lunes, agosto 29, 2005

Vulnerablidad no especificada en Internet Explorer podría permitir la ejecución de codigo malicioso

Tom Ferris, de Security-Protocols reporta una vulnerabilidad en "Internet Explorer 6 - Windows XP SP2" con todos los parches al día.
Mediante la explotación exitosa de esta vulnerablidad podría ser posible ocasionar el fallo del navegador o bien ejecutar codigo arbitrario con solo abrir un archivo html especialmente alterado.
De momento, Tom Ferris aún se encuentra investigando esta vulnerabilidad, y no ha provisto detalles de la misma, solo provee una captura de pantalla con el IE fallando.
Según el investigador, este problema en el IE fue reportado a Microsoft el 14 de agosto.

Referencias:

Security-Protocols: Upcoming Release: Windows XP SP2 IE 6.0 Vulnerability
SecurityTracker Alert ID 1014809: Microsoft Internet Explorer Unspecified Bug May Permit Remote Code Execution

viernes, agosto 26, 2005

FBI detiene dos sospechosos de crear los gusanos Zotob y Mytob

El FBI anunció que Farid Essebar (alias "Diabl0") de 18 años, nacido en Rusia de nacionalidad Marroquí fue arrestado en Marruecos, y Atilla Ekici (alias "Coder") , residente Turco de 21 años, fue arrestado en Turquía.
Ambos son sospechosos de haber creado los gusanos Mytob y Zotob.
El FBI inició esta investigación en cooperación con Microsoft a efectos de rastrear los origenes de estos gusanos y alega que Essebar creó ambos gusanos y luego se los vendió a Ekici.

Mas información:
ZDNet - Arrests made in probe of worm that hit ABC, others

jueves, agosto 25, 2005

Vulnerabilidad explotada por Zotob tambien afecta a ciertos Windows XP

Según Microsoft la vulnerabilidad Plug and Play tambien afecta a ciertas configuraciones específicas de Windows XP SP1 que son vulnerables a ataques similares a los sufridos en sistemas con Windows 2000.
Mas información:
ZDNet - Zotob worm hole also affects Windows XP

10 años de Windows 95

Ayer, 24 de agosto, Windows 95 cumplió 10 años! :-)
Fuente: Noticiasdot.com
10 años del lanzamiento de Windows 95

miércoles, agosto 24, 2005

Vulnerabilidad en Editor del Registro de Windows permite ocultar información

El Editor del Registro de Microsoft para Windows 2000/XP (Regedt32.exe) tiene un defecto de diseño que permite ocultar información del registro de modo que no sea visible al editarlo.

Pasos para reproducir este comportamiento:
- Ejecute Regedt32.exe
- Cree una clave, por ejemplo:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Empty
- En esta clave cree cualquier Nombre de Valor que exceda 256 caracteres (260 es el máximo)
- Oprima F5 (refrescar) y verá como la clave desaparece mágicamente
- Ahora cree cualquier clave dentro de:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Empty
y presione F5 nuevamente. Esta no será visible mediante el Editor del Registro.

Posible explotación de esta debilidad en Regedt32.exe:
Un virus/gusano puede crear una clave como ésta para ocultar su ejecución en
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Este problema ha sido confirmado en Windows XP SP2 con todos los parches al día y en Windows 2000.
Otras versiones también podrían estar afectadas.

Créditos:
Descubierto por Igor Franchuk

Reporte original:
[Full-disclosure] Miscrosoft Registry Editor 5.1/XP/2K long string key vulnerability

Referencias:
Re: [Full-disclosure] Miscrosoft Registry Editor 5.1/XP/2K long string key vulnerability
Secunia Advisory: SA16560

domingo, agosto 21, 2005

Solucion del SANS Internet Storm Center para grave vulnerabilidad IE Msdds.dll

Tom Liston de Intelguardians escribió una pequeña utilidad para setear el "killbit" para msdds.dll. Esto previene el uso de msdds.dll mediante ActiveX.

Descarga de Killbit.exe:
http://isc.sans.org/msddskillbit.php

Nota: esta utilidad no resuelve la vulnerabilidad, pero previene la explotacion de la misma en el IE hasta tanto Microsoft realice un parche.

Ejecucion remota de codigo en Internet Explorer (msdds.dll)

Se ha identificado una vulnerabilidad crítica en Internet Explorer cuya explotación exitosa por parte de un atacante remoto permite la ejecucion de codigo malicioso en el sistema del usuario atacado con solo ver una pagina web maliciosa en el IE.

El problema es debido a un error de corrupción de memoria al invocar desde el IE al objeto "Msdds.dll" como un control ActiveX.

La librería afectada (Msdds.dll) solo es instalada por Microsoft Office y Microsoft Visual Studio y se encuentra en este directorio:
"Archivos de programa\Archivos Comunes\MicrosoftShared\MSDesigners7"
La versión vulnerable es la "7.0.9064.9112". Las versiones posteriores, en particular las 7.10.x no son vulnerables.

Se conoce un exploit prueba de concepto para esta vulnerabilidad, por lo cual es previsible su explotacion por parte de los creadores de codigo malicioso.

Referencias:
Microsoft Internet Explorer "Msdds.dll" Remote Code Execution
Microsoft Internet Explorer "Msdds.dll" Remote Code Execution Exploit (0day)
Secunia: Microsoft DDS Library Shape Control Code Execution Vulnerability
SecurityTracker: Microsoft 'msdds.dll' COM Object Lets Remote Users Execute Arbitrary Code
Internet Explorer (.Net) 0day msdds.dll Exploit & Patch
Microsoft Security Advisory (906267)

martes, agosto 16, 2005

Vulnerabilidad en Adobe Reader podía permitir la ejecución de código arbitrario

Adobe reporta una vulnerabilidad del tipo desbordamiento de buffer (buffer overflow) en sus productos Adobe/Acrobat Reader.
La explotacion existosa de esta vulnerabilidad podía ocasionar el fallo de la aplicación con un alto riesgo de ejecución de código arbitrario.
La solución pasa por actualizarse a las versiones parcheadas, indicadas en el reporte original de Adobe:
Security Advisory: Acrobat and Adobe Reader plug-in buffer overflow

Secunia calificó esta vulnerabilidad como Altamente crítica

lunes, agosto 15, 2005

Gusano Zotob explota vulnerabilidad Plug and Play en Windows 2000

Aqui se informa que Microsoft actualizó ayer su Microsoft Security Advisory (899588) debido a la aparicion del gusano "Win32/Zotob" que explota la vulnerabilidad Plug and Play.
Esta vulnerabilidad solo es explotable en forma remota en equipos con Windows 2000 no actualizados con el parche MS05-039

Más información:
Enciclopedia Virus
Hispasec

viernes, agosto 12, 2005

Conocido el exploit para vulnerabilidad Plug and Play (MS05-039)

Se hizo público el exploit para la vulnerabilidad aqui descripta.
En Windows 2000 podría ser posible explotar esta vulnerabilidad por parte de un atacante remoto y ejectutar código arbitrario en el sistema afectado.
Exploit publicado en Bugtraq:
http://seclists.org/lists/bugtraq/2005/Aug/0179.html

Revelación de contraseñas de Yahoo! en Trillian

Suramya Tomar descubrió un problema de seguridad en Trillian.
Al seleccionar la opción de chequear el correo web de yahoo desde Trillian (la pequeña bola de conexión... Check Yahoo Mail), se crea un archivo temporal en "[Directorio-de-instalacion]\users\default\cache" con un nombre aleatorio que contiene la contraseña de Yahoo! en texto simple y de fácil lectura. Esto podría estar bien si el archivo fuese borrado tan rápido como la identificación (login) con yahoo se haya efectivizado, pero este archivo permanece allí hasta que Trillian es cerrado.
El problema fue verificado en "Trillian Pro 3.1 Build 121", "Trillian 3.0 Basic" y "Trillian 3.0 Pro".

Ante el requerimiento de un usuario de la lista Bugtraq (Technica Forensis), Scott Werndorfer de Ceruleanstudios, informa que esta debilidad en Trillian será resuelta en la próxima versión.

Referencias:
Bugtraq: Trillian Ver 3.1 saves password's in plain Text
Bugtraq: Re: Trillian Ver 3.1 saves password's in plain Text

jueves, agosto 11, 2005

Los boletines del 10/08/2005 de Micro$oft en español

Boletín de Seguridad de Microsoft MS05-038
Actualización de seguridad acumulativa para Internet Explorer (896727)

Boletín de Seguridad de Microsoft MS05-039
Una vulnerabilidad de Plug and Play podría permitir la ejecución
remota de código y la elevación de privilegios (899588)

Boletín de Seguridad de Microsoft MS05-040
Una vulnerabilidad en el servicio de telefonía podría permitir la
ejecución remota de código (893756)

Boletín de Seguridad de Microsoft MS05-041
Una vulnerabilidad de Remote Desktop Protocol puede causar una
denegación de servicio (899591)

Boletín de Seguridad de Microsoft MS05-042
Vulnerabilidades en Kerberos podrían permitir la denegación de
servicio, la divulgación de información y la suplantación (899587)

Boletín de Seguridad de Microsoft MS05-043
Una vulnerabilidad en el servicio de cola de impresión podría permitir
la ejecución remota de código (896423)

domingo, agosto 07, 2005

Resuelta vulnerabilidad de etiquetas ID3v2 en Winamp 5.094

Leon Juranic reportó una vulnerabilidad en el reproductor Winamp.
La vulnerabilidad era ocasionada debido a un error de límite en el manejo de las etiquetas ID3v2 y podía ser explotada para ocasionar un desbordamiento de buffer, mediante, por ejemplo, un archivo mp3 conteniendo un nombre demasiado extenso en el campo "Artist".
La explotación exitosa podía permitir la ejecución de código malicioso, pero se requería alguna interacción por parte del usuario, por ejemplo, que el usuario agregue un archivo mp3 malicioso a una lista de reproducción y que luego reproduzca el archivo.
Esta vulnerabilidad fue reportada en las versiones 5.03a, 5.09, y 5.091, y se supone que otras versiones anteriores también están afectadas.
La solución pasa por actualizarse a la versión 5.094 cuyo enlace de descarga indiqué en este post:
http://marcelo-ar.blogspot.com/2005/08/winamp-5094.html

Fuente: Secunia

viernes, agosto 05, 2005

KeyWallet 1.0 Password Manager

KeyWallet Password Manager es una aplicación que permite almacenar todas nuestras contraseñas y nombres de usuario.
Además, permite ingresar los datos almacenados en cualquier navegador con solo arrastrar la "llave" creada hacia el formulario correspondiente.
Existen sitios como el correo web de Yahoo, Gmail, Hotmail y muchos mas cuyo formulario de login esta especialmente construido para saltarse los gestores de contraseñas de los navegadores Mozilla, Firefox, Netscape o el autocompletar del IE.
Curiosamente, el Wand Password Manager de Opera no hace caso de esa restricción impuesta por esos sitios y permite almacenar todas los pass + username.
Si bien en los navegadores basados en Mozilla es posible evitar la restriccion impuesta por los sitios mencionados mediante "Bookmarklets" (esto lo explicaré en otro post), con KeyWallet nos olvidamos de eso ya que simplemente basta con arrastrar la llave al formulario.
La gran ventaja de KeyWallet es que la información allí almacenada sirve para cualquier navegador.

"Key Wallet 1.0 Password Manager" es gratuito, y los desarrolladores aceptan donaciones.

Descarga de KeyWallet:
http://www.keywallet.com/

De paso, este programa viene bien para resolver un bug en K-Meleon, que impide guardar mas de un user + pass por sitio. :-)

miércoles, agosto 03, 2005

NoScript 1.1.1 para Firefox

Nueva versión de esta extensión para Firefox y Mozilla Suite, que permite la ejecución de JavaScript solo a los sitios de confianza incluidos en una "lista blanca", lo cual hace aún más seguro navegar con Firefox.
Algunas novedades en la version 1.1.0/1.1.1:
  • Se puede personalizar la ubicacion del mensaje de alerta (arriba o al pie de la pagina)
  • Opciones avanzadas (solo en Firefox) para, además de JavaScript, bloquear Java, Flash y otros plugins
  • Personalización del sonido de alerta cuando los scripts son bloqueados
  • Permitir o denegar el copiado & pegado de texto enriquecido desde el portapapeles a sitios de confianza


Descarga de NoScript

Changelog

martes, agosto 02, 2005

Winamp 5.094

Esta actualizacion de Winamp resuelve algunos bugs y una vulnerabilidad reportada en Bugtraq

Descarga de la version gratuita "Full" (4.6 Mb):

Version History (historial de versiones mas conocido como changelog)

K-Meleon con autocompletar

Tres nuevas versiones de K-Meleon realizadas por Fred, una de las cuales (K-MeleonCCF0.03Beta2-Modified) viene con la util opcion autocompletar en la barra de direcciones que no existia en otras versiones anteriores:



Las tres versiones:

1) K-Meleon0.9-1.7.11-modified.
Based on Mozilla 1.7.11 of july/28th/2005.
Various search macros added.
Download

2) K-MeleonCCFminimum-1.7.11-modified. (incluye lector de noticias RSS Agreg8)
Minimum edition with Aggreg8 RSSreader based on Mozilla 1.7.11 of july/28th/2005.
Download

3) K-MeleonCCF0.03Beta2-Modified. (incluye autocompletar, lector RSS, pero FlashBlocker parece no funcionar)
Based on Mozilla 1.8b4 nightly of july/28th/2005.
Back/forward bug fixed.
Autocomplete implemented.
Various search macros added.
Download

Lista de versiones disponibles en este hilo del foro
Para descargar oprimir el boton "free" al final de la pagina de rapidshare.

PD: Esta entrada la estoy escribiendo con k-meleonCCF0.03Beta2 :-)