28 de mayo de 2016

CIBERCRIMEN. Treinta detenidos en España por blanquear dinero con bitcoin

Treinta personas han sido detenidas por blanquear dinero con la moneda virtual, entre otros procedimientos, los beneficios que obtenían por el pirateo y la distribución ilegal de televisión de pago.
La trama controlaba un entramado dedicado a la distribución ilícita de contenidos de televisión de pago mediante 'cardsharing' e IPTV. La red blanqueaba los importantes beneficios obtenidos a través de productos bancarios complejos, inversión en inmuebles y vehículos de lujo, además de 'minería Bitcoin'. La Policía Nacional informa en un comunicado de estos arrestos, llevados a cabo en la operación conjunta con la Agencia Tributaria y que ha contado en su fase final con la colaboración de Europol y Eurojust.
Las detenciones han tenido lugar en Córdoba, Málaga, Valencia, Barcelona, Madrid, Palma de Mallorca y Lugo.
La "minería" de bitcoin consiste en descifrar, con equipos informáticos especializados, códigos que permitan legitimar y asegurar la seguridad de transacciones con esta moneda virtual.
En este sentido, la Policía destacó esta mañana en una rueda de prensa, que la trama desarticulada junto a la Agencia Tributaria conseguía cubrir el elevado requerimiento energético con conexiones ilegales a la red eléctrica en varias ciudades españolas.
La investigación comenzó con la denuncia de una empresa afectada por la clonación de sus decodificadores de televisión de pago por parte de otra mercantil. Las indagaciones realizadas permitieron descubrir que la distribución de los terminales falsificados se realizaba a través de páginas web registradas a nombre de testaferros y especializadas en la venta de este tipo de aparatos.
Además, los agentes lograron identificar a uno de los responsables de la vulneración de los derechos de propiedad intelectual, un empresario afincado en la Comunidad Valenciana que dirigía un entramado mercantil propio dedicado a la comercialización de decodificadores de señal digital de televisión que, convenientemente manipulados, permitirían el acceso ilegal a contenidos.
Fuente: Expansion.com

EEUU. Google logra victoria ante Oracle en demanda por Android

Un jurado de Estados Unidos falló el jueves que la ley permite el uso que Google hizo del software de Oracle Corp para crear su sistema operativo Android para teléfonos inteligentes, dando a la unidad de Alphabet una gran victoria en una prolongada disputa sobre derechos de autor.
El jurado respaldó de forma unánime la posición de Google de que su utilización de la plataforma de desarrollo Java está protegida bajo la provisión de uso justo de la ley de derechos de autor, lo que puso fin a un juicio en el que Oracle buscaba una compensación de 9.000 millones de dólares.
Oracle dijo en un comunicado después del veredicto que apelará a la decisión.
En el segundo juicio que provoca la demanda en la Corte de Distrito de San Francisco, Oracle dijo que el sistema operativo Android de Google violó los derechos de autor de partes de Java, una plataforma de desarrollo.
Google, una unidad de Alphabet, dijo que debería poder usar Java sin pagar una tarifa bajo la provisión de uso justo.
El primer juicio, llevado a cabo en el 2012, terminó sin que el jurado pudiese lograr un veredicto.
El caso era seguido de cerca por los desarrolladores de software, que temían que una victoria de Oracle pudiese desatar una ola de demandas sobre derechos de autor de software. Sin embargo, los inversores estimaban que Alphabet enfrentaba pocos riesgos.
Fuente: Reuters

TWITTER. Grandes cuentas amenazadas por piratería informática

Más de 2.500 perfiles han sido suplantados en las últimas semanas por spambots. Los atacantes tuitean un mensaje de contenido erótico junto a una foto y un link que dirige a una página web porno
En las últimas semanas, más de 2.500 perfiles han sido hackeados por spambots. Este miércoles, la cuenta del director de eldiario.es ha pasado a engrosar la lista de personalidades suplantadas por atacantes externos en la red social. Estos programas se dedican a reproducir un determinado mensaje repitiéndolo hasta la saciedad y saltándose las restricciones de tiempo o tamaño de las aplicaciones en las que operan.
Desde eldiario.es se han puesto en contacto con Twitter pero no han querido pronunciarse al respecto. "Por temas se seguridad y privacidad, no hacemos comentarios de cuentas y casos individuales", han contestado desde la sede española.
Cuentas de periodistas en Twitter  hackeadas  
  • La de Ignacio Escolar ha sido la primera cuenta de un periodista español hackeado con esta técnica. 
  • Otro periodista, esta vez estadounidense, fue hackeado hace pocas semanas de igual forma: los 455.000 seguidores de David Carr, del New York Times, vieron como otro mensaje de contenido sexual se apoderaba de la red social del excolumnista. "Me gustan los juegos de rol y el sexo. ¿Jugamos?". Junto al mensaje, un link que llevaba a una página porno.
  • En el caso de la cuenta de Ignacio Escolar, el procedimiento ha sido similar: "Si necesitas una esclava sexual, mándame un mensaje. No seas tímido. Haz click aquí", decía el mensaje, al que acompaña un link y una imagen. Además de Carr y Escolar, el grupo de música Chromeo, el cómico Azeem Banatwala y el jugador de fútbol americano Cecil Shorts III han sido las últimas personalidades en sufrir un ataque contra su privacidad.
Aunque solo sea por un momento, los spambots suelen tener cierto éxito. Satnam Narang, responsable de seguridad de Symantec, analizó el impacto que consiguen los tuits de los spammers en los seguidores de las cuentas hackeadas. Según su análisis en Motherboard, en cada mensaje hacen click entre 50 y 200 personas. Es una cantidad considerable si tenemos en cuenta que por cada click ganan dinero y que el coste de desarrollo de un spambot es nulo.
Fuente: El Diario.es

BIOMEDICINA. Primer caso en EEUU de bacteria resistente a todos los antibióticos

Funcionarios de salud de Estados Unidos reportaron el jueves el primer caso en el país de una paciente con una infección resistente a todos los antibióticos conocidos, y expresaron su temor a que la superbacteria pueda representar un peligro de infecciones frecuentes si se propaga.
"Corremos el riesgo de estar en un mundo en el que no sirven los antibióticos", dijo Thomas Frieden, director de los Centros para el Control y la Prevención de Enfermedades de Estados Unidos, refiriéndose a la infección del tracto urinario de una mujer de 49 años de Pensilvania, quien no ha salido del país en los últimos cinco meses.
Frieden, quien habló en el almuerzo del National Press Club en Washington, D.C., dijo que la infección no fue controlada ni siquiera por la colistina, un antibiótico reservado para el uso contra bacterias polirresistentes.
La infección fue reportada el jueves en un estudio que apareció en Antimicrobial Agents and Chemotherapy, una publicación la American Society for Microbiology. El texto dice que la superbacteria en sí fue infectada con un pequeño fragmento de ADN de los llamados plásmidos, que transfiere un gen conocido como mcr-1 y que produce resistencia a la colistina.
"(Esto) anuncia la aparición de bacterias realmente polirresistentes a los medicamentos", dijo el estudio, que fue realizado por el Walter Reed National Military Medical Center. "Hasta donde sabemos, este es el primer reporte de mcr-1 en Estados Unidos".
El estudio dijo que es clave una vigilancia continua para determinar la verdadera frecuencia del gen en Estados Unidos.
"Es peligroso y nosotros asumiríamos que puede propagarse rápidamente, incluso en un ambiente de hospital, si no es bien contenido", dijo la doctora Gail Cassell, una microbióloga y docente de la Escuela de Medicina de Harvard.
El gen resistente a la colistina fue hallado el año pasado en gente y cerdos en China. El descubrimiento ocurrió después de que se encontrara un gen de superbacteria diferente en India en 2010.
Fuente: Reuters

IMAGEMAGICK. Vulnerabilidades críticas exponen a millones de sitios web

Se han anunciado cinco vulnerabilidades críticas en Imagemagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. Estos problemas podrían permitir el compromiso de cualquier sistema que utilice esta utilidad.
ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.
Detalle de las vulnerabilidades
  • En general, básicamente, los problemas residen en que ImageMagick pasa las imágenes a sus herramientas a través de comandos shell, pero no filtra adecuadamente los nombres de archivos y rutas, lo que permite a las imágenes acceder al sistema de archivos.
  • El primer problema (con CVE-2016-3714) reside en un filtrado inadecuado de caracteres al usar la característica "delegate" (empleada para tratar archivos con librerías externas). Podría permitir la ejecución remota de código durante la conversión de formatos de archivo.
  • Por otra parte, vulnerabilidades por un tratamiento inadecuado de los archivos podrían permitir borrar (CVE-2016-3715), mover (CVE-2016-3716) o leer (CVE-2016-3717) archivos arbitrarios del sistema afectado. Por último, con CVE-2016-3718, una vulnerabilidad Server Side Request Forgery (SSRF) que podría permitir a un atacante remoto realizar peticiones http o ftp.
  • Los problemas fueron reportados por Nikolay Ermishkin del equipo de seguridad de Mail.Ru. Además se comprobado la facilidad con que es posible explotar los problemas y existen exploits públicos. 
Recomendación
  • Se han publicado las versiones 7.0.1-1 y 6.9.3-10 que corrigen las vulnerabilidades. Dada la gravedad de los problemas se recomienda la actualización inmediata de los sistemas afectados.
  • También se han publicado contramedidas como que antes del envío de la imagen a Imagemagick verificar que los archivos comienzan con los "bytes mágicos" correspondientes al tipo de archivo correspondiente. Los "bytes mágicos" son los primeros bytes de cada archivo que habitualmente se emplean para identificar el tipo de archivo (por ej. Las imágenes jpeg comienzan con "FF D8"). Igualmente se recomienda el uso de un archivo de políticas ("/etc/ImageMagick/policy.xm") para desactivar los codificadores afectados.
Más información:
Fuente: Hispasec

APPLE. Actualización para Apple Xcode

Apple ha publicado una actualización para Xcode (a la versión 7.3.1), destinada a solucionar dos vulnerabilidades graves.
Xcode es el entorno de desarrollo (IDE) de Apple que se incluye gratuitamente con Mac OS X. Xcode trabaja conjuntamente con Interface Builder, una herramienta gráfica para la creación de interfaces de usuario. Incluye la colección de compiladores del proyecto GNU (GCC), y puede compilar código C, C++, Swift, Objective-C, Objective-C++, Java y AppleScript mediante una amplia gama de modelos de programación.
Detalle de la actualización

  • El primer problema, con CVE-2016-2315, podría permitir a un usuario remoto autenticado enviar un repositorio específicamente manipulado para provocar un desbordamiento de búfer y ejecutar código arbitrario en los sistemas afectados. De forma similar, y relacionado con el anterior, un desbordamiento de entero (con CVE-2016-2324) por el que un usuario autenticado que envíe o clone un repositorio específicamente manipulado podría ejecutar código arbitrario en los sistemas afectados.
  • Se trata de dos problemas ya conocidos y corregidos en la versión 2.7.1 de Git, publicada en febrero, si bien no se conocieron los detalles hasta mediados de abril. Los problemas se han solucionado mediante la actualización de Git a la versión 2.7.4.
  • Xcode 7.3.1 puede descargarse desde: https://developer.apple.com/xcode/downloads/

Más información:
Fuente: Hispasec

SOFTWARE PREINSTALADO. Causa problemas en equipos Lenovo

Lenovo ha publicado una nueva versión de su herramienta de soporte "Lenovo Solution Center", preinstalada y activa en millones de portátiles, equipos de escritorio y tabletas Lenovo. Una vulnerabilidad en este software podría permitir a un atacante local elevar sus privilegios en el sistema.
En esta ocasión, el problema reside en el software "Lenovo Solution Center" (LSC), una aplicación creada por Lenovo que permite a los usuarios realizar funciones de diagnóstico e identificar rápidamente el estado del hardware y software del PC, las conexiones de red y la presencia de elementos de seguridad como firewalls o antivirus.
Este software se compone de una interfaz gráfica de usuario y el proceso "LSCTaskService" que corre como servicio en el sistema del usuario, incluso si la interfaz de usuario está cerrada.
Se ha identificado una nueva vulnerabilidad de elevación de privilegios (con CVE-2016-1876) en este software. Esto es un usuario local sin privilegios podría ejecutar código arbitrario con privilegios del sistema.
Una vez más, se confirma el peligro del software preinstalado, mucho más cuando a veces hasta el propio usuario desconoce lo que el fabricante ha incluido en el equipo.
Lenovo ha publicado la versión 3.3.002 de Lenovo Solution Center para corregir esta vulnerabilidad. Basta con abrir la aplicación y se presentará la opción de actualización automática.
Más información:
Fuente: Hispasec

ACTUALIZACIONES. Microsoft publica 16 boletines de seguridad y soluciona 58 vulnerabilidades

Este martes Microsoft ha publicado 16 boletines de seguridad (del MS16-051 al MS16-067, excepto el MS16-063) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft ocho de los boletines presentan un nivel de gravedad "crítico" mientras que los ocho restantes son "importantes". En total se han solucionado 58 vulnerabilidades (24 de ellas en Flash Player).
  1. MS16-051: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona cinco nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web especialmente creada (CVE-2016-0187, CVE-2016-0188, CVE-2016-0189, CVE-2016-0192 y CVE-2016-0194).
  2. MS16-052: Boletín "crítico" que incluye la también habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan cuatro vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2016-0186, CVE-2016-0191 , CVE-2016-0192  y CVE-2016-0193).
  3. MS16-053: Boletín "crítico" que resuelve dos vulnerabilidades (CVE-2016-0187 y CVE-2016-0189) en los motores de scripting JScript y VBScript de Microsoft Windows que podría permitir la ejecución remota de código si un usuario visita una página web con código script especialmente creado.
  4. MS16-054: Boletín "crítico" que soluciona cuatro vulnerabilidades que podrían permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2016-0126, CVE-2016-0140, CVE-2016-0183 y CVE-2016-0198).
  5. MS16-055: Destinado a corregir cinco vulnerabilidades "críticas" en Microsoft Graphics Component que podrían permitir la ejecución remota de código si se abre un documento o web específicamente creada. Afecta a todas las versiones soportadas de Microsoft Windows (CVE-2016-0168, CVE-2016-0169, CVE-2016-0170, CVE-2016-0184 y CVE-2016-0195).
  6. MS16-056: Boletín "crítico" que resuelve una vulnerabilidad (CVE-2016-0182) en Windows Journal que podría permitir la ejecución remota de código si un usuario abre un archivo de Journal específicamente creado.
  7. MS16-057: Destinado a corregir una vulnerabilidad "crítica" en Windows Shell debido a un tratamiento inadecuado de objetos en memoria. Afecta a Windows 8.1, Windows Server 2012 y Windows 10 (CVE-2016-0179).
  8. MS16-058: Boletín considerado "importante" que resuelve una vulnerabilidad de ejecución remota de código debida a que Windows falla al validar adecuadamente los datos de entrada antes de cargar determinadas librerías (CVE-2016-0152). Afecta a Windows Vista y Windows Server 2008.
  9. MS16-059: Destinado a corregir una vulnerabilidad "importante" en Windows Media Center que podría permitir la ejecución remota de código si Windows Media Center abre un archivo Media Center link (.mcl) específicamente creado que referencie código malicioso (CVE-2016-0185).
  10. MS16-060: Boletín de carácter "importante" destinado a corregir una vulnerabilidad de elevación de privilegios en el kernel de Windows (CVE-2016-0180). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012 y Windows 10.
  11. MS16-061: Boletín "importante" que resuelve una vulnerabilidad de elevación de privilegios si un atacante sin autenticar realiza peticiones RPC (Remote Procedure Call) específicamente construidas al sistema afectado (CVE-2016-0178). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012 y Windows 10.   
  12. MS16-062: Boletín de carácter "importante" destinado a corregir siete vulnerabilidades en el controlador modo kernel de Windows, la más grave de ellas podría permitir la elevación de privilegios (CVE-2016-0171, CVE-2016-0173, CVE-2016-0174, CVE-2016-0175, CVE-2016-0176, CVE-2016-0196 y CVE-2016-0197). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012 y Windows 10.     
  13. MS16-064: Como viene siendo habitual en los últimos meses, Microsoft publica un boletín para resolver las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico. Se trata de un boletín "crítico" que en esta ocasión soluciona 24 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows 8.1 y Windows 10; correspondientes al boletín APSB16-15 de Adobe.
  14. MS16-065: Boletín "importante" que soluciona una vulnerabilidad (CVE-2016-0149) en Microsoft .NET Framework que podría permitir la obtención de información sensible si un atacante inyecta datos sin cifrar en un canal seguro y después realiza un ataque de hombre en el medio entre el cliente atacado y el servidor legítimo. Afecta a Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6 y 4.6.1.
  15. MS16-066: Boletín de carácter "importante" destinado a corregir una vulnerabilidad (CVE-2016-0181) que podría permitir evitar restricciones de seguridad si un atacante ejecuta una aplicación especialmente diseñada para eludir las protecciones de integridad de código en Windows (Hypervisor Code Integrity, HVCI).
  16. MS16-067: Boletín "importante" que resuelve una vulnerabilidad (CVE-2016-0190) que podría permitir la obtención de información sensible si al montar un disco USB sobre Remote Desktop Protocol (RDP) a través de Microsoft RemoteFX no está correctamente ligado a la sesión del usuario.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:


Fuente: Hispasec

WORDPRESS. Actualización de seguridad

Se ha publicado la versión 4.5.2 de WordPress destinada a solucionar dos nuevas vulnerabilidades.
Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
Esta actualización incluye la corrección de una vulnerabilidad SOME ("Same Origin Method Execution"), una técnica que abusa del concepto de 'callbacks' en Javascript para inyectar funciones a través de jsonp de manera ilimitada. El problema reside en Plupload, una librería de un tercero que WordPress usa para la subida de archivos. Afecta a WordPress versiones 4.5.1 y anteriores.
Por otra parte, WordPress versiones 4.2 a 4.5.1 se vulnerable a un Cross-Site scripting reflejado (XSS) mediante URIs específicamente construidas a través de MediaElement.js, otra librería de un tercero empleada por reproductores multimedia.
Recomendación
  • Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.5.2 disponible desde  https://wordpress.org/download/
  • O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). 
  • Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.5.2.
MediaElement.js y Plupload también han publicado actualizaciones para corregir estos fallos.
Más información:
Fuente: Hispasec

ADOBE. Actualizaciones de seguridad para Adobe Acrobat, Reader, Flash Player y ColdFusion

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 92 vulnerabilidades en Adobe Reader y Acrobat, tres en ColFusion y 25 en Flash (incluyendo una vulnerabilidad 0day). Un total de 120 vulnerabilidades corregidas.
ADOBE READER Y ACROBAT
  • Para Adobe Reader y Acrobat (boletín APSB16-14) se han solucionado 92 vulnerabilidades que afectan a las versiones 15.010.20060 (y anteriores) de Acrobat DC y Acrobat Reader DC Continuous, 15.006.30121 (y anteriores) de de Acrobat DC y Acrobat Reader DC Classic y Acrobat XI y Reader XI 11.0.15 (y anteriores) para Windows y Macintosh.
  • Esta actualización soluciona 29 vulnerabilidades de uso después de liberar memoria, dos desbordamientos de búfer, 46 problemas de corrupción de memoria, un desbordamiento de entero y otra vulnerabilidad en la ruta de búsqueda de directorio utilizada para encontrar recursos; todos ellos podrían permitir la ejecución de código. También se resuelven dos vulnerabilidades de fuga de información, otra que podría permitir la divulgación de información y varios métodos para evitar restricciones de ejecución en la API javascript.
  • Los CVE asociados son: CVE-2016-1037 al CVE-2016-1088, CVE-2016-1090, CVE-2016-1092, al CVE-2016-1095, CVE-2016-1112, CVE-2016-1116 al CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090 al CVE-2016-4094 y CVE-2016-4096 al CVE-2016-4107.
  • Adobe ha publicado las versiones 11.0.16 de Acrobat XI y Reader XI, Acrobat DC y Reader DC Continuous 15.016.20039 y Acrobat DC y Reader DC Classic 15.006.30172; las cuales solucionan los fallos descritos.
Recomendación
  • Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.
FLASH PLAYER
  • Para Adobe Flash Player se ha publicado el boletín APSB16-15, destinado a solucionar otras 25 vulnerabilidades, entre las que se incluye un 0day que se está explotando en la actualidad de forma activa. Todos los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.
  • Todo parece indicar que con objeto de incluir la solución a una vulnerabilidad 0-day (CVE-2016-4117) debida a una confusión de tipos, Adobe se vio obligada a retrasar la publicación de su habitual boletín mensual para Flash.
  • Todos los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando ocho vulnerabilidades de uso de memoria después de liberarla, dos de confusión de tipos, dos desbordamientos de búfer, 12 de corrupción de memoria y una vulnerabilidad en la ruta de búsqueda de directorio empleada para encontrar recursos.
  • Los CVE asignados son: CVE-2016-1096 al CVE-2016-1110 y CVE-2016-4108 al CVE-2016-4117.
  • De igual forma, como viene siendo habitual en los últimos meses, Microsoft también publicó el boletín MS16-064, para reflejar estas actualizaciones de Adobe Flash (excepto el 0-day).
  • Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  1. Flash Player Desktop Runtime 21.0.0.242
  2. Flash Player Extended Support Release 18.0.0.352
  3. Flash Player para Linux 11.2.202.616
  • Igualmente se ha publicado la versión 21.0.0.242 de Flash Player para navegadores Internet Explorer, Edge y Chrome. Así como la versión 21.0.0.215 de AIR.
Recomendación
COLDFUSION
  • En el boletín de seguridad APSB16-16 de Adobe, se recoge una actualización para ColdFusion versiones 2016, 11 y 10. Este parche está destinado a corregir una vulnerabilidad importante relacionada con un error en la validación de entradas (CVE-2015-1113) que podría emplearse para realizar ataques de cross-site scripting. También se soluciona otro problema en la verificación del nombre de host certificados comodín (CVE-2016-1115) y se incluye una versión actualizada de la librería Apache Commons Collections para mitigar una deserialización en Java (CVE-2016-1114).
Recomendación
Más información:
Fuente: Hispasec

SQUID. Actualización que corrige nuevas vulnerabilidades

Squid ha publicado tres boletines de seguridad destinados a solucionar cuatro nuevas vulnerabilidades en SQUID que podrían permitir a atacantes remotos envenenar la caché, evitar restricciones de seguridad o provocar condiciones de denegación de servicio.
Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).
Detalle de la actualización
  • El primer problema, con CVE-2016-4553, se debe a una validación incorrecta de los datos de mensajes http interceptados los clientes pueden evitar la protección contra fallos relacionados con la vulnerabilidad CVE-2009-0801. Esto podría permitir el envenenamiento de la caché. Afecta a Squid 3.2.0.11 a 3.5.17 y Squid 4.x.
  • Por otra parte, con CVE-2016-4554, una validación incorrecta de las entradas permite la realización de ataques "smuggling" de cabeceras lo que permitiría el envenenamiento de la caché o evitar las políticas de mismo origen en Squid y en algunos navegadores. Afecta a todas las versiones de Squid.
  • Por último, dos vulnerabilidades por tratamiento inadecuado de punteros pueden provocar condiciones de denegación de servicio al tratar respuestas ESI. Afectan a Squid 3.x y Squid 4.x. Se han asignado los CVE-2016-4555 y CVE-2016-4556.
Recomendación
Los problemas están solucionados en las versiones Squid 3.5.18 y 4.0.10, o también se pueden aplicar los parches disponibles desde:
En el último mes, se han publicado actualizaciones en otras dos ocasiones para otras dos y cuatro vulnerabilidades diferentes respectivamente que podían permitir a atacantes remotos provocar condiciones de denegación de servicio, conseguir información sensible o ejecutar código arbitrario.
Más información:
Fuente: Hispasec

GOOGLE CHROME. Actualización de seguridad

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 50.0.2661.102) para todas las plataformas (Windows, Mac y Linux) para corregir cinco nuevas vulnerabilidades (tres de gravedad alta y dos de importancia media).
Detalle de la actualización

  • Los problemas de gravedad alta corregidos residen en un salto de las políticas de mismo origen en DOM y bindings V8 de Blink, así como un desbordamiento de búfer en V8. Por otra parte, de importancia media una condición de carrera en loader y una escalada de directiorios mediante el esquema de archivos de Android. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 20.337 dólares en recompensas a los descubridores de los problemas.
  • Los CVE asociados a las vulnerabilidades van del CVE-2016-1667 al CVE-2016-1671.
Recomendación

  • Como es habitual, esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

7-ZIP. Descubiertas graves vulnerabilidades

Se han anunciado dos vulnerabilidades graves en el compresor y descompresor de archivos 7-zip que podrían permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.
7-zip es una popular aplicación libre de código abierto para comprimir y descomprimir archivos desarrollada por Igor Pavlov. Además de usar el formato de archivo 7z, también libre, también soporta los formatos de archivos comprimidos más conocidos (como zip, arj, tar, rar…)
Detalle de las vulnerabilidades
  • El primer problema, con CVE-2016-2335, reside en una lectura fuera de límites en la forma en que 7-zip trata archivos UDF (Universal Disk Format). Este sistema de archivos estaba destinado a reemplazar el formato de archivo ISO-9660, y finalmente fue adoptado como el sistema oficial de archivos para DVD-Vídeo y DVD-Audio. Concretamente el problema se encuentra en el método CInArchive::ReadFileItem.
  • Por otra parte, con CVE-2016-2334, un desbordamiento de búfer basado en heap en el método NArchive::NHfs::CHandler::ExtractZlibFile de 7-Zip en el tratamiento de imágenes del sistema de archivos HFS+.
  • Ambos problemas, descubiertos y reportados de forma responsable por el grupo de investigación de amenazas online Talos de Cisco, podrían permitir la ejecución remota de código arbitrario si el usuario abre un archivo específicamente creado.
Recomendación

  • Se ha publicado la versión 16.00 de 7-zip que corrige estos problemas, disponible desde http://www.7-zip.org/
Como problema adicional, también hay que destacar el gran número de fabricantes y desarrolladores que pueden estar utilizando las bibliotecas afectadas. Como 7-zip es de código abierto, compatible con todas las plataformas, y una de las utilidades de almacenamiento más populares actualmente, son muchos los desarrolladores que hacen uso de sus librerías para el tratamiento de archivos. Por lo que también pueden ser muchas las aplicaciones afectadas por estos problemas.
Más información:
Fuente: Hispasec

IBM SPSS Statistics. Desbordamiento de búfer

IBM ha confirmado una vulnerabilidad en un control Active X de IBM SPSS Statistics que podría permitir la ejecución de código arbitrario.
IBM SPSS Statistics es un paquete que pertenece a la familia SPSS, un conjunto de productos de software estadístico y de análisis muy usado en las ciencias sociales y en investigación de mercado. Se centra en el completo proceso analítico, desde la planificación a la colección de datos y al análisis, "reporting" y despliegue.
Detalle e Impacto de la vulnerabilidad
  • La vulnerabilidad, con CVE-2015-8530, reside en que un Control ActiveX de IBM SPSS Statistics es vulnerable a un desbordamiento de buffer basado en stack. Un atacante debe convencer a la víctima para que visite una página web específicamente creada que pase un argumento muy largo a la función Initialize, lo que podría permitir ejecutar código arbitrario en el sistema.
Recursos afectados
Se ven afectadas las versiones IBM SPSS Statistics 20 a 24. IBM ha publicado las siguientes actualizaciones:
  • IBM SPSS Statistics 20.0.0.2:  20.0.0.2-IF0008
  • IBM SPSS Statistics 21.0.0.2:  21.0.0.2-IF0010
  • IBM SPSS Statistics 22.0.0.2:  22.0.0.2-IF0011
  • IBM SPSS Statistics 23.0.0.3:  23.0.0.3-IF0001
  • IBM SPSS Statistics 24.0.0.0:  24.0.0.0-IF0003
Para IBM SPSS Statistics 19, IBM recomienda actualizar a una versión soportada y actualizada del producto.
Más información:
Fuente: Hispasec

APPLE. Lanza actualizaciones para múltiples productos

Apple ha publicado actualizaciones para sus productos más destacados: una nueva versión de OS X (OS X El Capitan 10.11.5) y Security Update 2016-003, iOS 9.3.2, Safari 9.1.1, iOS 9.3.2, tvOS 9.2.1, iTunes 12.4 y watchOS 2.2.1. En total se solucionan 77 nuevas vulnerabilidades (aunque muchas de ellas se presentan en múltiples sistemas).
Detalle de la actualización
  • Se ha publicado OS X El Capitan v10.11.5 y Security Update 2016-003 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y posteriores; destinado a corregir 67 vulnerabilidades, la mayoría de ellas podrían llegar a permitir la ejecución de código arbitrario. Afectan a componentes importantes como AppleGraphicsControl, Audio, CoreCapture, CoreStorage, Disk Utility, Graphics Drivers, ImageIO, IOAudioFamily, Kernel, libc, libxml2, libxslt, Messages, OpenGL o QuickTime.
  • Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 9.1.1 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.5. Se solucionan 7 vulnerabilidades relacionadas principalmente con problemas en WebKit (el motor de navegador de código abierto que es la base de Safari). Con identificadores CVE-2016-1849 y CVE-2016-1854 al CVE-2016-1859.
  • Por otra parte, iOS se actualiza a la versión 9.3.2 que incluye mejoras no relacionadas directamente con la seguridad y soluciona 39 nuevas vulnerabilidades. Gran parte de los fallos podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes Accessibility, CFNetwork Proxies, CommonCrypto, CoreCapture, Disk Images, ImageIO, IOAcceleratorFamily, IOHIDFamily, Kernel, libc, libxml2, libxslt, MapKit, OpenGL, Safari, Siri, WebKit y WebKit Canvas.
  • De forma similar, Apple publica WatchOS 2.2.1, destinada a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan hasta 26 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de código arbitrario.
  • Apple también ha publicado iTunes 12.4 para Windows 7 (y posteriores) que corrige una vulnerabilidad (con CVE-2016-1742) que podría permitir la ejecución de código arbitrario a través del instalador.
  • Por último, también ha publicado tvOS 9.2.1, el sistema operativo para Apple TV (de cuarta generación), que soluciona un total de 33 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución de código arbitrario.
Más información:
Fuente: Hispasec

SYMANTEC. Vulnerabilidad en el motor antivirus

Symantec ha confirmado una grave vulnerabilidad en el motor antivirus (Anti-Virus Engine, AVE) que podría permitir a un atacante ejecutar código arbitrario en la mayoría de productos Norton y Symantec.
La vulnerabilidad, con CVE-2016-2208, reside en un desbordamiento de búfer en el núcleo del motor antivirus empleado por la mayoría de productos Symantec y Norton, debido al tratamiento de cabeceras PE (Portable Executable) específicamente construidas. El problema afecta a todos los sistemas: Windows, Linux, Mac y otras plataformas UNIX.
El problema fue descubierto y anunciado por el conocido Tavis Ormandy de Project Zero de Google, en cuyo informe confirma la posibilidad de ejecutar código arbitrario de forma remota a pesar de que en el aviso de seguridad de Symantec solo informa de una vulnerabilidad de denegación de servicio.
Recursos afectados
Como la vulnerabilidad reside en el núcleo del motor de análisis, la mayoría de productos Symantec son vulnerables, esto incluye:
  1. Symantec Endpoint Antivirus (Todas las plataformas)
  2. Norton Antivirus (Todas las plataformas)
  3. Symantec Scan Engine (Todas las plataformas)
  4. Symantec Email Security (Todas las plataformas)
Recomendación
  • Symantec ha corregido esta vulnerabilidad en la última actualización de su motor, versión 20151.1.1.4 distribuida a través de LiveUpdate. Se recomienda confirmar que se han recibido todas las actualizaciones de LiveUpdate de forma manual.
Más información:
Fuente: Hispasec

MOODLE. Múltiples vulnerabilidades

Moodle ha publicado cinco alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde cross-site request forgery hasta obtención de información sensible. Se ven afectadas todas las ramas soportadas 2.7, 2.8, 2.9, 3.0, y anteriores versiones ya fuera de soporte.
Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Detalle de la actualización
  • Se han publicado cinco boletines de seguridad (del MSA-16-0013 y MSA-16-0015 al MSA-14-0018), y tienen asignados los identificadores CVE-2016-3729 y CVE-2016-3731 al CVE-2016-3734. Todos considerados como de gravedad menor. Las vulnerabilidades podrían permitir realizar ataques de Cross-Site Request Forgery (CSRF), que un usuario pueda ver las insignias (badges) de otros usuarios sin permisos para ello, obtener nombres y sub-nombres de foros ocultos y la posibilidad de que los usuarios puedan cambiar campos de perfil bloqueados por el administrador.
Recomendación
  • Las versiones 3.0.4, 2.9.6, 2.8.12 y 2.7.14 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga en la página oficial de Moodle desde http://download.moodle.org/
Más información:
Fuente: Hispasec

CISCO. Denegaciones de servicio en Cisco Web Security Appliance

Cisco ha anunciado la existencia de cuatro vulnerabilidades en los dispositivos Cisco Web Security Appliance (WSA) que podrían permitir a un atacante provocar condiciones de denegación de servicio.
Los dispositivos de seguridad Cisco Web Security Appliance (WSA) combinan defensa contra amenazas avanzadas, protección frente a malware avanzado, control y visibilidad de aplicaciones, informes detallados y movilidad segura en una única solución; además también permiten proteger y controlar el tráfico web. Estos dispositivos ejecutan el sistema operativo Cisco AsyncOS.
Detalle de las vulnerabilidades
  • El primer problema, con CVE-2016-1380, reside en el tratamiento de peticiones HTTP POST con Cisco AsyncOS para Cisco Web Security Appliance (WSA) debido a que el proceso proxy deje de responder. Por otra parte, con CVE-2016-1381, un fallo en la liberación de memoria en las peticiones de un rango de archivos en caché de Cisco AsyncOS paraWSA podría llevar al dispositivo a quedarse sin memoria del sistema.
  • Con CVE-2016-1382, una vulnerabilidad en el tratamiento de peticiones HTTP debido a una asignación inadecuada del espacio para la cabecera HTTP y cualquier contenido HTTP esperado. Por último, con CVE-2016-1383, una vulnerabilidad en Cisco AsyncOS para Cisco Web Security Appliance (WSA) cuando trata un código de respuesta http específico podría dejar al dispositivo sin memoria del sistema.
Recomendación

  • Cisco ha publicado la versión 9.0.1-162 destinada a solucionar los problemas descritos. En la mayoría de los casos un WSA puede actualizarse desde Internet mediante la opción "System Upgrade" en la interfaz de administración del sistema. (System Administration/ System Upgrade/Upgrade Options/Download and Install).
Más información:
Fuente: Hispasec

VMWARE . Actualización para múltiples productos

VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades en vCenter Server, vCloud Director, vSphere Replication, vRealize Operations Manager, VMware Workstation y VMware Player, que podrían permitir a un atacante elevar sus privilegios o ejecutar comandos.
VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.
El primer problema, con CVE-2016-3427, reside en el servidor RMI de Oracle JRE JMX que deserializa cualquier clase cuando deserializa credenciales de autenticación. Esto podría permitir a un atacante remoto, sin autenticar, provocar fallos de deserialización y ejecutar comandos arbitrarios.
Afecta a vCenter Server 6.0 para Windows y Linux; vCenter Server 5.x para Windows y Linux; vCloud Director 8.0.x, 5.6.x y 5.5.x para Linux; vSphere Replication 6.1.x, 6.0.x, 5.8.x y 5.6.x para Linux y vRealize Operations Manager (versión non-appliance)
Por otra parte, con CVE-2016-2077, VMware Workstation (anteriores a 11.1.3) y Player (anteriores a 7.1.3) para Windows no referencian adecuadamente uno de sus ejecutables. Esto podría permitir a un atacante elevar sus privilegios en el sistema anfitrión.
Recomendación
VMware ha publicado las siguientes actualizaciones:
  • vCenter Server 6.0 para Windows: Actualizar a versión 6.0.0b y KB 2145343
  • vCenter Server 6.0 para Linux: Actualizar a versión 6.0.0b
  • vCenter Server 5.5 para Windows: Actualizar a versión 5.5 U3d
  • vCenter Server 5.5 para Linux: Actualizar a versión 5.5 U3
  • vCenter Server 5.1 para Windows: Actualizar a versión 5.1 U3b y KB 2144428
  • vCenter Server 5.1 para Linux: Actualizar a versión 5.1 U3b
  • vCenter Server 5.0 para Windows: Actualizar a versión 5.0 U3e y KB 2144428
  • vCenter Server 5.0 para Linux: Actualizar a versión 5.0 U3e
  • vCloud Director 8.0.x para Linux: Actualizar a versión 8.0.1.1
  • vCloud Director 5.6.x para Linux: Actualizar a versión 5.6.5.1
  • vCloud Director 5.5.x para Linux: Actualizar a versión 5.5.6.1
  • vSphere Replication 6.1.x para Linux pendiente de publicación de parche
  • vSphere Replication 6.0.x para Linux: Actualizar a versión 6.0.0.3
  • vSphere Replication 5.8.x para Linux: Actualizar a versión 5.8.1.2
  • vSphere Replication 5.6.x para Linux: Actualizar a versión 5.6.0.6
vRealize Operations Manager (versión non-appliance)
Bloquear el acceso a los siguietnes puertos externos:
  • vROps 6.2.x: puertos 9004, 9005, 9006, 9007, 9008
  • vROps 6.1.x: puertos 9004, 9005, 9007, 9008
  • vROps 6.0.x: puertos 9004, 9005
Estos puertos están bloqueados por defecto en la versión de vROps para dispositivos
  • VMware Workstation 11.x.x para Windows: Actualizar a 11.1.3
  • VMware Player 7.x.x para Windows: Actualizar a 7.1.3
Disponibles desde:
vCenter Server
vCloud Director
vSphere Replication
VMware Workstation
VMware Player
Más información:
Fuente: Hispasec

CURL. Salto de verificación de certificados

Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl, que podría permitir a un atacante remoto evitar la validación de certificados.
cURL es una librería y herramienta para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.
Detalle de la vulnerabilidad
  • La vulnerabilidad, con CVE-2016-3739, reside en sistemas con soporte para mbedTLS o PolarSSL debido a un uso incorrecto de la función *sslsethostname(); que provoca que libcurl no compruebe el certificado de servidor de conexiones TLS cuando se especifica el host mediante una dirección IP, o cuando expresamente se indica usar SSLv3.
  • Un atacante remoto podría usar una conexión especificada mediante una dirección IP para crear una conexión con un servidor falsificado o construir un ataque de hombre en el medio.
Recursos afectados
  • La vulnerabilidad afecta desde la versión 7.21.0 hasta la 7.48.0 inclusive, tanto en la librería como en la utilidad. Se deben tener en cuenta las aplicaciones de terceros que incluyen en su implementación la librería de forma interna.
Recomendación
  • Se ha publicado la versión 7.49.0 que soluciona totalmente la vulnerabilidad.
Más información:
Fuente: Hispasec

ADOBE. Actualización de seguridad para Adobe Connect

Adobe ha publicado una nueva versión de Adobe Connect destinada a solucionar una vulnerabilidad en el instalador de Adobe Connect add-In.
Adobe Connect es una solución de conferencias web para reuniones, aprendizaje electrónico y seminarios Web. Hace posible el uso de soluciones de conferencias en múltiples dispositivos a través de tecnología web.
Adobe ha publicado el boletín APSB16-17 en el que anuncia la nueva versión Connect 9.5.3 que soluciona una vulnerabilidad (con CVE-2016-4118) de ruta de búsqueda no confiable en el instalador de Connect add-in. Un atacante remoto podría aprovechar este problema para tomar el control de los sistemas afectados.
La nueva versión Adobe Connect 9.5.3 también incluye correcciones de múltiples errores no relacionados directamente con problemas de seguridad.
Más información:
Fuente: Hispasec

VULNERABILIDAD. Acceso a archivos arbitrarios a través de Trend Micro OfficeScan

Se ha anunciado una vulnerabilidad en Trend Micro OfficeScan 11.0 SP1 que podría permitir a un atacante remoto visualizar cualquier archivo del sistema afectado.
Trend Micro OfficeScan ofrece protección frente a amenazas en servidores de archivos, PCs, portátiles y escritorios virtualizados mediante la combinación de tecnologías de seguridad in situ y en la nube. OfficeScan consta de un agente que reside en el equipo del usuario y de un servidor que gestiona todos los agentes.
El problema reside en una escalada de directorios a través de la manipulación de ciertas variables que podría permitir a un atacante obtener acceso a archivos y carpetas fuera de la carpeta raíz del núcleo del sitio web del servidor OfficeScan.
Recomendación
Más información:
Fuente: Hispasec