Tag Archives: vulnerabilidad

Vulnerabilidad en el firmware DD-WRT

Una vulnerabilidad en el firmware DD-WRT, que usan routers como Linksys o D-Link, descubierta por milw0rn permite ejecutar programas con privilegios de root en el propio router. Sin embargo, en el propio foro de DD-WRT explican la manera de hacer frente a esta vulnerabilidad.

El fallo se debe a un manejo inapropiado de los metacaracteres a la hora de hacer una petición al servidor httpd lo que habilita la opción de ejecutar programas incluso si no existe ninguina sesión activa, tal y como explican aquí.

Actualización de seguridad para Firefox 3.5.1

Tras el anuncio de la primera vulnerabilidad crítica para Firefox 3.5 Mozilla ha hecho pública la primera actualización de seguridad para Firefox 3.5.1 en la que se han corregido además aspectos relacionados con el rendimiento del navegador al ejecutarse en entornos Windows. En la propia páginade Moxilla podéis consultar todas las novedades de esta actualización de seguridad.

Fallo de seguridad en OpenSSH

Un fallo de seguridad en OpenSSH permitiría leer datos de ficheros que supuestamente están encriptados por lo que expertos del Information Security Group de la Universidad de Londres recomiendan que se actualice a la versión 5.2 de OpenSSH que supuestamente incluye medidas para atajar el problema. Sin embargo, y según se puede leer en la noticia, la posibilidad de vernos afectados por el problema es de 1 entre 262.144, lo que no quita para que nos mantengamos alerta y recordar que hace un año se producjo un fallo de seguridad en OpenSSL que afectó a todos los sistemas basados en Debian.

PDF, el formato universalmente peligroso

Un estudio de F-Secure comparando los formatos de fichero más comunes para atacar e infectar ordenadores nos desvela que PDF ha desbancado a los archivos .doc (documentos de texto de MS Word) como el formato más peligroso.

Tipos de fichero utilizados en la infección de equipos - F-Secure

La culpa de este cambio de tendencia procede de las vulnerabilidades de Adobe Acrobat que han convertido al formato PDF en un instrumento potencialmente peligroso con casi el 50% de los objetivos.

Visto en Menéame

Nueva vulnerabilidad en Adobe Reader

Adobe está enfrentándose a una nueva vulnerabilidad en Adobe Reader provocada por un error en la función getAnnots() que podría permitir que alguien ejecutara código remoto en la máquina.

Esta vulnerabilidad afecta a Adobe Reader 9.1 y 8.1.4 (versiones para Linux incluidas) y la recomendación de Adobe es que se deshabilite la opción Javascript para intentar que el problema no se agrave. Por el momento la compañía no dispone de una respuesta clara sobre el fallo.

No es la primera vulnerabilidad que afecta a esta popular aplicación de Adobe y a lo mejor la soluciñon para evitarlo pasa por utilizar otros lectores PDF

Leído en Historias de Queso vía Barrapunto

Vulnerabilidad grave en udev

Varias distribuciones Linux parecen estar afectadas por una vulnerabilidad grave en udev que te permite obtener privilegios de root en la máquina afectada tal y como cuentan en H-Online.

udev se emplea para crear de forma dinámica ficheros y directorios /dev y aunque no es un componente directo del kernel Linux, la gran mayoría de distribuciones con versiones 2.6 del kernel lo incluyen y activan por defecto.

Sistema afectado por la vulnerabilidad udev - Imagen de Sebastian Krahmer

Por otra parte, la instalación de mecanismos de defensa como selinux no evitan el problema tal y como explica Sebastian Krahmer, miembro del Equipo de Seguridad de SUSE Security Team, en su blog C Skills y donde encontrareis más detalles técnicos al respecto.

Actualización: Ubuntu ha publicado un aviso de seguridad al respecto en el que explica cuáles son las versiones afectadas al tiempo que Debian ha hecho lo propio en su sección de seguridad.

Vulnerabilidad crítica adelanta la salida de Firefox 3.0.8

Tras la aparición de una vulnerabilidad crítica en Firefox descubierta por el hacker italiano Guido Landi y que ha sido recogida en SecurityFocus, Mozilla ha decidido dar una prioridad alta a la aparición de Firefox 3.0.8 por motivos claros de seguridad.

La vulnerabilidad afecta a todas las versiones de Firefox a partir de la 3.0 hasta la 3.0.7 y provoca un fallo en Firefox al ejecutar un código XML malicioso, tal y como explican aquí. Aunque de momento no se conoce ningún tipo de exploit de esta vulnerabilidad, Mozilla ha querido ir un paso por delante y lanzar antes de lo previsto Firefox 3.0.8, cuya salida estaba prevista para mediados de abril, tal y como se puede leer en Mozilla Links.

Actualización: Finalmente Mozilla ha hecho pública la actualización de Firefox 3.0.8 tal y como anuncian en su blog donde también podemos leer los cambios que se han incluido en esta versión.

Vulnerabilidad crítica en Adobe Acrobat

Leo en Network Computing acerca de una vulnerabilidad crítica en Adobe Acrobat que puede provocar fallos en la aplicación y habilita el acceso no autorizado al sistema afectado.

La vulnerabilidad afecta tanto a Adobe Reader como a Adobe Acrobat y la compañía tardará unas dos semanas (11 de marzo de 2009) en tener disponible una solución para la versión 9 y publicará con posterioridad alternativas para versiones anteriores de ambas aplicaciones.

Mientras tanto Adobe está en contacto con desarrolladores de antivirus como McAfee o Symantec para tratar de proteger a los clientes ante eventuales infecciones. Precisamente, Patrick Fitgerald, de Symantec, comenta en su blog datos más concretos sobre esta vulnerabilidad.

A la espera de una solución definitiva se recomienda que, por un lado, no se descarguen archivos PDF desde fuentes en las que no confiemos y , por otro lado, deshabilitar la ejecución de código Javascript en cualquiera de las aplicaciones Acrobat.

Soluciones al clickjacking

Durante las últimas semanas se ha estado hablando largo y tendido del clickjacking, una peligrosa vulnerabilidad que afecta a la mayoría de navegadores actuales, incluidos los de más reciente cuño.

Aunque no todo son malas noticias ya que leo en Slashdot que han comenzado a aparecer soluciones, algunas de ellas temporales, para tratar de minimizar el efecto que pueda tener el clickjacking.

Adobe, por ejemplo, ha publicado una medida temporal (workaround) para su Flash Player, al tiempo que sigue trabajando para incluir una solución definitiva en próximas versiones.

Por su parte, la extensión para Firefox (y derivados de Gecko) NoScript ha añadido una funcionalidad denominada ClearClick cuyo objetivo es precisamente combatir el clickjacking interceptando los clicks sospechosos en ciertas partes de una página web.

Clickjacking, seria y peligrosa vulnerabilidad

Expertos en seguridad andan estos dias bastante preocupados por una nueva vulnerabilidad en los navegadores que han denominado clickjacking y que afecta a todas las versiones existentes en el mercado, desde Internet Explorer hasta Firefox, pasando por Safari, Opera o el más reciente Google Chrome. Y es que podemos estar ante uno de los problemas de seguridad web más importantes del momento.

Desgraciadamente aún no se conocen muchos detalles sobre esta vulnerabilidad puesto que los descubridores (Robert Hansen y Jeremiah Grossman) no quieren dar ningún tipo de dato hasta que no tengan la certeza de que se ha encontrado una solución. Y es que los desarrolladores de navegadores son los únicos que pueden arreglar el desaguisado.

Lo que sí ha salido a la luz es que la vulnerabilidad es parecida al cross-site request forgery y, básicamente, hace que un usuario haga click en un botón o enlace sin saber lo que está haciendo.

Como cuentan en Kriptópolis lo único que nos queda es la especulación, una pésima compañera de viaje en temas de seguridad.

Leído en ComputerWorld