forum.grisoft.cz/freeforum/read.php?4,109767

[Actualización 16/11/07, 01:05 am]
Según lo que se comenta en este foro, queda prácticamente confirmado que el problema solo se presentó en versiones de Windows XP en español.
La actualización del AVG que generó el problema fue la AVI 269.15.30/1127, disponible el 12 de Nov 2007 10:41 pm, y (aparentemente), fue resuelto con la actualización AVI 269.15.31/1128, disponible el 13 de Nov 2007 12:20 pm.
En ese mismo foro, en el post nro 4 se da otra posible solución con los pasos a seguir (en español), para resolver el problema.

Ref.:
http://marcelo.zoomblog.com/

Problemas con parche de Microsoft (Hhctrl.ocx - user32.dll)

Por marcelo-ar - 4 de Abril, 2007, 4:23

El SANS ISC ha recibido muchos emails durante el día, provenientes de usuarios que están experimentando problemas ocasionados por el parche de Microsoft 925902 (MS07-017).

Uno de los problemas, que se presenta cuando Realtek HD Audio Control Panel (Rthdcpl.exe) está instalado, ha sido confirmado por Microsoft y ha provisto este articulo y este parche para quienes experimenten el siguiente mensaje de error:

Rthdcpl.exe - Reasignación no válida de DLL del sistema.

La DLL de sistema user32.dll se ha reasignado en la memoria. La aplicación no funcionará correctamente. La reasignación ocurrió porque la DLL C:\Windows\system32\HHCTRL.OCX ocupa un intervalo de direcciones reservado para la DLL del sistema de Windows.
Debe ponerse en contacto con el fabricante que proporciona la DLL para obtener una nueva.

Otros posibles problemas han sido reportados y estan siendo investigados.

Ref.:
SANS Internet Storm Center
Microsoft Patch Maybe Causing Some Problems
http://isc.sans.org/diary.html?storyid=2565

Permalink ~ Comentarios ~ Comentar | Referencias (0)
Etiquetas: MS07-017, 925902, user32, hhctrl, Realtek, Rthdcpl

Blog mudado de Blogger a ZoomBlog

La nueva dirección de mi blog es:
http://marcelo.zoomblog.com/

Ultimos posts en el nuevo blog [05/09/2005 al 05/11/2005]:
Macromedia Flash Player: importante actualizacion de seguridad
Resueltas tres vulnerabilidades en Clam AntiVirus / ClamWin 0.87.1 (archivos TNEF/CAB/FSG)
QuickTime Player 7.0.3 resuelve multiples vulnerabilidades criticas
Fallo en F-Prot Antivirus al descomprimir archivos ZIP
Disponible Firefox 1.5 RC 1
phpBB 2.0.18 resuelve multiples vulnerabilidades
Microsoft demanda a distribuidores de correo basura mediante "Spam Zombies"
Servidores DNS: vulnerables a ataques
Cuelgue remoto de Internet Explorer 6.0 (mshtmled.dll)
Multiples vulnerabilidades en Skype
Yahoo resuelve un agujero de seguridad en su WebMail
Posible problema con parche de Microsoft (MS05-050)
Publicado exploit para vulnerabilidad Plug & Play (MS05-047)
Disponible Netscape Browser 8.0.4
Vulnerabilidad XSS en lector de feeds RSS de Mi Yahoo!
eEye reporta una vulnerabilidad critica en Windows Media e Internet Explorer
Reportada vulnerabilidad inexistente en Firefox 1.0.7 (DoS)
Problemas con parche de Microsoft: MS05-051 (902400)
Extension WebMail incompatible con Thunderbird 1.0.7
Disponible Exploit para vulnerabilidad MS05-051 (MSDTC) en Windows 2000
Nueve boletines de seguridad de Microsoft (11/10/2005)
WinRAR 3.51 resuelve dos vulnerabilidades
Vulnerabilidad critica en Kaspersky Antivirus al procesar archivos CHM
Disponible Thunderbird 1.5 Beta 2
Traspaso de multiples antivirus mediante archivos comprimidos alterados
Disponible Firefox 1.5 Beta 2 final
Resuelta vulnerabilidad en ALZip v6.13
Resuelta vulnerabilidad critica en Kaspersky Antivirus (libreria cab.ppl)
Resuelta grave vulnerabilidad en BitDefender Antivirus al generar reporte de escaneo
Grave vulnerabilidad en Kaspersky Anti-Virus al procesar archivos cab
Troyano explota vulnerabilidad en Microsoft Jet Database aun no resuelta por Microsoft
Version gratuita de ZoneAlarm vulnerable a tecnica de traspaso mediante DDE-IPC
Traspaso de proteccion antivirus mediante nombres de archivo con caracteres especiales
Error en Internet Explorer 6.0 al procesar ciertos archivos embebidos permite ataques XSS
Adbar: la prestacion menos popular de Opera aun disponible para Firefox
Vulnerabilidad en 7-Zip al procesar archivos ARJ permite ejecutar codigo arbitrario
Publicado exploit para vulnerabilidad IDN Link Buffer Overflow en Mozilla Firefox (PwnZilla 5)
Virus en version coreana de Mozilla y Thunderbird
Resueltas cinco vulnerabilidades en Opera 8.50
Disponible Firefox 1.0.7
Absurdo: Symantec dice que Mozilla es mas vulnerable que Internet Explorer
Resueltas dos vulnerabilidades en ClamAV / ClamWin antivirus (UPX buffer overflow y FSG DoS)
Desactivar IDN en Firefox 1.5 Beta evita correctamente vulnerabilidad IDN Buffer Overflow
eEye reporta otra vulnerabilidad crítica en Internet Explorer
Realizado SeaMonkey 1.0 Alfa
Google lanzó su buscador de blogs
Desactivar IDN no evita la explotacion de vulnerabilidad IDN Buffer Overflow en Firefox 1.5 Beta
Resuelta grave vulnerabilidad en AVIRA Antivirus al procesar archivos ACE
Cuidado con las emanaciones acusticas del teclado
Realizado Mozilla Thunderbird 1.5 Beta 1
Parche para vulnerabilidad Link Buffer Overflow en Mozilla Firefox
Vulnerabilidad "Host:" Buffer Overflow en Mozilla Firefox
Resuelta grave vulnerabilidad en NOD32 Anti-Virus
Realizado Mozilla Firefox 1.5 Beta1
Intel y Enterprise Investors se quedan con Grisoft
Censura: Yahoo exige a un blog que retire un post
Jefe de Seguridad de Microsoft UK afectado por un dialer
Team Foxie: Son unos ladrones

Vulnerabilidad HTML injection en ZoomBlog

sikikmail[arroba]gmail.com reporta que ZoomBlog es vulnerable a ataques "HTML injection".
Es posible para un usuario malicioso de ZoomBlog inyectar HTML hostil y código script en los comentarios, mediante los campos del formulario.
Este código será interpretado por el navegador del usuario que visualice los comentarios en ZoomBlog.
ZoomBlog no filtra adecuadamente las etiquetas HTML de varios campos.
Esto podría habilitar a un atacante para inyectar codigo script arbitrario dentro de las páginas que son generadas por ZoomBlog.

Ejemplo:
(ver reporte original)

Referencias:
Bugtraq: Zoomblog HTML Injection Vulnerability
http://seclists.org/lists/bugtraq/2005/Nov/0065.html

Actualizacion:
Rogelio Bernal Andreo me informa que este fallo fue resuelto el pasado 4 de noviembre cuando detectaron a un usuario haciendo pruebas sobre esto.

Nuevo K-MeleonCCF 0.03 Beta5 pre-release

Nueva versión experimental de K-Meleon realizada por Hao Jiang basada en el ejecutable de Dorian.

Algunas mejoras notables de esta versión:

• Color de fondo en la barra de URLs dependiendo del estado de seguridad (amarillo=ok, rojo= roto/mezclado)
  
• Barra de búsqueda (CTRL F)
  
• Barra lateral para marcadores (como en Firefox)
• Soporte parcial de favicons
• Chevron (>>) para barra de marcadores y de capas (capas=tabs del firefox)
• Actualizado al último Gecko de Mozilla

Mas información en el blog de Hao Jiang

Si bien en el post de Hao Jiang aún no figura el enlace de descarga, navegando por su sitio ftp deduzco que es éste:
K-MeleonCCF0.03B5_layer.exe

Notar que Hao informa de dos versiones:
1) Tab Version [experimental] (notar que el nuevo sistema de tabs esta en pruebas)
2) Layer Version [recomendada] (utiliza el "layer plugin" tradicional y es compatible con las viejas macros)

Según leo en este post del foro, quizás convenga esperar una versión mas depurada a la brevedad.
Personalmente, voy a esperar la versión de Fred, ya que las de Hao vienen configuradas para navegar únicamente por layers sin posibilidad de abrir ventanas adicionales.

Firefox 1.5, Winamp 5.1 y cuidado con "CTRL C" en el IE

Mozilla Firefox 1.5 Beta 1 previsto para el 8 de Septiembre:
Mozilla Firefox 1.5 Beta 1 Set for 8th September <--original en inglés
Mozilla Firefox 1.5 beta 1 fijado para el 8 de septiembre <--traducción al español

Nuevo Winamp 5.1 Surround Edition
Descarga versión gratuita

Cuidado con CTRL+C al usar el IE! :-)
Blog Hispasec: Robar el portapapeles con Internet Explorer

Microsoft publica parche para fallo trivial en el cortafuegos de Windows XP

Se ha identificado una debilidad en Windows, la cual podría ser explotada por usuarios locales para ocultar cierta información. Este fallo es debido a un error en la forma que la Interfaz de Usuario del Cortafuegos de Windows maneja entradas malformadas en el Registro de Windows, lo cual podría ser explotado por atacantes o gusanos cuando un sistema ya ha sido comprometido, para crear entradas con excepciones en el registro de Windows de modo que no sean vistas mediante la Interfaz Gráfica de Usuario del mismo.

Solución:
Actualización para Windows XP (KB897663)

Referencias:
- Microsoft Windows Firewall User Interface Exception Handling Issue
- Microsoft Security Advisory (897663)
Windows Firewall Exception May Not Display in the User Interface
- Una excepción no puede aparecer en el interfaz gráfico de usuario
Seguridad de Windows si crea la excepción modificando el Registro

Nota:
Quienes quieran traspasar (solo como entretenimiento) la verificación de Windows Genuino para poder descargar esta actualización, pueden aplicar esto:
Rafael Rivera: Windows Genuine Advantage + Javascript = Workaround
Notar que esa información solo debe usarse como entretenimiento, ya
que usar Windows sin licencia es ilegal!!! O:-)

Vulnerablidad no especificada en Internet Explorer podría permitir la ejecución de codigo malicioso

Tom Ferris, de Security-Protocols reporta una vulnerabilidad en "Internet Explorer 6 - Windows XP SP2" con todos los parches al día.
Mediante la explotación exitosa de esta vulnerablidad podría ser posible ocasionar el fallo del navegador o bien ejecutar codigo arbitrario con solo abrir un archivo html especialmente alterado.
De momento, Tom Ferris aún se encuentra investigando esta vulnerabilidad, y no ha provisto detalles de la misma, solo provee una captura de pantalla con el IE fallando.
Según el investigador, este problema en el IE fue reportado a Microsoft el 14 de agosto.

Referencias:
Security-Protocols: Upcoming Release: Windows XP SP2 IE 6.0 Vulnerability
SecurityTracker Alert ID 1014809: Microsoft Internet Explorer Unspecified Bug May Permit Remote Code Execution

FBI detiene dos sospechosos de crear los gusanos Zotob y Mytob

El FBI anunció que Farid Essebar (alias "Diabl0") de 18 años, nacido en Rusia de nacionalidad Marroquí fue arrestado en Marruecos, y Atilla Ekici (alias "Coder") , residente Turco de 21 años, fue arrestado en Turquía.
Ambos son sospechosos de haber creado los gusanos Mytob y Zotob.
El FBI inició esta investigación en cooperación con Microsoft a efectos de rastrear los origenes de estos gusanos y alega que Essebar creó ambos gusanos y luego se los vendió a Ekici.

Mas información:
ZDNet - Arrests made in probe of worm that hit ABC, others

Vulnerabilidad explotada por Zotob tambien afecta a ciertos Windows XP

Según Microsoft la vulnerabilidad Plug and Play tambien afecta a ciertas configuraciones específicas de Windows XP SP1 que son vulnerables a ataques similares a los sufridos en sistemas con Windows 2000.
Mas información:
ZDNet - Zotob worm hole also affects Windows XP

10 años de Windows 95

Ayer, 24 de agosto, Windows 95 cumplió 10 años! :-)
Fuente: Noticiasdot.com
10 años del lanzamiento de Windows 95

Vulnerabilidad en Editor del Registro de Windows permite ocultar información

El Editor del Registro de Microsoft para Windows 2000/XP (Regedt32.exe) tiene un defecto de diseño que permite ocultar información del registro de modo que no sea visible al editarlo.

Pasos para reproducir este comportamiento:
- Ejecute Regedt32.exe

- Cree una clave, por ejemplo:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Empty

- En esta clave cree cualquier Nombre de Valor que exceda 256 caracteres (260 es el máximo)

- Oprima F5 (refrescar) y verá como la clave desaparece mágicamente

- Ahora cree cualquier clave dentro de:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Empty
y presione F5 nuevamente. Esta no será visible mediante el Editor del Registro.

Posible explotación de esta debilidad en Regedt32.exe:

Un virus/gusano puede crear una clave como ésta para ocultar su ejecución en

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Este problema ha sido confirmado en Windows XP SP2 con todos los parches al día y en Windows 2000.

Otras versiones también podrían estar afectadas.

Créditos:

Descubierto por Igor Franchuk

Reporte original:

[Full-disclosure] Miscrosoft Registry Editor 5.1/XP/2K long string key vulnerability

http://seclists.org/lists/fulldisclosure/2005/Aug/0801.html

Referencias:

Re: [Full-disclosure] Miscrosoft Registry Editor 5.1/XP/2K long string key vulnerability

http://seclists.org/lists/fulldisclosure/2005/Aug/0814.html

Secunia Advisory: SA16560

http://secunia.com/advisories/16560/

Solucion del SANS Internet Storm Center para grave vulnerabilidad IE Msdds.dll

Tom Liston de Intelguardians escribió una pequeña utilidad para setear el "killbit" para msdds.dll. Esto previene el uso de msdds.dll mediante ActiveX.

Descarga de Killbit.exe:
http://isc.sans.org/msddskillbit.php

Nota: esta utilidad no resuelve la vulnerabilidad, pero previene la explotacion de la misma en el IE hasta tanto Microsoft realice un parche.

Ejecucion remota de codigo en Internet Explorer (msdds.dll)

Se ha identificado una vulnerabilidad crítica en Internet Explorer cuya explotación exitosa por parte de un atacante remoto permite la ejecucion de codigo malicioso en el sistema del usuario atacado con solo ver una pagina web maliciosa en el IE.

El problema es debido a un error de corrupción de memoria al invocar desde el IE al objeto "Msdds.dll" como un control ActiveX.

La librería afectada (Msdds.dll) solo es instalada por Microsoft Office y Microsoft Visual Studio y se encuentra en este directorio:
"Archivos de programa\Archivos Comunes\MicrosoftShared\MSDesigners7"
La versión vulnerable es la "7.0.9064.9112". Las versiones posteriores, en particular las 7.10.x no son vulnerables.

Se conoce un exploit prueba de concepto para esta vulnerabilidad, por lo cual es previsible su explotacion por parte de los creadores de codigo malicioso.

Referencias:
Microsoft Internet Explorer "Msdds.dll" Remote Code Execution
Microsoft Internet Explorer "Msdds.dll" Remote Code Execution Exploit (0day)
Secunia: Microsoft DDS Library Shape Control Code Execution Vulnerability
SecurityTracker: Microsoft 'msdds.dll' COM Object Lets Remote Users Execute Arbitrary Code
Internet Explorer (.Net) 0day msdds.dll Exploit & Patch
Microsoft Security Advisory (906267)

Vulnerabilidad en Adobe Reader podía permitir la ejecución de código arbitrario

Adobe reporta una vulnerabilidad del tipo desbordamiento de buffer (buffer overflow) en sus productos Adobe/Acrobat Reader.
La explotacion existosa de esta vulnerabilidad podía ocasionar el fallo de la aplicación con un alto riesgo de ejecución de código arbitrario.
La solución pasa por actualizarse a las versiones parcheadas, indicadas en el reporte original de Adobe:
Security Advisory: Acrobat and Adobe Reader plug-in buffer overflow

Secunia calificó esta vulnerabilidad como Altamente crítica

Gusano Zotob explota vulnerabilidad Plug and Play en Windows 2000

Aqui se informa que Microsoft actualizó ayer su Microsoft Security Advisory (899588) debido a la aparicion del gusano "Win32/Zotob" que explota la vulnerabilidad Plug and Play.
Esta vulnerabilidad solo es explotable en forma remota en equipos con Windows 2000 no actualizados con el parche MS05-039

Más información:
Enciclopedia Virus
Hispasec

Conocido el exploit para vulnerabilidad Plug and Play (MS05-039)

Se hizo público el exploit para la vulnerabilidad aqui descripta.
En Windows 2000 podría ser posible explotar esta vulnerabilidad por parte de un atacante remoto y ejectutar código arbitrario en el sistema afectado.
Exploit publicado en Bugtraq:
http://seclists.org/lists/bugtraq/2005/Aug/0179.html

Revelación de contraseñas de Yahoo! en Trillian

Suramya Tomar descubrió un problema de seguridad en Trillian.
Al seleccionar la opción de chequear el correo web de yahoo desde Trillian (la pequeña bola de conexión... Check Yahoo Mail), se crea un archivo temporal en "[Directorio-de-instalacion]\users\default\cache" con un nombre aleatorio que contiene la contraseña de Yahoo! en texto simple y de fácil lectura. Esto podría estar bien si el archivo fuese borrado tan rápido como la identificación (login) con yahoo se haya efectivizado, pero este archivo permanece allí hasta que Trillian es cerrado.
El problema fue verificado en "Trillian Pro 3.1 Build 121", "Trillian 3.0 Basic" y "Trillian 3.0 Pro".

Ante el requerimiento de un usuario de la lista Bugtraq (Technica Forensis), Scott Werndorfer de Ceruleanstudios, informa que esta debilidad en Trillian será resuelta en la próxima versión.

Referencias:
Bugtraq: Trillian Ver 3.1 saves password's in plain Text
Bugtraq: Re: Trillian Ver 3.1 saves password's in plain Text

Los boletines del 10/08/2005 de Micro$oft en español

Boletín de Seguridad de Microsoft MS05-038
Actualización de seguridad acumulativa para Internet Explorer (896727)

Boletín de Seguridad de Microsoft MS05-039
Una vulnerabilidad de Plug and Play podría permitir la ejecución
remota de código y la elevación de privilegios (899588)

Boletín de Seguridad de Microsoft MS05-040
Una vulnerabilidad en el servicio de telefonía podría permitir la
ejecución remota de código (893756)

Boletín de Seguridad de Microsoft MS05-041
Una vulnerabilidad de Remote Desktop Protocol puede causar una
denegación de servicio (899591)

Boletín de Seguridad de Microsoft MS05-042
Vulnerabilidades en Kerberos podrían permitir la denegación de
servicio, la divulgación de información y la suplantación (899587)

Boletín de Seguridad de Microsoft MS05-043
Una vulnerabilidad en el servicio de cola de impresión podría permitir
la ejecución remota de código (896423)

Resuelta vulnerabilidad de etiquetas ID3v2 en Winamp 5.094

Leon Juranic reportó una vulnerabilidad en el reproductor Winamp.
La vulnerabilidad era ocasionada debido a un error de límite en el manejo de las etiquetas ID3v2 y podía ser explotada para ocasionar un desbordamiento de buffer, mediante, por ejemplo, un archivo mp3 conteniendo un nombre demasiado extenso en el campo "Artist".
La explotación exitosa podía permitir la ejecución de código malicioso, pero se requería alguna interacción por parte del usuario, por ejemplo, que el usuario agregue un archivo mp3 malicioso a una lista de reproducción y que luego reproduzca el archivo.
Esta vulnerabilidad fue reportada en las versiones 5.03a, 5.09, y 5.091, y se supone que otras versiones anteriores también están afectadas.
La solución pasa por actualizarse a la versión 5.094 cuyo enlace de descarga indiqué en este post:
http://marcelo-ar.blogspot.com/2005/08/winamp-5094.html

Fuente: Secunia