25/07/2003

A través del boletín de seguridad MS03-030, Microsoft advierte a los usuarios de Windows de la existencia de una vulnerabilidad crítica, descubierta por la empresa eEye Security, en el componente DirectX del sistema operativo que permitiría a un atacante la ejecución de código arbitrario en el equipo de la víctima.
DirectX consta de un conjunto de APIs de bajo nivel que Windows utiliza para dar soporte multimedia y emplea la tecnología DirectShow que permite la manipulación de fuentes de audio y sonido del lado del cliente. 
Existen dos desbordamientos de búfer con idénticos efectos en la función utilizada por DirectShow para chequear los parámetros de un archivo MIDI.
Para explotar la vulnerabilidad, el atacante podría crear un archivo MIDI especialmente manipulado y albergarlo en un site, en un área compartida o enviarlo en formato HTML vía e-mal desde los cuales el usuario lo activase.
Un ataque exitoso podría provocar el fallo de DirectShow o una aplicación que lo utilice. También, podría provocar que un código malicioso programado por el intruso se ejecutara sobre el equipo del usuario, con las graves consecuencias que esto podría conllevar (borrado de archivos, robo de datos, ejecución de virus, etc...)
Debido a la peligrosidad del fallo, Microsoft aconseja a todos los usuarios de DirectX, actualizar sus programas con los últimos parches disponibles o descargar la última versión del programa 9.0b no vulnerable desde el site:
http://www.microsoft.com/technet/security/bulletin/MS03-030.asp

25/06/2003

Symantec Security Check es un servicio on-line gratuito que permite a los internautas chequear la seguridad de sus equipos frente a virus y otras amenazas informáticas y en el que se ha descubierto la existencia de una grave vulnerabilidad que deja expuestos los PCs de sus usuarios a posibles ataques hacker.
Concretamente el fallo, consistente en un desbordamiento de búfer, se encuentra en el archivo RUFSI.DLL correspondiente al Control ActiveX denominado "Symantec RuFSI Utility Class", el cual se instala automáticamente en el sistema sobre el que se haya ejecutado alguna vez el servicio de Symantec.
La explotación de este bug, del que hemos podido comprobar que circula por Internet el código para ello, permitiría la ejecución de código arbitrario de manera remota o el control total del sistema con el peligro que ello conlleva.
Para solventar el problema, los usuarios pueden volver a ejecutar el servicio (www.symantec.com/securitycheck/), lo que sustituirá el archivo dañado con una nueva versión corregida del mismo, o bien, eliminar directamente el archivo RUFSI.DLL del sistema.

22/05/2003

Kaspersky Labs, uno de los principales desarrolladores mundiales de software de seguridad, informa de la aparición del troyano "StartPage", el primer malware que infecta PCs explotando la vulnerabilidad denominada "Exploit.SelfExecHtml" presente en el navegador Internet Explorer (IE).
StartPage es un clásico troyano que se envía a las direcciones de sus víctimas directamente desde el equipo del autor y no tiene funciones de difusión automática. El primer envío masivo de este malware se registró el pasado día 20 en Rusia. El texto que acompaña a este Caballo de Troya está escrito en ruso por lo que se supone de origen soviético.
El programa como tal está comprimido como .ZIP y contiene un archivo HTML que, una vez abierto, ejecuta código Javascript que explota el fallo de seguridad antes mencionado y lanza a su vez el archivo .EXE que porta el código malévolo del troyano encargado de alterar una página de IE.
Según indica Kaspersky Labs, Microsoft aún no ha desarrollado ningún parche que solvente el problema en las versiones afectadas por el bug de Internet Explorer 5 y que son las específicas para Windows 2000, 95, 98 y NT 4.0, motivo por el cual aconseja a todos los internautas máxima precaución ya que no sería extraño como ha ocurrido en anteriores ocasiones que aparezca nuevos códigos maliciosos más peligrosos que StartPage que exploten dicha vulnerabilidad.

12/05/2003

Según señala  la compañía Per Antivirus en su Boletín de Seguridad de 9 de abril, Microsoft habría publicado un parche que solventa una vulnerabilidad crítica en su reproductor de vídeo, Windows Media Player.
El fallo detectado, que permitiría a un atacante ejecutar códigos maliciosos en el equipo de un usuario, consiste en la descarga de los llamados "skins", archivos que permiten cambiar la apariencia de la presentación de este reproductor multimedia, que por defecto instala un archivo estándar.
Microsoft insta a los usuarios de las versiones comprometidas Windows Media Player 7.1 y Windows Media Player for Windows XP (Version 8.0) ha instalar a la mayor brevedad posible el parche mencionado que se encuentra disponible desde la página web: http://www.microsoft.com/technet/security/bulletin/MS03-017.asp

06/05/2003

El fabricante Adobe Systems Inc. aconseja a los usuarios de su solución Adobe Acrobat 5.0 instalar lo antes posible un parche que corrige una vulnerabilidad descubierta en dicha versión y que permitiría a un atacante ejecutar código arbitrario desde un documento PDF construido maliciosamente.
Adobe informa también de la existencia de un nuevo virus denominado "Yourde" que explotaría este fallo sobre sistemas Windows si bien, al difundirse a través de un documento PDF no podría ejecutarse con su mera visualización a través de Adobe Acrobat Reader, ya que esta solución no posee el mencionado bug.
Para que Yourde llegara a activarse, el usuario debería abrir y guardar en su equipo el documento infectado directamente con el editor Adobe Acrobat, lo cual podría hacer que el código malicioso embebido en el documento se copiara en la carpeta de plug-ins utilizada por el editor y se ejecutara en el subsiguiente inicio del programa.
Aunque según informan los fabricantes anti-virus Sophos y Symantec, que han estudiado los efectos del virus, no se tiene constancia de incidencias motivadas por Yourde, Adobe señala que los usuarios pueden comprobar si han sido atacados por éste comprobando la existencia de los archivos DEATH.API y EVIL.FDF en la carpeta de plug-ins de Adobe y en el directorio raíz del sistema, respectivamente. Asimismo, además de instalar el correspondiente parche, aconseja mantener actualizada las soluciones anti-virus instaladas en nuestros sistemas.
Más información en: www.adobe.com/support/downloads/detail.jsp?ftpID=2121

11/04/2003

A través del Boletín de Seguridad MS03-011 de 9 de abril, Microsoft alerta de una grave vulnerabilidad detectada en versiones anteriores a la 3810 de la Máquina Virtual Java del fabricante.
El fallo encontrado en este módulo que soporta la ejecución de los programas Java en todas las versiones del sistema operativo Windows de 32 bits, permitiría a un atacante desarrollar y ejecutar de manera remota applets maliciosos instalados en páginas web o enviados a través de e-mail sobre los equipos afectados.
Los usuarios pueden encontrar información más detallada al respecto así como el parche que solventa este bug en la página web:
http://www.microsoft.com/security/security_bulletins/ms03-011.asp

09/04/2003

El proyecto científico SETI@HOME organizado por la Universidad de California y que permite en la actualidad a cerca de cuatro millones y medios de usuarios de todo el mundo, muchos hispanohablantes, buscar vida inteligente se ha topado con un obstáculo en su camino en forma de fallo de seguridad.
Al parece los responsables de esta iniciativa han lanzado un nueva versión 3.08 del software encargado de analizar los datos recogidos por radio telescopios que escudriñan el firmamento debido a la existencia de varias vulnerabilidades descubiertas el pasado año por un investigador holandés y que se han hecho públicas hace unos días..
Debido a que uno de los fallos detectado en todas las versiones del programa consiste en un desbordamiento de búfer que permitiría a un atacante tomar el control absoluto del equipo, los responsables de SETI instan a todos sus miembros a actualizar lo antes posible la nueva versión del mismo desde la dirección http://setiathome.berkeley.edu/download.html

24/03/2003

Microsoft advirtió hace unos días de la existencia de un fallo crítico en Windows Script Engine de todas las versiones del sistema operativo Windows que permitiría la ejecución de código arbitrario en el equipo por parte del atacante.
Windows Script Engine permite la ejecución bajo sistemas Windows de código script, el cual puede ser utilizado para añadir funcionalidad a las páginas web o para automatizar tareas dentro del propio sistema operativo o de otros programas. El fallo se localiza exactamente en la forma en la que Windows Script Engine procesa código script generado mediante el lenguaje JScript.
El atacante podría explotar la vulnerabilidad construyendo una página web que, una vez visitada por el usuario, ejecute código arbitrario en el equipo de la víctima con los mismos privilegios que el usuario. La página web maliciosa podría estar alojada en el site o bien ser enviada como parte de un correo electrónico.
Aunque Microsoft no tiene constancia hasta la fecha de incidencias provocadas por este fallo, debido a su peligrosidad, aconseja a todos los usuarios afectados la instalación del parche que solventa el problema y que se encuentra disponible desde la página http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-008.asp
El fabricante señala además en su boletín de seguridad que las últimas versiones de Outlook Express 6 y Outlook 2002 están protegidos frente a e-mails de esta naturaleza.

04/03/2003

El equipo de investigación X-Force, de la compañía de seguridad informática Internet Security Systems (ISS), ha descubierto un fallo de desbordamiento de búfer en el popular software de código abierto Sendmail, que en la actualidad controla entre el 50 y el 75 por ciento de todo el tráfico e-mail que circula por Internet.
El atacante, que no tiene por que poseer conocimientos específicos sobre su objetivo salvo su dirección IP, podría explotar de manera remota esta vulnerabilidad a través de un e-mail configurado de manera especial y que le permitiría obtener el control absoluto con derechos de administrador del servidor afectado por dicha vulnerabilidad, la cual, por cierto, también podría permitir la propagación de un virus informático similar al "SQL Slammer" que se extendió por la Red a finales de enero.
Aunque no se tiene noticias de ningún incidente provocado en relación a este problema que afecta a todas las versiones comerciales y a las comprendidas entre la 5.79 y la 8.12.7, X-Force y Sendmail aconsejan a los usuarios actualizar el software lo antes posible con los paquetes corregidos disponibles desde el site www.sendmail.org.

28/02/2003

En un nuevo boletín de seguridad identificado como MS03-006, Microsoft informa de la existencia de un fallo de seguridad "crítico" en la versión Millenium de su sistema operativo Windows y que afecta concretamente a su Centro de Soporte y Ayuda, "Help and Support Center " (HSC).
El HSC proporciona a sus usuarios ayuda en una variedad de asuntos a través de recursos centralizados. Entre otros facilita documentación del producto, asistencia para determinar compatibilidad del hardware, acceso a la actualización de Windows o ayuda on-line de Microsoft. Los usuarios y los programas pueden ejecutar enlaces URL para HSC mediante el uso del prefijo "hcp://" en una URL en lugar del habitual "http://", precisamente es en este prefijo de HSC donde se localiza el fallo consistente en un desbordamiento de búfer.
Un atacante puede explotar la vulnerabilidad construyendo una URL que, cuando sea seleccionada por el usuario, desde un site o enviada directamente por e-mail, ejecute código arbitrario predefinido por el atacante.
Dependiendo de como se realice la explotación del fallo y de la versión de Outlook que tenga el usuario instalado en su equipo el ataque podrá llevarse a cabo de manera automática o bien necesitará la acción del usuario.
En cualquier caso, Microsoft aconseja instalar lo antes posible disponible desde la página http://windowsupdate.microsoft.com

21/02/2003

Hace unos días se daba a conocer un nuevo fallo de seguridad en uno de los sistemas operativos de Microsoft que a estas alturas no tendría nada de especial conociendo los antecedentes de los productos del gigante informático si no fuera porque, en esta ocasión, afecta al que ha sido catalogado por el fabricante como el sistema más seguro desarrollado por la compañía y, además, es explotable nada más y nada menos que utilizando un simple CD-ROM que contenga Windows 2000.
El bug descubierto por Brian Livingston, reconocido experto en todo lo relacionado con los sistemas operativos de Microsoft, permite evitar la protección mediante contraseñas configurada por el usuario en XP y obtener así el control absoluto sobre el equipo atacado.
En este caso por la naturaleza de la vulnerabilidad, el intruso debe tener acceso físico al equipo ya que deberá insertar un CD-ROM que contenga Windows 2000 para poder arrancar el sistema vulnerable bajo Windows XP y, a continuación, iniciar la consola de reparación (empleada para detectar errores en sistemas inestables) a través de la cual podrá obtener acceso ilimitado al equipo saltándose todas las contraseñas implementadas por el usuario para proteger el acceso no autorizado al PC. De esta forma, el atacante podrá efectuar sobre la víctima todo tipo de acciones: borrados de archivos, etc...
Aunque el experto hace varias semanas que puso en conocimiento de Microsoft el problema, éste de momento no ha hecho ningún comentario al respecto.

07/02/2003

La consultora de seguridad informática, GreyMagic Software, ha alertado de la existencia de cinco vulnerabilidades en el conocido navegador Opera 7 para Windows.
Tres de los fallos han sido considerados críticos por la compañía ya que permiten a un atacante el acceso y control total del equipo afectado. En cuanto a los otros dos, de carácter severo, permiten dejar al descubierto el archivo histórico de navegación del usuario a través de una página web maliciosa.
Debido a la importancia de las vulnerabilidad el desarrollador Opera Soft, advertido anticipadamente del descubrimiento, insta a todos sus usuarios ha instalar lo antes posible la nueva versión actualizada de Opera disponible desde la página www.opera.com.

22/01/2003

PivX, consultora estadounidense de seguridad emitía hace unos días un comunicado en el que se alerta de la existencia de una vulnerabilidad en el programa GameSpy que permitiría a un atacante lanzar múltiples ataques de denegación de servicio (Dos) a través de populares juegos multijugador disponibles a través de esta red como Quake 3: Arena, Unreal Tournament 2003 y Battlefield 1942.
El fallo se produce debido aque el código de GameSpy manda automáticamente respuestas a las peticiones de información de estado sin verificar la dirección del remitente.
Así, un atacante sólo tiene que pedirle al servidor la información para falsificar los datos de tal modo que parezca que los paquetes vienen de una dirección falsa. Cuando el servidor del juego responde, la gran cantidad de información enviada como respuesta se dirige en cambio al objetivo del ataque.
El director de tecnología de GameSpy, David Wright, restó importancia a la gravedad del fallo apuntando que "no es algo que se utilice muy a menudo, por que si alguien quiere lanzar un ataque de denegación de servicio, es más probable que usen servidores que ya controlan". Sin embargo, la firma enviará a sus socios recomendaciones y un parche apropiado para minizar el riesgo de ataque.

20/12/2002

La compañía de seguridad Foundstone ha descubierto una grave vulnerabilidad en todas las versiones de Windows XP que permitiría a un atacante la ejecución de código arbitrario en el equipo de la víctima.
Concretamente, según informa Microsoft en su boletín MS02-072, el fallo se localiza en la función del componente Windows Shell encargado de extraer automáticamente información de los archivos de sonido (habituales MP3 o WMA) como nombre del autor, del disco,... en el momento en el que el usuario abre la carpeta donde se encuentran almacenados o, simplemente, al pasar el ratón por encima de éstos. Es importante señalar que estos archivos no tienen por que localizarse en el equipo del usuario, pueden estar en Internet, llegar a través de e-mail,...
Debido a un desbordamiento de búfer en dicha función, los datos no son manejados correctamente por lo que un atacante podría aprovechar esta vulnerabilidad para ejecutar código malicioso sobre el equipo vulnerable con el consiguiente peligro que esto supone.
Microsoft aconseja la instalación urgente del parche que solventa este problema y que se encuentra disponible en la dirección: www.microsoft.com/technet/security/bulletin/MS02-072.asp