Bueno estas son noticias de seguridad informatica mas q nada
espero q les guste y bueno hasta pronto



::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Seguridad Informatica

26/02/2009
Adobe al más puro estilo Microsoft: parche no oficial para Acrobat Reader
-------------------------------------------------------------------------

Puesto que Adobe decidió "esperar" varias semanas para solucionar un
grave problema de seguridad, ya ha aparecido un parche no oficial
programado por un tercero. Esta era una parcela que hasta ahora se creía
reservada para el sistema operativo Windows. Adobe Reader está cada vez
más en el punto de mira de la industria del malware, como buen vehículo
para instalar troyanos en el sistema sin que el usuario lo perciba. Ha
protagonizado una nueva ola de ataques y Adobe sigue sin responder
correctamente, sin experiencia en ser el centro de atención. ¿Sabrá
esquivar los golpes que pueden llegarle en los próximos años?

Symantec y Shadowserver dieron la voz de alarma a mediados de febrero:
una nueva vulnerabilidad de Acrobat estaba siendo aprovechada para
instalar malware. Poco después Adobe publica una nota oficial en la que
reconoce el fallo, pero afirma que lo solucionará el 11 de marzo e
incluso más tarde para las ramas más veteranas del producto. No publica
más información, ni contramedidas, ni consejos, ni alcance... nada.

Se creía que se trataba de un ataque dirigido, minoritario, hasta que
un par de días después, se hace público un exploit capaz de aprovechar
el fallo. Ahora, más que nunca, es de dominio público y Adobe deja
desprotegidos a sus usuarios ante una amenaza más que palpable.
SourceFire (dueños del IDS snort) ha tenido mucho que ver en esto.
Publicaron el día 20 los detalles de la vulnerabilidad y fue cuestión
de tiempo que apareciera un exploit. SourceFire se justifica diciendo:
"la vulnerabilidad está siendo aprovechada desde principios de enero.
Preferimos que la gente esté protegida".

Mientras, SourceFire publica un parche no oficial para solucionar el
problema. Tal y como ha ocurrido en otras ocasiones con Microsoft,
investigadores privados se adelantan y son capaces de mitigar el
problema en cuestión de días. Bien es cierto que estos parches no tienen
ningún tipo de garantía, y que no han superado las pruebas de calidad y
compatibilidad a las que los suelen someter las empresas oficiales.
Hasta ahora, los parches no oficiales habían sido, casi en exclusiva,
algo de Windows y Microsoft, cuando se le acusaba de no solucionar a
tiempo graves problemas de seguridad.

Brian Krebs preguntó al director de seguridad de Adobe por qué no habían
incluido información en su alerta para mitigar el problema, como por
ejemplo, recomendar el deshabilitar JavaScript. La respuesta fue que
deshabilitar JavaScript no atacaba la raíz del problema. Poco después
la alerta oficial fue actualizada para incluir la recomendación. Adobe
además, ha publicado esta semana un parche para Flash Player que
soluciona un grave problema de ejecución de código.

Adobe se ha visto envuelta en un episodio del que normalmente no es
protagonista, un incidente al que nos tenía (y a veces, nos tiene) más
acostumbrado Microsoft. Y quizás debería aprender de quien ha recibido
incontables reveses al respecto. No es la primera vez que Adobe no
reacciona convenientemente antes un grave fallo de seguridad. Aunque es
un software tremendamente popular, parece no tener experiencia a la hora
de ofrecer unos boletines de seguridad completos, fiables, puntuales y
con información útil sobre las vulnerabilidades. Esa información es muy
necesaria para que un administrador de una gran empresa que gestione
cientos de máquinas pueda lidiar con el problema hasta que se publique
una solución.

Microsoft, con más de 15 años siendo el centro de atención del malware,
ha superado a marchas forzadas ciertos aspectos, ofreciendo normalmente
información detallada sobre las vulnerabilidades, contramedidas más o
menos eficaces, etc. Dispone de un equipo de respuesta a incidentes que
aunque no es perfecto, cumple holgadamente su función. Una de las
máximas de muchas compañías es no invertir en soluciones para problemas
que no existen. Cuando el problema se presenta de repente (aunque no es
el caso, venimos anunciando que Adobe es carne de malware desde hace
tiempo), entonces las reacciones no son las deseadas.

En el hipotético caso de que Microsoft pierda protagonismo y otros
programas se conviertan en menor medida en centro de atención del
malware, cuando los atacantes fragmenten y diversifiquen sus
objetivos... ¿estarán preparados para encajar este golpe el resto
de "candidatos"?

Más información:

Homebrew patch for Adobe AcroReader 9
http://vrt-sourcefire.blogspot.com/2009/02/homebrew-patch-for-adobe-acroreader-9.html

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
informatica

27/02/2009
Vulnerabilidad crítica en Excel podría estar siendo explotada desde
hace dos meses

-------------------------------------------------------------------

El pasado 24 de febrero, Microsoft reconoció en una nota oficial que
estaban investigando la existencia de una nueva vulnerabilidad en Office
Excel que podría permitir la ejecución remota de código si un usuario
abre un archivo Excel especialmente manipulado.

La vulnerabilidad, de la que se han dado pocos detalles, estaría causada
por una referenciación a un objeto no válido al abrir un documento
Excel, lo que podría permitir la ejecución de código. Si el usuario
abriese el archivo con permisos de administrador, el atacante podría
tomar completo control del sistema afectado.

De acuerdo con la nota de Microsoft, la vulnerabilidad estaría siendo
explotada en "ataques limitados a objetivos concretos" y no de forma
masiva. Esta información coincide con la apuntada por Vincent Weafer
(vicepresidente del equipo de respuestas de seguridad de Symantec),
afirmando que el fallo estaba siendo aprovechado para comprometer
sistemas en Asia, principalmente en oficinas gubernamentales y de
grandes corporaciones.

Microsoft ha confirmado que los siguientes productos y versiones están
afectados por la vulnerabilidad, pasando a ser objetivos de ataque:

Microsoft Office Excel 2000 Service Pack 3
Microsoft Office Excel 2002 Service Pack 3
Microsoft Office Excel 2003 Service Pack 3
Microsoft Office Excel 2007 Service Pack 1
Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2003 Service Pack 3
Microsoft Office Excel Viewer
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007
File Formats Service Pack 1
Microsoft Office 2004 for Mac
Microsoft Office 2008 for Mac


Dada la amplia gama de productos afectados, se recomienda
encarecidamente no abrir archivos Excel de dudosa procedencia. Como
se puede apreciar, Office para Mac también está entre las versiones
vulnerables, por lo que estas precauciones se hacen extensibles a los
usuarios de la suite ofimática sobre sistemas operativos de Apple.

En la entrada titulada "Detection Added For The New 0-day In Excel" del
blog de investigación y respuesta ante amenazas del Microsoft Malware
Protection Center se añade algo de información adicional. Se especifica
que los archivos maliciosos se usarían como 'droppers', encargados de
descargar e instalar otro tipo de malware, y además se proporciona una
pequeña lista con los hashes SHA1 de algunos de los archivos que
contienen el exploit. Serían estos:

46181cf01e08b1760cecac95bbd486dd3b808988
6605bf6aee31f0cb2370d684aa32e5a588d4aaf4
675b12b1e50c9463576061cf5181a3f58dc30e59
7fe5481b1edc4df99488f5cc0f65f70fa35978d6
968ad6a8259ddf5f9705fef2ba2eaa3b63b1626f


Haciendo una búsqueda del primer hash en VirusTotal.com se puede
apreciar que dicho archivo fue enviado y analizado por primera vez el
pasado 26 de diciembre. Dato indicativo de que una primera versión del
exploit podría estar siendo utilizada desde hace más de dos meses.

En ese momento era detectado por 6 de los 39 motores de VirusTotal. Si
realizamos ahora el análisis de la misma muestra la cosa no ha cambiado
mucho. A los 6 motores que lo detectaban entonces se ha sumado otro más,
el de Microsoft, que lo identifica con una firma específica
(Exploit:Win32/Evenex.gen).

Todavía no se sabe cuando estará disponible una actualización de
seguridad para Excel. Es posible que vea la luz el próximo martes día
10 de marzo cumpliendo con el ciclo de actualizaciones de seguridad
programadas por Microsoft. Aunque dada la importancia del fallo, cabe la
posibilidad de que se publique como actualización independiente y fuera
del ciclo.

Como contramedida, Microsoft recomienda la utilización de MOICE para
Office 2003 y 2007 (Microsoft Office Isolated Conversion Environment, es
decir, Entorno aislado de conversión de Microsoft Office) para abrir los
archivos no confiables. MOICE convertiría los documentos binarios de
Office a un nuevo formato XML abierto, mecanismo para que los clientes
preprocesen los documentos binarios de Office potencialmente no seguros.

También se recomienda, cuando sea posible, el uso de otras suites
ofimáticas como OpenOffice, para abrir los archivos no confiables
o de dudosa procedencia.


Más información:

Microsoft Security Advisory (968272): Vulnerability in Microsoft Office Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/968272.mspx

Trojan.Mdropper.AC
http://www.symantec.com/security_response/writeup.jsp?docid=2009-022310-4202-99&tabid=1

Microsoft Malware Protection Center - Threat Research & Response Blog:
Detection Added For The New 0-day In Excel
http://blogs.technet.com/mmpc/archive/2009/02/25/detection-added-for-the-new-0-day-in-excel.aspx

VirusTotal.com (26/12/2008 - SHA1: 46181cf01e08b1760cecac95bbd486dd3b808988)
http://www.virustotal.com/analisis/fab147fe0e294c4eceb43961324d7fbd

Descripción de la actualización del Entorno aislado de conversión de Microsoft Office (MOICE)
http://support.microsoft.com/kb/935865
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
virus

28/02/2009
Elevación de privilegios en IBM AIX
-----------------------------------

Se ha anunciado una vulnerabilidad en IBM AIX 5.3 por la que un usuario
local podrá elevar sus privilegios en los sistemas afectados.

El problema reside en "pppdial", de forma que si un usuario local envía
una cadena de más de 4.000 caracteres provocará un desbordamiento de
búfer que puede permitir la ejecución de comandos en los sistemas
afectados y la consiguiente elevación de privilegios.

IBM ha publicado la actualización necesaria para corregir este problema,
con los APARS IZ44199, IZ44220, IZ44332, IZ44388.


Más información:

IZ44199: pppdial buffer overflow vulnerability
http://www-01.ibm.com/support/docview.wss?uid=isg1IZ44199

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Tecnico

01/03/2009
¿Aprende Conficker más rápido que los internautas?
--------------------------------------------------

Enésima versión de Conficker (en este caso llamada B++ por algunas
casas) que salta a los sistemas (y a los medios). Se trata del azote
vírico del año, en un paralelismo sorprendente en muchos aspectos con lo
que se dio en llamar el "Storm worm" y que se convirtió en la pesadilla
de todo 2007 y parte de 2008. Los niveles de infección de Conficker
siguen al alza, quedando ya lejos aquella primera versión que solo
aprovechaba una vulnerabilidad de Microsoft. ¿Acaso no hemos aprendido
nada? ¿Puede presentarse otro malware de manual y evolucionar
exactamente de la misma forma que uno que ya sufrimos hace dos años?

Conficker comenzó aprovechando una vulnerabilidad de Windows en uno de
sus servicios (corregido en octubre, en el boletín MS08-067), al más
puro estilo Blaster. Un gusano de libro, a la antigua usanza. Con estas
bases, sorprendentemente se popularizó en noviembre de 2008. Pero no fue
hasta que enriqueció su estrategia de infección, cuando realmente los
medios se fijaron en él. Desde diciembre, comienza a copiarse a las
unidades mapeadas en el sistema y, sobre todo, en los dispositivos
extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque
automático para poder ejecutarse en la siguiente víctima. Con este doble
enfoque, consigue dar el salto desde las redes internas desprotegidas
(donde aparentemente tiene más posibilidades de propagarse) hacia
cualquier otro sistema externo, y esparcirse así en redes en principio
"a salvo" gracias al cortafuegos (su verdadero enemigo). Su relativo
éxito anima a medios y casas antivirus a lanzar una alerta "palpable",
de las que hacía años que no se emitían, como cuando se alertaba sobre
virus concretos de propagación masiva.

Sobre esta base de infección y "cuota de mercado", Conficker comienza a
evolucionar hacia lo que es hoy en día el malware: ya no es sólo que el
Conficker mute con nuevas versiones, sino que se ha convertido en un
complejo sistema multi-modular que se ayuda de servidores comprometidos
o no y una flexibilidad que permite que sus métodos de infección mejoren
cada poco tiempo. Conficker evoluciona así desde un gusano tradicional
hacia un complejo sistema perfectamente orquestado, cambiante y eficaz.
Del primer Conficker apenas queda el nombre. Conficker es ahora una gran
familia.

Si miramos atrás, "Storm Worm" o "Storm Virus" se popularizó a finales
de 2006 como malware de rápida distribución que infectó a millones de
sistemas Windows. Al principio, se propagaba de la forma más "burda"
posible: un ejecutable a través de spam. Esta técnica, que se creía
superada, provocó que muchos usuarios lo ejecutasen y quedasen
infectados. Como Conficker, triunfó a pesar de usar técnicas de
infección muy poco novedosas. Como con Conficker, los medios se fijaron
en él precisamente por su simplicidad, por suponer un virus reconocible
por los usuarios medios y poder usarlo de cabeza de turco como años
atrás. Y así fue naciendo la botnet más grande que se ha conocido. Con
una infraestructura de sistemas que crecía cada día, Storm Worm sentó
las bases de un ejército de equipos infectados. Como Conficker, los
atacantes comenzaron a mejorar su propio código, y de qué manera. A los
pocos meses se propagaba a través de técnicas mucho más sofisticadas.
Las máquinas infectadas se usaron para enviar spam (en cantidades
industriales) en campañas espaciadas en el tiempo, cada una más
virulenta que la anterior, que no hacían más que realimentar el número
de sistemas infectados... Y Storm Worm se convirtió en una pesadilla de
decenas de archivos que mutaban y cambiaban cada minuto, muchos datos
robados, poco ratio de detección, e infinidad de basura en la bandeja de
entrada.

¿Será Conficker tan persistente como lo llegó a ser Storm, con más de un
año como número uno en infecciones? ¿Es que no hemos aprendido nada?
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
seguridad

02/03/2009
Actualización de múltiples paquetes para SuSE Linux
---------------------------------------------------

SuSE ha publicado una actualización para múltiples paquetes de diversos
productos SuSE Linux que corrigen numerosos problemas de seguridad.
De forma resumida, las vulnerabilidades son:

* Se ha corregido un error en el servidor dhcp a través del parámetro
'dhcp-max-message-size' que podría ocasionar un desbordamiento de
enteros. Esto podría ser aprovechado por un atacante para causar una
denegación de servicio.

* Se ha corregido un error en la validación del valor devuelto por la
función de 'EVP_VerifyFinal' de OpenSSL. Esto podría ser aprovechado por
un atacante remoto para evadir restricciones de seguridad a través de
certificados de seguridad especialmente manipulados.

* Se ha corregido un error en el servidor squid en los archivos
'httpmsg.c' y 'httpstatusline.c' a través de una solicitud HTTP con un
número de versión no válido que podría ser aprovechada por un atacante
remoto para causar una denegación de servicio.

* Se han corregido múltiples denegaciones de servicio en el programa
wireshark a través de ficheros que contengan datos del tipo 'NetScreen',
al leer ficheros de capturas 'Tektronix 12' y al leer la variable 'HOME'
con información especialmente manipulada.

* Se ha corregido un error en la librería libpng a través de archivos
'png' especialmente manipulados. Esto podría ser aprovechado por un
atacante para ejecutar código arbitrario.

* Se ha corregido un error en pam_mount que podría ser aprovechado por
un atacante para llevar acabo ataques basados en enlaces simbólicos y
acceder a información sensible.

* Se ha corregido un error en enscript en la función
'recognize_eps_file' localizada en el fichero 'src/psgen.c' y en la
función 'tilde_subst function' localizada en el fichero 'src/util.c' a
través de direcciones de nombres especialmente largas que podrían causar
un desbordamiento de memoria intermedia. Esto podría ser aprovechado por
un atacante remoto para ejecutar código arbitrario.

* Se ha corregido un error en eID-belgium al no chequear correctamente
los valores de la función 'OpenSSL EVP_VerifyFinal', esto podría
permitir a un atacante remoto eludir la validación de certificados
SSL/TSL.

* Se ha corregido varios errores en gstreamer-0_10-plugins-good que
podría provocar un desbordamiento de memoria intermedia. Esto podría ser
aprovechado por un atacante para ejecutar código arbitrario.

Se recomienda actualizar a través de las herramientas automáticas YoU
(Yast Online Update).



Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2009:005
http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00000.html


::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Seguridad Informatica

03/03/2009
La nueva versión de Opera soluciona tres vulnerabilidades y añade
soporte DEP y ASLR

-----------------------------------------------------------------

La nueva versión de Opera, 9.64 soluciona tres vulnerabilidades. Además,
la versión para Windows añade dos características destinadas a mitigar
el impacto de los problemas de seguridad que puedan surgir en el futuro.

Opera ha publicado la versión 9.64 para corregir tres vulnerabilidades.
No se han dado muchos detalles sobre los problemas. Solo se sabe que una
de ellas es grave y está relacionada con la forma en la que el navegador
procesa ficheros de imágenes en formato JPEG. Este fallo podría permitir
la ejecución de código arbitrario.

Para las otras dos vulnerabilidades, se darán detalles más adelante,
según Opera Software. Se ha incluido además otras mejoras relacionadas
con el rendimiento y la estabilidad y se han corregido otros problemas
en general.

Para la versión de Windows del navegador, además se han añadido un par
de funcionalidades interesantes. Soporte para DEP y ASLR.

DEP es una funcionalidad de Windows que significa Data Execution
Prevention y su objetivo es evitar en la medida de lo posible que las
vulnerabilidades del software deriven en ejecución de código. Si se
tiene un procesador compatible, no permitirá que zonas de memoria
dedicadas a datos sean usadas para ejecutar código.

Si no, se activa el DEP propio de Windows, que protege de otra forma. Si
un software es compatible con DEP (como es ahora el caso de Opera) y
realiza una excepción (una operación inválida), se comprueba que la
excepción está "documentada" y registrada en una tabla localizada en el
propio fichero. Se trata de una especie de manejador de excepciones a
nivel de sistema operativo. Si el software no es compatible DEP
comprueba que al menos la zona de memoria donde se maneja la excepción
está marcada como ejecutable por el programa. Sería muy sospechoso que
un programa realizara una excepción y fuese a parar a una zona no
marcada como ejecutable.

En cualquier caso, DEP debe estar activado en el sistema para que los
programas que sean compatibles lo aprovechen (disponible a partir de XP
SP2).

ASLR sólo está disponible de serie en Windows Vista. Los ejecutables, a
través de un cambio en su cabecera, pueden aprovecharse de esta
funcionalidad y cargarse en zonas de memoria diferentes cada vez que son
ejecutados. De esta forma, para un atacante es mucho más complicado
conocer las zonas de memorias donde ha inyectado código y llamarlas para
su ejecución.


Más información:

Download Opera browser:
http://www.opera.com/download/

Opera Changelog:
http://www.opera.com/docs/specs/presto211/
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
informatica

04/03/2009
a nueva versión de Firefox corrige otras ocho vulnerabilidades
(Thunderbird, olvidado)

---------------------------------------------------------------

Apenas un mes después de corregir seis vulnerabilidades con la última
3.0.6, Mozilla lanza la nueva versión 3.0.7 de su navegador Firefox que
soluciona otros ocho fallos de seguridad. Seis de ellos críticos.

La nueva versión de Firefox soluciona ocho vulnerabilidades aglutinadas
en cinco boletines. Tres de estos boletines tienen carácter crítico
(permite ejecución remota de código con solo visitar una página web),
uno es considerado de alto riesgo y uno de carácter bajo.

Específicamente, cada boletín:

* Un problema de falsificación de URL usando caracteres de control
invisibles.
* Se ha actualizado la librería PNG para solucionar riesgos de seguridad
con la memoria.
* Riesgo de robo de datos a través de RDFXMLDataSource.
* Un problema con el recolector de basura podría permitir ejecución de
código.
* Múltiples problemas de corrupción de memoria con evidencias de
posibilidad de ejecución de código.

Estos fallos, como de costumbre, también afectan al cliente de correo
Thunderbird y SeaMonkey. Para los usuarios de Thunderbird, solo queda
deshabilitar JavaScript para intentar mitigar solo algunos de estos
problemas, o bien lanzarse a buscar las versiones en pruebas en los
servidores FTP de la fundación Mozilla.

Mozilla todavía no ha corregido las anteriores vulnerabilidades
aparecidas en febrero y que se supone deberían haber sido solucionadas
con la versión 2.0.0.20 de Thunderbird. Incluso un mes después todavía
no está disponible para descarga desde el sitio oficial (sigue la
2.0.0.19 disponible desde finales de diciembre). Ahora, anuncia que en
una futura versión 2.0.0.21 (para la que no se indica fecha) se
solucionarán también esta tanda de problemas.

Más información:

Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
virus

05/03/2009
¿Existen programas sin fallos de seguridad?
-------------------------------------------

Ante esa pregunta, a muchos se nos viene a la cabeza automáticamente
el servidor de correo qmail y el servidor DNS djbdns, ambos de código
abierto. En realidad, si existiese algo parecido, probablemente serían
estos dos programas. Su autor D. J. Bernstein ofreció hace más de diez
años 500 dólares a quien encontrara un fallo de seguridad en qmail y
1.000 a quien lo encontrara en djbdns. El día 3 de marzo Bernstein
reconocía una pequeña vulnerabilidad en su servidor DNS y ha premiado
con 1000 dólares a Matthew Dempsky.

D. J. Bernstein programó a mediados de los noventa, qmail y djbdns
con la seguridad siempre en mente. Precisamente, estaba harto de
vulnerabilidades en sus homónimos Sendmail y BIND, dos pesos pesados de
Internet que sufrían de enormes agujeros de seguridad cada muy poco
tiempo por aquel entonces. Como alternativa, creó estos servidores
siguiendo unas premisas muy sencillas en las que se premiaba por encima
de todo la seguridad y simplicidad. Estaba tan seguro de su trabajo que
ofreció una recompensa económica a quien encontrara fallos en su
software. Hoy en día es habitual que premien económicamente a los que
encuentran fallos de seguridad, pero por entonces, era una especie de
osadía. Para Bernstein se convirtió en su garantía de seguridad. Nunca
se pensó que pasarían tantos años hasta que alguien pudiese hacerse con
el premio.

Matthew Dempsky se ha llevado 1.000 dólares por encontrar un pequeño
fallo de seguridad en djbdns. Bajo circunstancias bastante atípicas, un
atacante podría controlar entradas de caché almacenadas para un domino.
Dempsky demuestra así que, por pequeño que sea, es posible encontrar
problemas de seguridad en cualquier programa. Más que los 1.000 dólares
que se ha embolsado (hoy en día pagan mucho más por descubrir cualquier
otro fallo, probablemente más sencillo de encontrar en otros programas)
se lleva la satisfacción de haber sido el primero en romper la garantía
de seguridad de Bernstein.

Parece que si realmente se pone empeño y se sabe lo que se está
haciendo, es posible crear un software con muy pocos problemas de
seguridad. Cuando en agosto de 2008 Kaminsky descubre un fallo de
seguridad en la implementación del protocolo DNS que afectó a la inmensa
mayoría de fabricantes y programadores de servidores DNS, djbdns no
necesitó actualización. Bernstein había añadido deliberadamente una
mayor entropía a sus cálculos, e implementó su servidor de forma que no
se vio afectado por este problema casi "universal" mucho antes de que
pillara por sorpresa al resto.

Por desgracia, no abunda el ejemplo. Aunque hay que decir que Bernstein
no suele añadir funcionalidades a sus servidores ni ofrece versiones
nuevas habitualmente. Su código es el que es prácticamente desde que fue
escrito. No es viable trasladar este modelo ni sus circunstancias a
otros programas más complejos o comerciales, donde muchas otras
presiones están por encima de la de crear código a prueba de balas.
Bernstein ha publicado un pequeño parche para solucionar el problema
encontrado por Dempsky y ofrece de nuevo la garantía de seguridad:
pagará con 1.000 dólares a quien encuentre otro fallo en su servidor
DNS.

Qmail sigue imbatido hasta la fecha. El servidor djbdns no deja de ser
uno de los programas más fiables y seguros por este fallo. En realidad,
el hecho de que se haya encontrado una vulnerabilidad en él, demuestra
sobre todo que existe gente como Bernstein verdaderamente buena
programando, que existen investigadores como Dempsky capaces de
encontrar fallos en cualquier código, que no hay software sin
vulnerabilidades... pero sobre todo, que Bernstein es un hombre de
palabra.


Más información:

djbdns<=1.05 lets AXFRed subdomains overwrite domains
http://article.gmane.org/gmane.network.djbdns/13864
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Tecnico

06/03/2009
Microsoft publicará tres boletines de seguridad el próximo martes
-----------------------------------------------------------------

En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan tres boletines de
seguridad. Las actualizaciones afectarían únicamente a su sistema
operativo Windows. Parece que no han llegado a tiempo para parchear la
grave vulnerabilidad en Excel que está siendo aprovechada por atacantes
y que fue reconocida por Microsoft a finales de febrero.

Si en febrero se publicaron tres boletines de seguridad, este mes
Microsoft prevé publicar de nuevo tres actualizaciones el martes 10 de
marzo. Las tres dedicadas a Windows. Una alcanza la categoría de
crítica, mientras que las otras dos están catalogadas como importantes.
A Windows Vista y XP solo le afectan dos de ellas.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una
actualización para Microsoft Windows Malicious Software Removal Tool.
Además, se publicarán actualizaciones de alta prioridad no relacionadas
con la seguridad.

Parece que Microsoft no corregirá en esta tanda de parches el grave
problema de seguridad encontrado en su hoja de cálculo Excel. El pasado
24 de febrero, Microsoft reconoció en una nota oficial que estaban
investigando la existencia de una nueva vulnerabilidad en Office Excel
que podría permitir la ejecución remota de código si un usuario abre un
archivo Excel especialmente manipulado.

La vulnerabilidad, de la que se han dado pocos detalles, estaría causada
por una referenciación a un objeto no válido al abrir un documento
Excel, lo que podría permitir la ejecución de código. Si el usuario
abriese el archivo con permisos de administrador, el atacante podría
tomar completo control del sistema afectado. Desde Symantec se afirma
que el fallo está siendo aprovechado para comprometer sistemas en Asia,
principalmente en oficinas gubernamentales y de grandes corporaciones.

Como es habitual, cada boletín podrá contener un número indeterminado de
correcciones de seguridad y hay que señalar que, en cualquier caso, el
adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín
información detallada sobre los nuevos parches.

Más información:

Microsoft Security Bulletin Advance Notification for March 2009
http://www.microsoft.com/technet/security/Bulletin/MS09-mar.mspx


::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

seguridad

----•(-•5ΘUL ||V||45Ŧ3R•-)•----