Hola All!
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 29/12/2010
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Resumen de seguridad de 2010 (II)
---------------------------------
Termina el año y desde Hispasec un año más echamos la vista atrás para
recordar y analizar con perspectiva (al más puro estilo periodístico)
lo que ha sido 2010 en cuestión de seguridad informática. En cuatro
entregas (tres meses por entrega) destacaremos muy brevemente lo que
hemos considerado las noticias más importantes de cada mes publicadas
en nuestro boletín diario.
Abril 2010:
* En abril, a través de un post en el blog oficial del equipo de infraestructuras de Apache, se publican los detalles acerca de un ataque dirigido sobre los servidores de la fundación. Los atacantes emplean una vulnerabilidad desconocida hasta el momento en JIRA (un software de
gestión de errores e incidencias en proyectos) que permite efectuar
ataques de cross site scripting.
* A las 14:00 horas GMT del 21 de abril, McAfee libera un nuevo fichero
DAT de actualización, el 5958 que contiene una firma que le indica al
antivirus de McAfee que ponga en cuarentena al proceso svchost.exe de
los sistemas operativos Windows XP SP3, al confundirlo con el virus W32/Wecorl.a. Esta acción provoca que cuando se reinicie el equipo éste
entre en un bucle de reinicios consecutivos y vuelva a la máquina
inoperable
* Didier Stevens publica una técnica para ejecutar código en Adobe
Reader con solo abrir un archivo PDF especialmente manipulado sin
utilizar una vulnerabilidad en la implementación del programa...,
sino en la especificación PDF.
Mayo 2010:
* Se da a conocer un problema en Facebook que permite a cualquier
usuario visualizar el chat de sus amigos en tiempo real. El fallo,
fácilmente reproducible por cualquier usuario con unas pocas pulsaciones
de ratón, permitía visualizar las conversaciones que cualquiera de sus
amigos estuviera manteniendo en ese momento. Todo ello sin necesidad de
ningún conocimiento técnico ni escribir ninguna línea de código.
* Aza Raskin desvela un nuevo método de modificación de páginas en
pestañas del navegador que puede ser utilizado para realizar ataques
de phishing un poco más sofisticados. Está basado en una técnica con
JavaScript que permite modificar el aspecto de una página cuando no
tiene el "foco" de la pestaña del navegador. Aunque ingenioso, no es
realmente usado en ataques. Se le bautiza como Tabnabbing.
* Financial Times publica una noticia en la que se afirma que según
"varios empleados", en Google, están empezando a abandonar Windows en
sus escritorios por cuestiones de seguridad, motivadas probablemente por
el ataque que sufrió la compañía en enero. La decisión (y el titular) es
cuando menos discutible, porque en definitiva, el ataque en el que se
basó la operación "Aurora" fue un problema de políticas de seguridad de
Google, no de un sistema operativo u otro.
Junio 2010:
* El día 9 de junio, Tavis Ormandy (que trabaja para Google) hace
públicos todos los detalles de un fallo en el "Centro de soporte y ayuda
de Windows" que permite la ejecución de código con solo visitar una web
con cualquier navegador. Ofrece una prueba de concepto en una conocida
lista de seguridad. Alega que ha avisado a Microsoft cinco días antes,
que no se han puesto de acuerdo sobre los plazos y que considera que el problema es serio como para alertar a todos. Microsoft se ve obligada a publicar una alerta reconociendo el fallo, pero lógicamente, todavía sin parche. Poco después, para echar leña al fuego, Graham Cluley de Sophos, publica en su blog una entrada titulada "Tavis Ormandy, ¿estás contento? Páginas explotan el 0 day en Microsoft". Sophos descubre que la
industria del malware ya está aprovechando la información de Tavis para realizar ataques de forma masiva. Y empeoraría con el tiempo. Se reabre
el debate sobre la "divulgación responsable", que algunos ven como un
término avieso creado por las grandes marcas para hacer pensar que
cualquier otra vía de divulgación es necesariamente irresponsable.
* Un grupo de investigadores anónimos (y con mucho humor) forman el Microsoft-Spurned Researcher Collective, (un juego con el oficial
Microsoft's Security Response Center) que se supone se trata de una
formación que intenta encontrar vulnerabilidades en Windows y divulgar
todos los detalles sin avisar a Microsoft, con el único fin de vengarse
por el trato dado a Tavis. Google y Microsoft se acusan mutuamente. En
un intento de calmar ánimos, Microsoft decide cambiar el término
"responsible disclosure" por "coordinated disclosure" y la industria
lo acepta como nuevo estándar.
* Se descubre que UnrealIRCd, un popular servidor de código abierto de
IRC, está troyanizado y disponible desde la página oficial al menos
desde noviembre de 2009. Los atacantes reemplazan el código fuente de la versión para sistemas Unix/Linux, y la modificación pasa inadvertida
durante unos 8 meses. A raíz del incidente, comienzan a firmar su
código.
* Microsoft vuelve a poner la excusa de la "incompatibilidad" para dejar
sin un parche de seguridad a un producto al que todavía da "soporte
extendido". En este caso se trata de Office XP. La suite ofimática
aparecida en 2001, se queda sin el parche MS10-036, que corrige una vulnerabilidad que permite la ejecución de código. La razón oficial: incompatibilidad.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4449/comentar
Sergio de los Santos
ssantos@hispasec.com
Tal día como hoy:
-----------------
29/12/2009: Resumen de seguridad de 2009 (I)
http://www.hispasec.com/unaaldia/4084
29/12/2008: Resumen de seguridad de 2008 (I)
http://www.hispasec.com/unaaldia/3719
29/12/2007: Resumen de seguridad de 2007 (I)
http://www.hispasec.com/unaaldia/3353
29/12/2006: Resumen de seguridad de 2006 (I)
http://www.hispasec.com/unaaldia/2988
29/12/2005: Microsoft confirma la vulnerabilidad al procesar .WMF
http://www.hispasec.com/unaaldia/2623
29/12/2004: El jucio Tegam vs. Guillermito se celebrará el 4 de enero de 2005
http://www.hispasec.com/unaaldia/2258
29/12/2003: Vulnerabilidades en sistema de impresión de Solaris
http://www.hispasec.com/unaaldia/1891
29/12/2002: Publicación del número 60 de "Phrack"
http://www.hispasec.com/unaaldia/1526
29/12/2001: Vulnerabilidad "ettercap"
http://www.hispasec.com/unaaldia/1161
29/12/2000: Más problemas de seguridad en los "shell" Unix
http://www.hispasec.com/unaaldia/796
29/12/1999: Resumen de Bugtraq del 20-12-1999 al 26-12-1999
http://www.hispasec.com/unaaldia/428
29/12/1998: Vulnerabilidades en BIND
http://www.hispasec.com/unaaldia/63
-------------------------------------------------------------------
Claves PGP en
http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:
unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:
unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2010 Hispasec
http://www.hispasec.com/copyright
-------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (MingW32)
iQEcBAEBAgAGBQJNG+QIAAoJEI/UizGiFA4Ps88H/24L2YDwOJrRzOgvjk99IgeP 1/XytbihqxlAC1l73BC65/7zfc2AXhv63q4cWZ0SPX2qj1Eu5RR2hfkb7YONm4oI qKjrTg3L5so/U9JEc0zqd/r9dC5Lwa94q4A+8tBuDdlV/JWM1bFq+7LSXRuQxrNL PNHfcarMczDlIGUX9Xi5eAm+ZaufjcaRQyYjK48/3PcHP0XWBEPCrpVDUNbSsbhU PNoeyXFHTRcnvVzQ+tZgYFIVtOziwSAp+m0/+jHcmOqZs9ylBlkoeZ6wJKuChB4v 55hAd78UB3CbwQSypmoQ0C1V7aWCkyqIlLdIUY3cwuzL3tNOOkHWK6xBQRM8w2M=
=OE9R
-----END PGP SIGNATURE-----
-
A reveure!!
Enric
_____________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | fidonet.ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC
... Todo conocimiento comienza por los sentimientos. (Leonardo da Vinci)
--- crashmail + golded + binkd
* Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)