Monthly Archives: September 2008

Múltiples vulnerabilidades en Firefox, Thunderbird y Seamonkey

Posted on by
Reply

La Fundación Mozilla ha informado sobre múltiples vulnerabilidades en varios de sus productos que podrían ser aprovechadas por un atacante remoto para revelar información sensible, perpetrar ataques de cross-site scripting, provocar una denegación de servicio, saltarse restricciones de seguridad o ejecutar código arbitrario en un sistema vulnerable.

A continuación se detallan las vulnerabilidades publicadas:

1- Desbordamiento de búfer causado por URLs codificadas con UTF-8 especialmente manipuladas. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario. Afecta a Firefox 2.x y SeaMonkey.

2- Salto de restricciones de seguridad al no comprobar de forma adecuada la política de mismo origen en nsXMLDocument::OnChannelRedirect(), lo que podría ser aprovechado para ejecutar código JavaScript en el contexto de un sitio web diferente al original. Afecta a Firefox 2.x, Thunderbird y SeaMonkey.

3- Escalada de privilegios y cross-site scripting causado por múltiples errores de validación de entrada en feedWriter. Esto podría permitir que un atacante ejecutase código script arbitrario con los privilegios de chrome (componente principal de Firefox, no confundir con el navegador de Google). Afecta sólo a Firefox 2.x.

4- Un error durante el manejo de las pulsaciones del ratón podría permitir que un atacante moviera el contenido de la ventana mientras el ratón está siendo pulsado, pudiendo causar que un item fuera arrastrado en vez de “clickeado”. Esto podría ser aprovechado para forzar el arrastre de ciertos componentes, lo que permitiría, entre otros efectos, realizar una descarga no solicitada. Afecta a Firefox 2.x, 3.x y SeaMonkey.

5- Múltiples fallos relacionados con XPCnativeWrapper podrían permitir a un atacante remoto ejecutar código script arbitrario con los privilegios de chrome. Afecta a Firefox 2.x, 3.x y SeaMonkey. Podría afectar a Thunderbird si se habilita la ejecución de JavaScript.

6- Múltiples problemas de estabilidad en los motores de diseño, gráficos y JavaScript de los productos Mozilla, que podrían ser explotados para causar una denegación de servicio o incluso ejecutar código arbitrario aprovechando una posible corrupción de memoria. Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.

7- Cross-site scripting provocado por la interpretación de forma errónea de caracteres BOM (Byte-Order Mark, tres caracteres que se encuentran al principio de un archivo para indicar que está codificado como UTF-8, UTF-16 o UTF-32. Ejemplo:  ). Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.

8- Errores en el protocolo “resource:” que podrían ser aprovechados para conducir ataques de directorio trasversal y revelar información sensible. Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.

9- Un error en el decodificador XBM podría permitir la lectura de pequeñas porciones aleatorias de memoria, lo que daría lugar a la revelación de información sensible. Afecta a Firefox 2.x y SeaMonkey.

Se recomienda la actualización de los productos Mozilla a las siguientes versiones no vulnerables: Firefox 2.0.0.17 ó 3.0.2, Thunderbird 2.0.0.17 y SeaMonkey 1.1.12 tan pronto como estén disponibles desde:

http://www.mozilla.com/

Recordamos que también se pueden descargar de forma automática una vez que el propio programa nos avise de que hay una actualización pendiente. Notificación que normalmente llegará entre 24 y 48 horas después de que la nueva versión esté disponible.

Fuente: http://www.hispasec.com/unaaldia/3623

Redes sociales e información pública

Posted on by
Reply

Este post, aunque ya se ha hablado mucho sobre este tema, va a tratar sobre ese gran contenedor de información que es Internet y las redes sociales.

Ahora bien, ¿qué pasa con la información de Internet?, generalmente el usuario da por buena cualquier información que encuentre sobre un tema determinado. Podría ser cierto, pero… ¿nos podemos fiar?, si somos un poco paranoicos…

¿Qué pasa con las redes sociales?

Si intentamos darnos de alta en una red social, sólo nos piden nombre y apellidos (cosa muy fácil de mentir) y una dirección de correo electrónico (siempre se pueden crear cuantas anónimas o con nombres falsos), y una fecha de nacimiento. Con estos datos, yo mismo podría hacerme pasar por cualquier persona y difundir datos falsos, despectivos o incluso incriminatorios de una persona pública o de una empresa. Porque… ¿por qué no hacerme pasar por George Bush o Vladímir Putin?, o por ejemplo podría hacerme pasar por un ingeniero del CERN (que ahora está muy de moda) y lanzar rumores sobre el funcionamiento del mismo o incluso por qué no, del fin del mundo?

¿Cuánto daño puede hacer una información falsa en Internet?,

Depende, ya que influyen muchos factores: repetición, medio de publicación, etc. Por eso se hace cada vez más necesario el poder conocer y cuantificar la mayor cantidad de información que esté “circulando” por la red, para poder detectar y mitigar en la medida de lo posible estos riesgos.

José María Arce Guillén
S21sec labs

Fuente: http://blog.s21sec.com/2008/09/redes-sociales-e-informacin-pblica_24.html

Varios ‘hackers’ acceden al correo electrónico del primer ministro de Canadá

Posted on by
Reply

Un grupo de “hackers” accedió al correo electrónico del primer ministro canadiense, Stephen Harper, exactamente igual que le sucedií a la candidata republicana a la Vicepresidencia estadounidense, Sarah Palin, informaron este lunes fuentes oficiales.

En el caso de Palin se trataba de una cuenta personal establecida en el popular servidor Yahoo, mientras que el del también conservador Harper era su correo oficial.

Por favor, voten por mí, porque si lo hacen, les prometo que serán capaces de votar por McCain en el 2012

La Oficina del primer ministro dijo que solicitó a la agencia canadiense encargada del contra espionaje electrónico que investigue la intrusión en el sistema de correo electrónico de Harper.

A última hora de la noche del domingo, poco después de que la Oficina del primer ministro (OPM) enviara a los medios de comunicación suscritos a su lista de entrega un comunicado en el que Harper condenaba el atentado en Islamabad (Pakistán), los periodistas recibieron otros dos mensajes.

El título del primero, “Por qué no me deberían temer”, ya levantó suspicacias dado que, aunque el país se encuentra en plena campaña electoral, es inusitado que el primer ministro utilice su dirección de correo institucional para enviar mensajes partidistas.

Lo comparan con McCain

En un lenguaje coloquial, el texto de la misiva señala que “mi objetivo es hacer de Canadá el 51 estado de Estados Unidos y destruir el sistema de sanidad que todos los canadienses estiman”. “Por favor, voten por mí, porque si lo hacen, les prometo que serán capaces de votar por (John) McCain en el 2012″, añadió el texto.

La misiva termina diciendo que “consideramos todo con la palabra ‘verde’ ofensivo, excepto el todopoderoso dólar estadounidense, que esperamos ser capaces de implementar en los próximos meses”.

El segundo correo electrónico, firmado por “un ciudadano preocupado”, ofrece más detalles de los motivos de la intrusión. “La provincia sureña de Serbia, Kosovo, declaró su independencia en febrero de 2008. El Gobierno de Harper reconoció su independencia. ¿Puede que esto lentamente conduzca a aceptar la soberanía de Québec?”.

Fuente: http://www.20minutos.es/noticia/414005/0/hacker/correo/ministro/

Los proveedores de correo web pueden arreglar los problemas de ataque del tipo sucedido a Palin

Posted on by
Reply

Una de las preguntas más importante que deberíamos hacernos a la luz de la violación del correo web de Palin, discutidos en profundidad aquí, aquí and aquí, es: ¿cómo podría haberse prevenido?. Hay varias técnicas de software que me vienen a la mente que podrían ayudar a prevenir ataques de reinicio de contraseña del correo web.

En general no soy un creyente del modelo de seguridad de “hecharle un software al problema”. El software es una herramienta que puede ser comprada y empleada cuando es necesario, pero no es una panacea. Sin embargo, puedo pensar en varias soluciones de software que podrían haber detenido el ataque de ingeniería social. Por ejemplo, la detección de algún tipo de anomalía podría ser usada conectada con la dirección IP que se conectó al formulario de reinicio de contraaseña de Yahoo.

Las reglas “gatillo” para impedir que una IP reinicie una contraseña podrían ser tan simples como “si esta persona nunca estuvo en el area geográfica relacionada con esta dirección IP, no permita que se reinicie la contraseña”. Otra podría ser alguna técnica de “huella digital” del lado cliente para determinar si se trata de un sistema de computación completamente nuevo el que intenta reiniciar la contraseña. Una tercera podría ser usando el teléfono celular del dueño como un segundo factor de autenticación, y poder obtener el reinicio enviando un mensaje (SMS) al teléfono.

Los proveedores deben ser muy cuidadosos en la implementación de cada una de estas propuestas para que no aumente el número de personas que no puedan usar los sistemas automatizados y que necesiten hablar con un ser humano. El correo web gratuito no es un gran generador de dinero, y cualquier aumento en los pasos de remediación del lado humano elevará el costo del servicio. Por otra parte, los proveedores pueden elegir no mejorar la seguridad, y depender de una evasiva base de usuarios para bajar su costo.

Autor: Adam O’Donnell

Fuente:

http://blogs.zdnet.com/security/?p=1951

http://www.networkworld.com/news/2008/091908-yahoo-hotmail-gmail-all-vulnerable.html?

El sitio web de la Guardia Nacional de Texas descarga malware

Posted on by
Reply

Los usuarios malintencionados han aprovechado el caos causado en Texas por el huracán Ike para modificar el sitio web de la Guardia Nacional de Texas. Así, seleccionaron páginas específicas del sitio y las alteraron para que propaguen programas nocivos.

Las páginas alteradas dirigían a sus víctimas a un sitio llamado ad-block-plus.net que, a su vez, abría otras páginas sin el consentimiento del usuario. Aunque no se ha confirmado, se cree que el sitio malicioso estaba hospedado en un servidor ruso.

Para completar el ataque, los usuarios maliciosos dirigían a sus víctimas a un sitio fraudulento que advertía a sus visitantes que su ordenador estaba infectado. Para desinfectarlo, los usuarios debían escribir los datos de sus tarjetas de crédito y comprar un programa de seguridad falso por tan sólo 49,95 dólares.

Además, los hackers descargaban un rootkit para camuflar los programas nocivos en el sistema de la víctima y dificultar su detección y eliminación por parte de los programas de seguridad.

Por si esto fuera poco, los usuarios maliciosos realizaban cambios en el escritorio de algunas de sus víctimas. Pero los usuarios que tienen su sistema completamente parchado no son vulnerables a esta parte del ataque.

Los usuarios maliciosos lanzaron el ataque mientras los miembros de la Guardia Nacional de Texas, incluyendo la persona responsable del mantenimiento del sitio web, estaban ocupados tratando de controlar los daños del huracán Ike.

Fuente: http://www.viruslist.com/sp/news?id=208274221