1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2817/12/2008=29_Actualizaciones_cr=EDticas_p

    From noticias@hispasec.com@2:341/201.99 to All on Wed Dec 17 10:55:00 2008
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 17/12/2008
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Actualizaciones críticas para los navegadores más populares...
    en especial para Internet Explorer
    --------------------------------------------------------------

    Microsoft ha sufrido durante la última semana uno de los peores
    escenarios conocidos para una vulnerabilidad: es crítica y ha sido
    descubierta mientras estaba siendo aprovechada por atacantes. Esto
    implica que todo usuario de Internet Explorer (donde reside el problema)
    ha estado más o menos expuesto a ejecución de código arbitrario.
    Finalmente emitirá hoy una actualización de emergencia para solucionar
    el fallo. Además Firefox, Safari y Opera, los otros navegadores más
    populares, han actualizado también en los últimos días para solucionar
    graves problemas de seguridad.

    Los problemas de seguridad en todos los navegadores son una constante.
    Desde que se tomara consciencia general de la seguridad en remoto del
    sistema, (añadiendo cortafuegos) y se mejoraran los sistemas de correo
    (con clientes más seguro por defecto y filtros perimetrales), los
    asaltos se han desviado a los navegadores. Este es el vector de ataque
    por excelencia hoy en día para el malware: el usuario visita una página
    y se intenta explotar una vulnerabilidad del navegador para instalar
    algún código. Y no sólo al visitar webs de dudosa reputación: muchas
    páginas legítimas (gracias a problemas de seguridad de sus servidores)
    están ayudando inconscientemente a propagar malware que los atacantes previamente han incrustado en ellas.

    El peor escenario es para Internet Explorer

    Así las cosas, un problema de seguridad en un navegador, sea cual sea,
    supone un importante riesgo. Para Microsoft el asunto se ha complicado
    en las últimas semanas, por muchas razones. Un día antes del segundo
    martes del mes de diciembre un mensaje en un foro chino hacía pública
    una vulnerabilidad (en principio en Internet Explorer 7, luego se
    comprobó que afectaba a todas las versiones). No existía parche oficial disponible, no necesitaba interacción por parte del usuario y permitía ejecución de código arbitrario con los permisos del usuario usando el navegador. La vulnerabilidad reside en el manejo de etiquetas XML. Se
    observó que el fallo estaba siendo activamente aprovechado por webs
    desde hacía tiempo para instalar malware. Microsoft se apresuró a
    reconocer el fallo y publicar un buen número de métodos para mitigar
    el problema.

    Internet Explorer es el navegador favorito de los atacantes por su
    cuota de mercado, lo que permite a los atacantes llegar a un mayor
    número de víctimas. Para complicar el tema, el exploit se hizo
    público rápidamente, junto con todos los detalles técnicos del fallo.
    El incidente tenía todos los ingredientes para convertirse en desastre. Finalmente Microsoft ha anunciado que una semana después, el día 17,
    publicará un parche para solucionar el fallo.

    Semana de actualización para otros navegadores

    Pero Internet Explorer no es el único navegador que necesita ser
    actualizado en estos días. Parece que todos se han puesto de acuerdo
    para lanzar nuevas versiones que corrigen fallos de seguridad. Firefox
    acaba de anunciar su versión 3.0.5 y 2.0.0.19 (parece que la última de
    esta rama). Esta nueva versión corrige hasta 11 vulnerabilidades, 3 de
    ellas críticas, que la Fundación Mozillla (como hace Microsoft) agrupa
    en 8 boletines de seguridad.

    Opera, por su parte, acaba de publicar también su versión 9.63, que
    corrige siete problemas de seguridad (uno de ellos, leve, descubierto
    por Matthew de Hispasec Sistemas).

    Mac OS, por su parte, acaba de publicar una de sus
    macro-actualizaciones, que soluciona 21 fallos de seguridad de su
    sistema operativo, varios de ellos en relación directa con su navegador
    Safari.

    Existe una prueba de concepto pública para uno de los problemas de
    Firefox, aunque al menos para estos navegadores, no se tiene evidencia
    de que los fallos estén siendo aprovechados activamente. Esto no exime
    de una inmediata actualización.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3707/comentar

    Más información:

    Microsoft Security Bulletin Advance Notification for December 2008 http://www.microsoft.com/technet/security/Bulletin/MS08-dec.mspx

    Opera 9.63 for Windows Changelog http://www.opera.com/docs/changelogs/windows/963/

    Security Advisories for Firefox 3.0 http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

    About the security content of Security Update 2008-008 / Mac OS X v10.5.6 http://support.apple.com/kb/HT3338


    Sergio de los Santos
    ssantos@hispasec.com


    Tal día como hoy:
    -----------------

    17/12/2007: Cross-site scripting en Apache 1.3.x y 2.2.x
    http://www.hispasec.com/unaaldia/3341

    17/12/2006: Parche acumulativo para Microsoft Internet Explorer
    http://www.hispasec.com/unaaldia/2976

    17/12/2005: Denegación de servicio en Cisco Clean Access
    http://www.hispasec.com/unaaldia/2611

    17/12/2004: Más de un tercio de entidades corrigen sus deficiencias en torno al
    phishing
    http://www.hispasec.com/unaaldia/2246

    17/12/2003: Nueva estafa telefónica a través del prefijo 803
    http://www.hispasec.com/unaaldia/1879

    17/12/2002: Múltiples vulnerabilidades en diversas implementaciones de SSH
    http://www.hispasec.com/unaaldia/1514

    17/12/2001: Grave vulnerabilidad en el servidor Login UNIX
    http://www.hispasec.com/unaaldia/1149

    17/12/2000: Intrusión en los sistemas de un hospital
    http://www.hispasec.com/unaaldia/784

    17/12/1999: El Derecho a Cifrar
    http://www.hispasec.com/unaaldia/416

    17/12/1998: MacroVirus para PowerPoint
    http://www.hispasec.com/unaaldia/51


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2008 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)