RealPlayer, un reproductor multimedia que con el paso del tiempo ha ido perdiendo popularidad, es victima de un nuevo exploit de tipo “0-Day” (es decir, sin parches ni mucha información al respecto).

La vulnerabilidad afecta la versión 10.5 -e incluso 11 beta-, y aprovecha una falla en el control ActiveX que utiliza RealPlayer para funcionar desde un navegador. Por lo tanto, basicamente cualquiera puede resultar afectado con sólo visitar un sitio web malicioso que requiera de él.

Por el momento, lo recomendable es no aceptar instalar ni ejecutar dicho control ActiveX desde el navegador.

Fuente: VsAntivirus

Adobe ha confirmado que existe una vulnerabilidad en los archivos PDF que le permitiría a un hacker enviarte un archivo PDF y tomar control de tu computadora que usen Windows XP. Esta vulnerabilidad principalmente tiene como culpable a Microsoft debido a un bug que tiene Windows XP el cual según Microsoft, es muy difícil de reparar y tendrían que rehacer todas sus aplicaciones.

Como consecuencia de ese bug, no solo apareció esta vulnerabilidad en los archivos PDF, sino anteriormente también hubo problemas con Firefox y Skype, los cuales tuvieron que arreglar su propio código de tal forma que no se viera involucrado con el bug que tiene Windows XP e Internet Explorer 7.

Por ahora, Adobe nos explica como arreglar este error manualmente.

Fuente: Kriptópolis

La misma persona que hace unos días reportaba una vulnerabilidad en el manejo de archivos de Bitmap en las versiones CS2 y CS3 del Adobe Photoshop, ha puesto a la luz otra vulnerabilidad más, esta vez aprovechándose del manejador de archivos PNG.

Como extra, la vulnerabilidad también afecta el software Adobe Photoshop Elements en sus versiones 5.x, por lo que Adobe podría estar dedicando su tiempo a arreglar estas fallas, si quisiera mantener su imagen pública.

El autor de ambos reportes es Marsu, y pueden ver el código del exploit en los enlaces.

Fuente: Secunia | milw0rm

Hace unos días, comentabamos sobre la Vulnerabilidad crítica que afectaba a los productos de Adobe, en particular Photoshop, el cual podía era causado por un error dentro del módulo que maneja los archivos Bitmap (.BMP, .DIB, .RLE), provocando una sobrecarga del buffer de pila al llegar un archivo malformado.

La vulnerabilidad afecta Adobe Photoshop CS2 y CS3, aunque por el tipo de módulo, es posible que el mismo esté presente en otros productos de la compañía.

La solución que publicó Adobe fue de no abrir archivos de ese tipo, mientras que a la vez confió que actualizará el paquete a sus clientes una vez que tengan más información.

Entre tanto, en milw0rm acaban de publicar el exploit que aprovecha dicha vulnerabilidad, por lo que el tiempo se le acaba poco a poco a la gente de Adobe, o bien… a sus clientes.

Fuentes: Secunia | Milw0rm

Otro que viene sufriendo de vulnerabilidades es Winamp, reproductor multimedia de Nullsoft.

En este caso la vulnerabilidad es explotada por un exploit que intenta reproducir un archivo MIDI modificado para fines maliciosos. El archivo genera un desbordamiento de búfer dando como resultado que la aplicación no responda (denegación de servicio), quedando abierta la posibilidad de que se ejecute código arbitrario remoto.

Debido a que la vulnerabilidad afecta a la última versión del reproductor y quizás a las anteriores, me parece muy acertada la recomendación de VSAntivirus: “no utilizar Winamp para reproducir archivos descargados de Internet, hasta que Nullsoft no publique una actualización”.

Históricamente, para resolver problemas, se han usado métodos iterativos o recursivos, los cuales cumplen la función de repetir un evento, una cantidad n de veces, a fines de lograr un resultado.

Si bien estos métodos son útiles, existe lo que se llama la sobrecarga, que vendría a ser el exceso de carga cuando estos se ejecutan. Esto suele pasar cuando el método no está bien definido, o bien, por un conjunto de sucesos, se provoca una cadena de eventos en forma cíclica que terminan por tirar abajo, supongamos, un programa.

Alan M. Turing, en 1963, fue uno de los que buscaba respuesta a una pregunta que lo tenía inquieto, si la Máquina de Turing funcionaría de modo infinito, o si en algún momento frenaría. Al día de hoy… no hay solución universal para este problema. La solución, en realidad pasa, por controlar el entorno en donde se ejecutan los eventos, claro que no siempre uno tiene ese control.

Es el caso, entonces, de dos navegadores bien conocidos (Firefox e Internet Explorer) que tienen estos problemas a menudo. En realidad, no son novedades, sino que nadie suele tomar nota de como arreglarlos, y siempre aparece el mismo error, descrito de otra forma.

Firefox 2.0.0.3

El cuelgue se consigue de manera sencilla, simplemente abran alguno de los siguientes enlaces:

• chrome://pippki/content/editcacert.xul
• chrome://pippki/content/editemailcert.xul
• chrome://pippki/content/editsslcert.xul

Si estaban navegando en Firefox, y probaron… es probable que no lean esto.

Internet Explorer (varias versiones)

En el caso de Internet Explorer, el truco no es tan sencillo ya que requiere Javascript.

En todo caso, ambos son un problema, pero el primero solo afecta a modo local (Chrome no se puede ejecutar desde un sitio web), y el segundo puede actuar de forma remota (un Javascript embebido en un sitio).

Fuente: Heise

Se han detectado múltiples vulnerabilidades en el sistema web de estadísticas CNStats, las cuales permitirían a un atacante ejecutar código PHP de un servidor externo, en el sitio afectado.

Esto permite, entre tantas opciones, acceder al sistema de archivos por completo, lo que permitiría dar acceso a bases de datos, y accesos a aplicaciones webs que estuviesen instaladas en el servidor.

Los módulos who_r.php y who_s.php filtran erróneamente los parámetros bj y bn, de modo que en los mismos se puede introducir enlaces a archivos locales o externos, a fines de ser ejecutados en forma de ataque.

El ataque solo es posible si las variables globales están activadas (register_globals = on), por lo cual muchos sitios no resultarían afectados si estos hubiesen tomado las medidas de seguridad adecuadas para desactivar dicha opción.

De momento solo se conoce que la versión 2.9 es vulnerable.

Para ejecutar un Exploit a modo de prueba:

http://www.susitio.com/directorio_de_cnstats/who_r.php?bj=[codigo]

Fuentes: milw0rm | Heise

SecurityFocus ha reportado una vulnerabilidad en Microsoft Content Management Server (XSS) Cross-Site Scripting, que en este caso permite que un exploit, Bloodhound/Exploit.133, pueda ejecutar código malicioso muy peligroso de forma remota.

Bloodhound/Exploit.133 se propaga a través de páginas web con archivos HTML modificados a conveniencia mediante códigos JavaScripts y VBScripts.

Según el reporte de SecurityFocus, los sistemas afectados son: (more…)

Un usuario español del sitio Rootkit (c0de90e7), ha publicado un artículo en donde explica una variación de la técnica de GhostWriting.

El GhostWriting es una técnica utilizada para hacer cambios en un proceso, mientras este se ejecuta en memoria.

La variación propuesta por el usuario, es básicamente evitar hacer uso de métodos de apertura de procesos, menos escritura, e inyectar bits remotamente de modo que sea más indetectable.

La técnica en sí, es conocida por ser usada en muchos virus, troyanos, rootkits y malware en general.

Para ser bien claro, el usuario publicó una prueba de concepto (código fuente) y una explicación (comentarios en código fuente), todo en inglés (lenguaje universal para dicha tarea), de modo que cualquiera que sepa un mínimo de programación podrá entender el código perfectamente.

Cabe destacar que el proceso no es perfecto, como bien lo señalan los comentarios, siendo que por ejemplo algunos Firewalls interceptan paquetes formados como en la prueba (ZoneAlarm), o que Kaspersky AV 6.0 lo detecta de una y no permite ejecutar.

Estos problemas surgen con aplicaciones de seguridad que analizan el comportamiento de los procesos (apertura de hilos, llamadas, etc), y no solo la firma (signature) de los mismos. Básicamente, las aplicaciones que el día de mañana serán las pocas que sobrevivan a esta manada de malware.

El código demuestra algo, y no lo pone en bandeja para quien quiera usarlo con malas intenciones, pero puede servirnos muchísimo si estamos pensando en formas de proteger nuestros programas… claramente, pensando desde el otro lado del ejemplo.

Fuente: Rootkit

Algo que siempre deben tener en cuenta, es nunca abrir un e-mail sospechoso. Si abres un e-mail extraño te puede llegar a suceder lo que le ha sucedido a varias personas, su cuenta hotmail robada. Actualmente, hay un exploit para hotmail que permite robar la cuenta de otros usuarios.

Con cuatro ficheros configurados de forma personalizada puede usted conseguir la claves de un usuario de Hotmail con solo enviarle un enlace preparado para este objetivo, es lo único que hace falta para secuestrar la sesión de un usuario de Hotmail.

Así que pendientes y no esten abriendo e-mails extraños en su cuenta Hotmail.

Vía - Tecnicalia