Existe una nueva modalidad de infección con malwares de la familia PSGuard, los cuales por medio de falsos Codecs son ofrecidos en sitios web para su descarga al intentar ver un video.

Si nos descargamos el falso Codec automáticamente nuestro equipo quedara infectado, mostrandonos los clásicos síntomas del malware psguard.

Lista:

• DirectVideo
• SiteTicket
• Video ActiveX Object
• Image ActiveX Object
• Brain Codec
• Silver Codec
• Gold Codec
• Movie Codec
• TVCodec
• Brain Codec
• DirectVideo
• Dvd Codec
• EliteCodec
• Emcodec
• eMedia Codec
• FreeVideo
• Gold Codec
• HQ Codec
• iCodecPack
• Image ActiveX Object
• iMediaCodec
• IMCodec
• IntCodec
• iVideoCodec
• JPEG Encoder
• LightCodec
• KeyCodec
• Media-Codec
• MediaCodec
• MedCodec
• MMediaCodec
• Movie Codec
• MPCODEC
• Newvidscodec
• nvidcodec
• PCODEC
• Perfect Codec
• PlayerCodec
• PowerCodec
• PornPass Manager
• PornMag Pass
• QualityCodec
• Silver Codec
• SiteTicket
• SoftCodec
• strCodec
• Super Codec
• svideocodec
• TrueCodec
• TVCodec
• v-codec
• Vccodec
• VidCodecs
• Video ActiveX Object
• VideoCompressionCodec
• VideoKeyCodec
• Videoscash
• VideosCodec,
• vidscodec
• WinMediaCodec
• WMcodec
• X Password Generator
• X Password Manager
• ZipCodec
• Zcodec

Tener muy en cuenta que si para ver algún vídeo se nos exige bajar alguno de estos codecs no hay que ser tan crédulo, como para que nadie nos lo de todo echo, verdad?.. a no ser que exista algún interés.
Un saludo.

Como era de esperar en estos días festivos los ataques fraudulentos se verían incrementados en estas fechas, una vez mas tenemos que alertar de una ataque fraudulento que afecta a los clientes de la banca online de Caja Madrid.
En estos momentos hay detectados dos servidores fraudulentos, pueden que aparezcan nuevas según se denuncien.

Ejemplo real del correo trampa:

Ejemplo de unas de las web trampas:

Una vez mas desde la Asociación de Internautas recomendamos que – NO RESPONDAN A ESTE TIPO DE CORREOS , NI PULSEN LOS ENLACES QUE CONTIENEN. Su banco NUNCA le solicitará sus datos privados o sus claves para acceder a su cuenta online.

Los Bancos son deposirios de sus claves y nunca las piden, ni por telefono, ni por fax ni por correo, ni físcamente es Usted el que debe de solicitarlas en caso de olvidarlas o extraviarlas.

Si usted fue victima de este engaño siga los siguientes consejos:

1.- Actué rápido.
2.- Cambien las claves privadas por unas nuevas.
3.- Notifique lo antes posible la incidencia a su entidad, no espere a mañana llame de inmediato, las entidades bancarias actuaran al instante sobre este tipo de estafas.
4.- Denuncie el fraude a las Fuerzas de Seguridad del Estado.

AVISO DE SEGURIDAD DE CAJA MADRID
http://www.cajamadrid.es/Caja..

Fuente: Asociacion de Internautas

El día 18 de diciembre Websense publicaba en su blog lo que podría ser motivo de una noticia de alcance: se había detectado un nuevo gusano que se propagaba a través del popular programa Skype. Si bien llamó la atención de muchos, el troyano (lo que era en realidad) ha resultado una vez más una “falsa alarma” pues sus características son comunes y su propagación extremadamente limitada.

Websense Security Labs dio la voz de alarma, parecía que un nuevo gusano se estaba propagando a través de Skype, infectando a los usuarios del programa de forma exponencial. Al día siguiente rectificó, y calificó al malware de troyano que además descargaba nuevos componentes desde una página web con el fin de robar contraseñas.

Finalmente, tras unos días de confusión donde se ha calificado todo el asunto de pura exageración, F-Secure venía a poner un poco de orden aclarando las claves que pueden determinar efectivamente si una amenaza merece ser tenida en cuenta y alertar de forma responsable.

F-Secure afirmaba que no nos encontrábamos, ni mucho menos, ante un caso de infección masiva. Al contrario de lo que se barajó en un principio, no se trataba de un gusano que aprovechaba una vulnerabilidad en Skype, sino de simples mensajes de chat que pedían al usuario descargar y ejecutar el troyano. Para colmo, se habían confundido en algunos medios dos alertas distintas. Una se conocía desde principios de octubre y otra, de la que hablaba Websense, se trataba de un archivo sp.exe infectado. Aunque en ningún momento se advierte, se presupone que el ejecutable infectaría (aunque de una forma burda y consentida) sólo a usuarios Skype bajo Windows.

Parece que el error de Websense fue adjudicar la característica degusano al malware detectado. Calificarlo como tal implica cierta automatización en la replicación, habitualmente aprovechando una vulnerabilidad del software sobre el que se propaga. El hecho de que finalmente se trate de un simple troyano libera en gran parte la responsabilidad de Skype y apunta directamente contra el hipotético usuario descuidado que acepte un archivo desconocido y lo ejecute.

Recuerda en cierta manera este asunto al malware Oomp-A para Mac,detectado en febrero. Ooomp aprovechaba la lista de contactos de iChat para enviarse a sí mismo e intentar contagiar a otros usuarios. Su único mérito era intentar infectar sistemas tan poco atacados hasta ahora como Mac OS X, aunque igualmente dio bastante que hablar sobre la seguridad del sistema operativo.

La única novedad, por tanto, es que el troyano puede llegar por Skype e infectaría a usuarios de Windows, pero para que esto ocurra, el usuario debe prácticamente consentir la ejecución.

Si bien una noticia sobre un virus puede provocar alarma, que se hable de una muestra de malware no siempre significa que se haga porque haya provocado una crisis. Puede llamar la atención por distintas características: desde el nombre (recordemos el inofensivo kama sutra),el mensaje que lanza, las plataformas que infecta… En este caso, al valerse de un popular programa basado en VoIP para esparcirse, este troyano ha captado la atención de los medios y ahí comienza la confusión. Una característica peculiar no tiene por qué ir unido a una infección masiva. Y es que hoy en día quedan realmente pocas crisis víricas (al menos provocadas por una misma muestra) de las que hablar.

Aunque la alerta ante la amenaza haya sido exagerada, no está de más recordar que ningún software es invulnerable y que una amenaza seria y real de este tipo podría darse en un futuro.

Más información:
Potential Skype worm propagating.
Skype Worm complete FUD
Skype Worm

Fuente: Hispasec.com

Se ha desvelado una vulnerabilidad en la forma en la que el proceso CSRSS (Client/Server Runtime Server Subsystem) procesa mensajes HardError (en un Message Box).

Esta vulnerabilidad permite a usuarios autenticados ejecutar código arbitrario en el proceso CSRSS.EXE y elevar a privilegios de la cuenta SYSTEM. Se ven afectados los sistemas Windows 2000, XP, 2003 y Vista. Microsoft ha reconocido la existencia del problema.

No existe parche oficial. Se recomienda no dar acceso a los sistemas a usuarios no confiables.

Más información:
New report of a Windows vulnerability

Fuente: Hispasec.com

Luis Kano, nos comenta en su blog:

Un test on-line creado por los chavos de CNet’s (los creadores de download.com), hecho totalmente en Java.

Es un test online sobre el soporte de Windows Vista en tu PC, verifica desde el procesador, memoria ram, tarjeta de video (gráfica), tarjeta de sonido y hasta disco duro.

Este test es solamente para Internet Explorer, instala un ActiveX de la empresa de CNet’s y se recargará la página y te pedirá que si quiere instala dicho ActiveX le das instalas, espera a que se haga el proceso completo y te dirá si tu PC es compatible con Windows Vista.

Click aquí para la evaluación

Le das clic en el botón verde!
Fuente: www.luiskano.net/blog/

Sun han publicado actualizaciones para JDK, JRE y SDK debido a que sehan encontrado numerosos problemas de seguridad no especificados que afectan a diferentes versiones. Estas herramientas también se engloban dentro del producto Java 2 Platform, Standard Edition

JDK (Java Development Kit) y SDK (Software Development Kit) son productos destinados a los desarrolladores de programas Java. JRE (JavaRuntime Environment) es un entorno que permite a las aplicaciones Javaejecutarse en el sistema e interpretar gran cantidad de contenido web.

Se han encontrado dos vulnerabilidades relacionadas con la serializaciónde Java Runtime Environment que podrían, de forma independiente,permitir a un applet no confiable o aplicación elevar sus privilegios.

Estas vulnerabilidades están solucionadas en las versiones (para Windows, Solaris y Linux):
JDK y JRE 5.0 Update 8 o posterior.
SDK y JRE 1.4.2_13 o posterior.

Se han encontrado dos vulnerabilidades más en Java Runtime Environmentque podrían, de forma independiente, permitir a un applet acceder a los datos de otro.

El primer problema está solucionado en (para Windows, Solaris, y Linux):
JDK y JRE 5.0 Update 6 o posterior.
SDK y JRE 1.4.2_11 o posterior.
SDK y JRE 1.3.1_19 o posterior.

El segundo problema está solucionado en (para Windows, Solaris, y Linux):
JDK y JRE 5.0 Update 7 o posterior.
SDK y JRE 1.4.2_13 o posterior.
SDK y JRE 1.3.1_19 o posterior.

Por último, se ha encontrado dos vulnerabilidades de desbordamiento de memoria intermedia en Java Runtime Environment que podrían permitir deforma independiente a applets elevar sus privilegios. Esto le permitiría darse permisos de escritura en ficheros locales o ejecutar aplicaciones accesibles por el usuario que ejecutar el applet no confiable.

Estos problemas han sido solucionados en las versiones (para Windows,
Solaris, y Linux):
JDK y JRE 5.0 Update 8 o posterior.
SDK y JRE 1.4.2_13 o posterior.
SDK y JRE 1.3.1_19 o posterior.

Para conocer la versión instalada en el sistema, se debe escribir en una consola (tanto en Windows como Linux o Solaris):

java -version

Según la rama operativa en el sistema, se puede actualizar desde
http://java.sun.com

Más información:

Security Vulnerabilities in the Java Runtime Environment may AllowUntrusted Applets to Elevate Privileges and Execute Arbitrary Code

Security Vulnerabilities Related to Serialization in the Java RuntimeEnvironment may Allow Untrusted Applets to Elevate Privileges

Security Vulnerabilities in the Java Runtime Environment may Allow anUntrusted Applet to Access Data in Other Applets
Fuente: Hispasec.com

Se ha encontrado una vulnerabilidad en Microsoft Windows Media Player que pude ser aprovechada por atacantes para provocar una denegación de servicio.

El problema se debe a un error de división por cero a la hora de manejar ficheros MIDI especialmente manipulados con cabeceras que contengan campos mal formados (número de pistas, por ejemplo). Esto podría provocar que la aplicación dejase de responder si se abre un fichero especialmente manipulado.

No existe parche oficial. Se recomienda no abrir ficheros no solicitados o provenientes de fuentes desconocidas.

Más información:
Microsoft Windows Media Player MIDI File Format Handling Denial of Service Vulnerability

Fuente: Hispasec.com

Dentro del conjunto de boletines de diciembre publicado esta semana por Microsoft y del que efectuamos un adelanto el pasado martes, se cuenta el anuncio (en el boletín MS06-072) de una actualización acumulativa para Internet Explorer, que además solventa un total de cuatro nuevas vulnerabilidades descubiertas en las versiones 5.01 y 6 del navegador.

Las vulnerabilidades corregidas son las siguientes:

* Una corrupción de memoria a la hora de manejar scripts puede llevar a la ejecución de código arbitrario.

* Una corrupción de memoria a la hora de manejar scripts DHTML puede llevar a la ejecución de código arbitrario.

* Dos problemas de revelación de información sensible a través de la carpeta TIF.

Este boletín reemplaza al boletín previo MS06-067. No afecta a Internet Explorer 7.

Actualice los sistemas afectados mediante Windows Update o descargando los parches según versión desde las siguientes direcciones:

* Microsoft Internet Explorer 5.01 Service Pack 4 bajo Windows 2000Service Pack 4

* Microsoft Internet Explorer 6 Service Pack 1 instalado en Windows2000 Service Pack 4

* Microsoft Internet Explorer 6 para Windows XP Service Pack 2

* Microsoft Internet Explorer 6 para Windows XP Professional x64 Edition

* Microsoft Internet Explorer 6 para Windows Server 2003 y MicrosoftWindows Server 2003 Service Pack 1

* Microsoft Internet Explorer 6 para Windows Server 2003 bajoItanium-based Systems y Windows Server 2003 con SP1 bajo Itanium-based
Systems

Más información:

Microsoft Security Bulletin MS06-072Cumulative Security Update for Internet Explorer (925454)
Fuente: Hispasec.com

Se ha encontrado una vulnerabilidad en GNOME Display Manager por la que un atacante local podría elevar privilegios en el sistema afectado.
gdmchooser es un programa que proporciona funcionalidad XDMCP (X Display Manager Control Protocol) al GNOME Display Manager. Este protocolo permite a un usuario interacturar con sistemas remotos a través del X11 local.

Existe un fallo de formato de cadena en la función gdm_chooser_browser_add_host en el archivo gui/gdmchooser.c a la hora de procesar nombres de hosts, que puede ser aprovechado para ejecutar comandos arbitrarios en el sistema con los privilegios del servicio GNOME Display Manager (gdm). Usuarios locales no autenticados podrían ejecutar gdmchooser e introducir caracteres especialmente manipulados en el cuadro de diálogo para lanzar la vulnerabilidad.

La vulnerabilidad fue comunicada al fabricante a través de iDefense el 4 de diciembre de 2006.

Se han publicado versiones no vulnerables (2.14.11, 2.16.4, y 2.17.4)disponibles desde:
http://ftp.gnome.org/pub/GNOME/sources/gdm, además de que cada distribución está actualizando ya sus repositorios.

Más información:
iDefense Security Advisory 12.14.06: GNOME Foundation Display Manager

Fuente:Hispasec.com

Sun ha anunciado una vulnerabilidad que afecta a Sun Java System Proxy Server si se utiliza en conjunto con Sun Java System Application Server o Sun Java System Web Server, que podría permitir secuestrar sesiones, realizar ataques de tipo cross site scripting o eludir restricciones del cortafuegos.

El problema reside en que Sun Java System Proxy Server al emplearse junto con Sun Java System Application Server o Sun Java System Web Server, podría ser susceptible de ataques tipo “HTTP Request Smuggling” (HRS) que podrían permitir a un usuario remoto no privilegiado envenenar cachés web. Un atacante podría emplear esto para secuestrar sesiones, realizar ataques de tipo cross site scripting o eludir restricciones del cortafuegos.

El fallo se basa en el menajo incorrecto de cabeceras que contengan las etiquetas “Transfer-Encoding: chunked” y “Content-Length”

Sun ha publicado las siguientes actualizaciones para solventar el problema:

Para plataforma SPARC:
Sun Java System Proxy Server 3.6 Service Pack 8 o posterior

Sun Java System Proxy Server 4.0 Service Pack 1 o posterior

Sun Java System Web Server 6.0 Service Pack 10 o posterior

Sun Java System Web Server 6.1 2005Q1 Service Pack 5 o posterior
(International Edition)

Sun ONE Application Server 7 Update 8 o posterior(Platform Edition)

Sun ONE Application Server 7 Update 8 o posterior(Standard
Edition)

Sun Java System Application Server 7 2004Q2 Update 4 o posterior (Standard Edition)

Sun Java System Application Server Enterprise Edition 8.1 2005 Q1 con parche 119169-02

o (SVR4) parche 119166-09 o posterior

Sun Java System Application Server Platform Edition 8.1 2005 Q1 conparche 119173-01 o posterior

Para plataforma x86:

Sun Java System Application Server Platform Edition 8.1 2005 Q1 con parche 119174-01 o posterior

Sun Java System Application Server Enterprise Edition 8.1 2005 Q1 con parche 119170-02

o (SVR4) parche 119167-09 o posterior

Plataforma Linux

Sun Java System Application Server Platform Edition 8.1 2005 Q1 con parche 119175-01 o posterior

Sun Java System Application Server Enterprise Edition 8.1 2005 Q1 con parche 119171-02

o (Pkg) parche 119168-09 o posterior

Plataforma Windows

Sun Java System Application Server Platform Edition 8.1 2005 Q1 con parche 119176-01 o posterior

Sun Java System Application Server Enterprise Edition 8.1 2005 Q1 con parche 119172-07

o (native) parche 121528-01

Más información:

Security Vulnerability With HTTP Requests in Sun Java System Server(s)

Fuente: Hispasec

Microsoft ha publicado un aviso de seguridad para informar que se encuentra investigando una nueva vulnerabilidad, hecha publica en forma de “0 day” que afecta a Microsoft Word y podría permitir la ejecución remota de código arbitrario.

El problema afectaría a Microsoft Word 2000, Word 2002, Office Word 2003, Word Viewer 2003, Word 2004 para Mac y Word 2004 v. X para Mac.
También a Microsoft Works 2004, 2005 y 2006.

La vulnerabilidad está provocada por un error no especificado en el tratamiento de documentos Word y puede ser explotada para provocar una degradación de memoria, que puede conllevar una ejecución de código arbitrario.

Como es habitual, se recomienda no abrir documentos que provengan de fuentes desconocidas.

Más información:
Vulnerability in Microsoft Word Could Allow Remote Code Execution

Fuente: Hispasec

ZONAS DE SEGURIDAD

Tener una correcta configuración en Internet Explorer en cuanto a la seguridad es muy importante, vista la gran cantidad de vulnerabilidades que aparecen constantemente, exploits, virus, troyanos, programas spyware, secuestradores, etc.

Es necesario un buen nivel de protección contra mucho código malicioso que anda suelto por la Red.
Las Zonas de Seguridad nos permiten llevar a cabo estas protecciones.
Si abrimos el navegador y nos dirigimos a Herramientas -> Opciones de Internet, veremos una ficha llamada Seguridad.
Si la pulsamos, por defecto, aparecerán 4 zonas distintas de seguridad. Cada zona puede (y debe) ser configurada independientemente:

Zona 1 = Intranet local (sitios Web de la red local). Zona 2 = Sitios de confianza (aquellos que sabemos que son seguros). Zona 3 = Internet (todos los sitios que no están en las otras zonas). Zona 4 = Sitios restringidos (sitios que sabemos que son peligrosos). Microsoft, a través de un artículo de la KB, nos define cada zona de seguridad y cómo puede ser configurada: **Cómo utilizar las zonas de seguridad en Internet Explorer:
http://support.microsoft.com/default.aspx?scid=kb;es;174360

Pero además de estas cuatro zonas, que aparecen por defecto, podemos incluir una quinta zona, la Zona 0, que será la zona local, o sea, nuestro equipo.

La zona Equipo local es una zona implícita para contenido existente en el equipo local.
No se expone en el panel de control de Internet. Sin embargo, los administradores pueden utilizar el Registro de Windows para configurar los valores de la zona Equipo local. Para que aparezca esta nueva zona Mi PC, debemos hacer lo siguiente:

Haz clic en Inicio, y después en Ejecutar. En la casilla Abrir teclea regedit.exe y pulsa Aceptar.
Se abrirá el editor del registro del sistema. Localiza la clave siguiente:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
Pulsa sobre la carpeta 0 para abrirla, y en el panel de la derecha, bajo la columna Nombre, haz doble clic sobre el valor Flags.
Se abrirá la ventana Editar valor DWORD.
Allí, en Información del valor (en base ‘Hexadecimal’), cambia el 21 por un 1 y selecciona Aceptar. En la columna Datos debería quedar algo como 0×00000001 (1).
Cierra el editor del registro.

Ahora, si seleccionas las zonas de seguridad en Internet Explorer, deberían aparecer todas las zonas, incluida Mi PC.

Si por algún motivo quisieras hacer que Mi PC volviera a quedar oculto, sólo repite el procedimiento anterior, volviendo a colocar el valor 21 en lugar de 1 en Flags.

Para aclarar un poco la diferencia entre el Nivel predeterminado y el Nivel personalizado de las zonas de seguridad, podemos echar mano de este artículo:**Descripción de los cambios realizados en la configuración de seguridad de las zonas de contenido Web en Internet Explorer 6:
http://support.microsoft.com/default.aspx?scid=kb;es;300443
DESHABILITANDO ACTIVE SCRIPTING

Volviendo al principio, para obtener un nivel aceptable de protección en cada zona de seguridad, podemos deshabilitar Active Scripting:

1. En Outlook Express: ve a Herramientas > Opciones… > Seguridad. En el apartado Protección antivirus activa la casilla Zona de sitios restringidos (más segura).
   De esta forma se deshabilitan scripts y controles activeX en mensajes de correo electrónico. Para una mayor seguridad antivirus, puede activarse también la casilla No permitir que se guarden o abran archivos adjuntos que puedan contener virus.
2. En Internet Explorer: ve a Herramientas -> Opciones de Internet -> Seguridad > Zona de Confianza. Selecciona nivel Mediano (Media) opulsa en Personalizar nivel y selecciona Restablecer configuración personal a Mediano (Media).
   Pulsa en el botón Restablecer y confirma el cambio.
   Pulsa en Aceptar.
   Seguidamente, pulsa en Sitios para agregar aquellas direcciones que son, o consideramos, seguras. Es importante añadir las siguientes, especialmente si utilizamos cuentas de Hotmail:

   http://oe.msn.msnmail.hotmail.com
   http://windowsupdate.microsoft.com
   http://v5.windowsupdate.microsoft.com
   http://support.microsoft.com
   http://www.microsoft.com
   http://services.msn.com
   http://login.passport.net
   http://login.passport.com

   Selecciona ahora la zona Internet.
   Pulsa en Nivel Predeterminado y en Personalizar nivel.
   Busca en la lista de Configuración, Automatización y activa la opción Desactivar bajo Secuencias de comandos ActiveX.
   Pulsa Aceptar y confirma el cambio.

Con esta configuración en la zona de Internet, los controles y complementos activeX, así como los scripts (muchos de ellos malignos) no se podrán ejecutar en nuestro sistema. Algunos sitios no podrán ser visibles porque necesitan de estos controles. Si sabemos que uno de esos sitios es seguro, podemos incluirlo en la zona de Confianza.

Y para la nueva zona que hemos creado, la Zona 0 Mi PC, los administradores también pueden reforzar la configuración de seguridad, mediante ajustes en el registro de Windows.
Ahora bien, se recomienda que estos cambios se lleven a cabo como un último recurso, ya que se puede perder alguna funcionalidad para algunos programas de Windows y componentes.
En este artículo tenemos más información sobre la Zona 0: **Cómo reforzar la configuración de seguridad para la zona Equipo local en Internet Explorer:
http://support.microsoft.com/default.aspx?scid=kb;ES;833633
COPIA DE SEGURIDAD DE LA CONFIGURACIÓN ESTABLECIDA

Una vez hayamos establecido la configuración deseada de las diferentes zonas de seguridad de Internet Explorer, podemos crearnos unas copias de seguridad de las mismas (backups), si vamos a migrar a un nuevo sistema con una instalación limpia del sistema operativo. La información sobre las zonas de seguridad quedan almacenadas en el registro de Windows. Para ello iniciaremos el editor del registro (regedit.exe) y localizaremos la clave siguiente: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
En la clave Internet Settings, nos interesan tres subclaves que son las que tendremos que copiar:

• TemplatePolicies
• ZoneMap
• Zones

Seleccionando cada una de ellas, elegiremos, mediante el botón secundario del ratón y el menú contextual, la opción Exportar. Podemos exportarlas con su nombre (TemplatePolicies.reg, ZoneMap.reg y Zones.reg) a una ubicación segura (CD o disquete).
Para restaurar las configuraciones de seguridad en un Internet Explorer nuevo, simplemente haremos doble clic sobre los archivos .reg.

La clave TemplatePolicies determina las configuraciones de los niveles predeterminados de zona de seguridad Baja, Media Baja, Media y Alta.

La clave ZoneMap incluye la configuración específica, conteniendo dominios, protocolos y direcciones TCP/IP que se han agregado.

La clave Zones contiene las claves que representan cada zona de seguridad definida por el equipo, que son las 5 zonas de las que hemos hablado en este artículo.

Se han identificado múltiples vulnerabilidades en Adobe Reader y Acrobat que pueden ser aprovechadas por atacantes para ejecutar código arbitrario en el sistema víctima.

Los fallos se deben a una corrupción de memoria en el control ActiveX AcroPDF (AcroPDF.dll) que no maneja adecuadamente argumentos mal formados pasados a los métodos src, setPageMode, setLayoutMode, setNamedDest y LoadFile. Esto puede ser aprovechado por atacantes remotos para ejecutar código arbitrario si un usuario visita una página especialmente manipulada.

Las versiones afectadas son:
Adobe Reader versiones 7.0.0 a 7.0.8
Adobe Acrobat Standard versiones 7.0.0 a 7.0.8
Adobe Acrobat Professional versiones 7.0.0 a 7.0.8

Se recomienda establecer el kill bit para el CLSID
{CA8A9780-280D-11CF-A24D-444553540000} o renombrar el fichero AcroPDF.dll.

Más información:

Adobe Acrobat Buffer Overflow in ‘AcroPDF.dll’ ActiveX May Let Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2006/Nov/1017297.html

Potential vulnerabilities in Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa06-02.html
Fuente: Hispasec

Microsoft ya ha lanzado la versión para empresas de Windows Vista. Por su parte, las compañías de seguridad informática aún no lanzan las herramientas de protección compatibles con el nuevo sistema operativo.

McAfee es el único de los grandes fabricantes que a la fecha ha incorporado pleno soporte para Vista en sus productos, a saber, VirusScan Enterprise 8.5 y AntiSpyware Enterprise 8.5.

Tanto Symantec, Trend Micro y Computer Associates (CA) han distribuido notas de prensa en los últimos días anunciando soporte para Vista, pero ninguna de las herramientas esta disponible a la fecha.

Symantec espera tener lista una actualización de su producto AntiVirus Corporation Edition para el 31 de diciembre, en tanto que Trend Micro comenzará a distribuir una nueva versión de OfficeScan durante el primer semestre de 2007. Una versión beta ya está disponible. Los nuevos productos de CA están anunciados para comienzos de febrero.

Según Microsoft, Vista es la versión más segura que haya habido en la historia de Windows. Aún así, esto no implica que Windows pueda quedar desprovisto de antivirus, cortafuegos y otras herramientas anti-malware.

La compañía de seguridad informática Sophos, por su parte, informa que tres de las 10 mayores amenazas de malware pueden penetrar los sistemas de protección de Vista.

Apple ha publicado sus habituales parches acumulativos, en esta ocasión el séptimo del año y en el que corrige hasta 31 fallos de seguridad distintos que permiten escaladas de privilegios, denegaciones de servicio, ejecución de código remoto y local y saltos de restricciones de seguridad.

Alguno de los errores más graves:

Un fallo en los controladores inalámbricos Airport que afecta a muchos sistemas Mac y que permite ejecución de código remota. El fallo fue descubierto por HD Moore a principios de mes.

Varios errores en el servidor Apple Type Services que permiten a atacantes locales sobrescribir o crear ficheros arbitrarios con privilegios de sistema.

Existe también un desbordamiento de memoria intermedia basado en heap en el Finder a la hora de navegar por directorios que contengan un fichero .DS_Store especialmente manipulado. Esto puede permitir a atacantes locales ejecutar código con los privilegios del usuario Finder.

Un fallo en Installer, permite a atacantes instalar ciertos paquetes sin necesidad de credenciales de administrador.

Existe un desbordamiento de memoria intermedia en PPP (Point to Point Protocol) a la hora de manejar tráfico PPPoE (Point to Point Protocol over Ethernet) que permite a atacantes en la red local ejecutar código arbitrario.

Security Framework permite a atacantes eludir varias restricciones de seguridad.

Se han publicado actualizaciones además para ftpd, CFNetwork, Online Certificate Status Protocol (OCSP), VPN, WebKit, gzip, ClamAV, OpenSSL,Perl, PHP, Samba…

Entre las numerosas correcciones, parece que no se han publicado demasiadas para combatir el particular acoso que “el mes de los fallos en el núcleo” está realizando contra los sistemas de Apple. La mayoría de los errores publicados por ahora, descubren problemas más o menos graves para su sistema operativo. Por lo tanto, incluso después de este parche acumulativo, a Apple le quedan todavía muchas vulnerabilidades que investigar.

Se recomienda actualizar a través de las herramientas automáticas o de la página oficial:

10.3.9 Cliente

10.3.9 Servidor

10.4.8 Cliente Intel

10.4.8 Cliente PPC

10.4.8 Servidor PPC

10.4.8 Servidor Universal

Más información:

Apple Downloads

Apple Patches 31 Security Holes
Fuente: Hispasec