En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan diez boletines de seguridad. Afectan a toda la gama del sistema operativo Windows y Office. En principio, hablan de 34 vulnerabilidades.

Si en mayo se publicaron dos boletines de seguridad dentro del ciclo habitual, este mes Microsoft prevé publicar diez el próximo 8 de junio. Tres se consideran críticos (ejecución remota de código) y el resto importantes (elevación de privilegios o falsificación).

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Parece que Microsoft dará solución en esta tanda al problema de seguridad encontrado en SharePoint Server 2007 y Windows SharePoint Services 3.0. Hace pocas semanas, la empresa “High-Tech Bridge” publicó un fallo que afectaba a estos productos. Se trata de un cross-site scripting no persistente.

También corregirá un fallo reconocido en febrero por Microsoft (que previamente se había hecho público en la conferencia Black Hat DC 2010) en Internet Explorer. Existe un error de comprobación de permisos cuando se usa el protocolo “file:” que podría ser aprovechado por un atacante remoto para obtener datos del sistema a través de una pagina web especialmente manipulada. Al parecer se trata de un fallo complejo de resolver, según los propios descubridores, puesto que en años anteriores habían reportado vulnerabilidades parecidas, y Microsoft en ningún momento ha conseguido erradicar el problema por completo con los parches que ha ido publicando. Sin embargo, es necesario apuntar que el “modo protegido” en el que funcionan las versiones 7 y 8 por defecto en Vista, 7 y 2008, previene la explotación de la vulnerabilidad.

También se corrigen fallos en Office InfoPath, Excel Viewer.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Más Información:

Microsoft Security Bulletin Advance Notification for June 2010
http://www.microsoft.com/technet/security/bulletin/ms10-jun.mspx

La herramienta permite recuperar los datos y reiniciar el sistema

Si antiguamente los virus buscaban expandirse y solo algunos inutilizaban el sistema, los más modernos persiguen acabar con el PC una vez han exprimido todas sus posibilidades.

Así el usuario se encuentra que tras un periodo en el que el PC anda con extrema lentitud un día deja de funcionar ya que no puede iniciar el sistema operativo, corrompido por efecto de algún código malicioso.

Una solución para esta situación es recorrer a AVG Rescue CD. Una vez instalado en la ranura, se inicia el equipo y la herramienta examina todos los discos duros del equipo verificando si está contaminado con virus u otro tipo de malware.

En caso de que los problemas se deban a estos códigos maliciosos, intenta eliminarlos corrigiendo los sectores defectuosos y las entradas en el registro.

No lo soluciona todo pero es una excelente herramienta que en más del 50% de las ocasiones consigue revivir un equipo que ha dejado de funcionar.

AVG Rescue CD

Sistemas Afectados
Los sistemas afectados son:

• Mac OS X v10.5.8
• Mac OS X Server v10.5.8
• Mac OS X v10.6 hasta v10.6.2
• Mac OS X Server v10.6 hasta v10.6.2

Descripción
Apple ha publicado varias actualizaciones de seguridad que afectan a los sistemas operativos de Apple: Apple Mac OS X y Mac OS X Server.

Impacto
En función de la vulnerabilidad, los efectos provocados por la explotación de las vulnerabilidades podrían ser:

• Caída de la aplicación y posible ejecución remota de código.
• Desactivación de reglas del firewall tras un reinicio.
• Montar unidades compartidas AFP como invitado.
• Acceso a contenidos fuera de los sitios compartidos.
• Saltar las reglas de autenticación del Apache.
• Imposibilidad de actualizar el antivirus ClamAv.
• Ejecución de código Javascript.
• Conseguir privilegios de sistema.
• Ataques “man-in-the-middle” usando el comandos CUPS.
• Acceso a ficheros locales por parte de un atacante remoto.
• Conseguir derechos del usuario Cyrus
• Modificar el propietario de un fichero después de copiarlo.
• Recibir/enviar correo incluso cuando no está el usuario en la lista de control de acceso.
• Añadir sistemas a la lista del firewall.
• Saltarse la autenticación FreeRadius utilizando un certificado válido de su elección.
• Acceder a ficheros fuera del directorio raiz de servidor FTP.
• Terminación de la aplicación.
• Envio/recepción de mensajes sin que aparezcan registrados en el log
• Envío de datos de safarí que están en memoria a un sitio Web.
• Reglas asociadas a una cuenta eliminada, se siguen aplicando.
• Disminución del nivel de encriptación en un mensaje saliente.
• Acceso al sistema con una clave obsoleta.
• Eliminación de ficheros de su elección.
• Acceso no autorizado a un flujo de trabajo de Poscast Componser.
• Salto de las limitaciones de acceso al sistema desde la red.
• Acceso a información del Open Directory.
• Acceso no autorizado a la pantalla de compartición.
• Denegación de servicio.
• Acceso a información sensible del sistema.
• Falseado de un paquete firmado, puede aparece como no válido.

Solución
Actualizar el sistema operativo como se indica desde la página de actualización de Apple.

Detalle
Las actualizaciones de seguridad corrigen múltiples vulnerabilidades de varios componentes del sistema, que son:

• AppKit. Resuelta la vulnerabilidad CVE-2010-0056.
• Application Firewall. Solucionada la vulnerabilidad CVE-2009-2801.
• AFP Server. Se resuelven las vulnerabilidades CVE-2010-0057 y CVE-2010-0533.
• Apache Se ha solucionado la vulnerabilidad CVE-2009-3095.
• ClamAV. Resuelta la vulnerabilidad CVE-2010-0058.
• CoreAudio. Se han soluciona las vulnerabilidades CVE-2010-0059 y CVE-2010-0060.
• CoreMedia. Se resuelve la vulnerabilidad CVE-2010-0062.
• CoreTypes. Soluciona la vulnerabilidad CVE-2010-0063.
• CUPS. Resuelve la vulnerabilidad CVE-2010-0393.
• curl. Resueltas las vulnerabilidades CVE-2009-2417 y CVE-2009-0037.
• Cyrus IMAP. Afectado por la vulnerabilidad CVE-2009-2632.
• Cyrus SASL. Se soluciona la vulnerabilidad CVE-2009-0688.
• DesktopServices. Resuelve las vulnerabilidades CVE-2010-0064 y CVE-2010-0537.
• Disk Images. Afectado por las vulnerabilidades CVE-2010-0065 y CVE-2010-0497.
• Directory Services. Se soluciona las vulnerabilidad CVE-2010-0498.
• Dovecot. Se resuelve la vulnerabilidad CVE-2010-0535.
• Event Monitor. Solucionan la vulnerabilidad CVE-2010-0500.
• FreeRADIUS. Resuelta la vulnerabilidad CVE-2010-0524.
• FTP Server. Se soluciona la vulnerabilidad CVE-2010-0501.
• iChat Server. Se resuelven las vulnerabilidades CVE-2006-1329, CVE-2010-0502, CVE-2010-0503 y CVE-2010-0504.
• ImageIO. Afectado por las vulnerabilidades CVE-2010-0505, CVE-2010-0041, CVE-2010-0042 y CVE-2010-0043.
• Image RAW. Resueltas las vulnerabilidades CVE-2010-0506 y CVE-2010-0507.
• Libsystem. Se solucionan por la vulnerabilidad CVE-2009-0689.
• Mail. Estaba afectado por las vulnerabilidades CVE-2010-0508 y CVE-2010-0525.
• Mailman. Resuelve la vulnerabilidad CVE-2008-0564.
• MySQL. Afectado por las vulnerabilidades CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019 y CVE-2009-4030.
• OS Services. Soluciona la vulnerabilidad CVE-2010-0509.
• Password Server. Se resuelve la vulnerabilidad CVE-2010-0510.
• perl. Se solucionan las vulnerabilidades CVE-2008-5302 y CVE-2008-5303.
• PHP. Resuelve las vulnerabilidades CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4017, CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4142 y CVE-2009-4143.
• Podcast Producer. Solucionan la vulnerabilidad CVE-2010-0511.
• Preferences. Se resuelve por la vulnerabilidad CVE-2010-0512.
• PS Normalizer. Se soluciona por la vulnerabilidad CVE-2010-0513.
• QuickTime. Resuelven las vulnerabilidades CVE-2010-0062, CVE-2010-0514, CVE-2010-0515, CVE-2010-0516, CVE-2010-0517, CVE-2010-0518, CVE-2010-0519, CVE-2010-0520 y CVE-2010-0526.
• Ruby. Solucionan las vulnerabilidades CVE-2009-2422, CVE-2009-3009, CVE-2009-4214 y CVE-2009-1904.
• Server Admin. Estaba afectado por las vulnerabilidades CVE-2010-0521 y CVE-2010-0522.
• SMB. Solucionan la vulnerabilidad CVE-2009-2906.
• Tomcat. Se resuelven las vulnerabilidades CVE-2009-0580, CVE-2009-0033, CVE-2009-0783, CVE-2008-5515, CVE-2009-0781, CVE-2009-2901, CVE-2009-2902 y CVE-2009-2693.
• unzip. Se resuelve la vulnerabilidad CVE-2008-0888.
• vim. Solucionan las vulnerabilidades CVE-2008-2712, CVE-2008-4101 y CVE-2009-0316.
• Wiki Server. Resueltas las vulnerabilidades CVE-2010-0523 y CVE-2010-0534.
• X11. Se solucionaron las vulnerabilidades CVE-2009-2042 y CVE-2003-0063.
• xar. Resuelta la vulnerabilidad CVE-2010-0055.

La mayor parte de las vulnerabilidades están reservadas o bajo revisión, en el momento que se publiquen en el NIST e INTECO-CERT las traduzca, se pueden consultar en nuestra base de datos de vulnerabilidades.

Referencias

• Apple

Sistemas Afectados
Sistemas Microsoft Windows con el Adobe Download Manager instalado.

Descripción
Se ha actualizado el Adobe Download Manager para solucionar una vulnerabilidad crítica.

Impacto
La explotación de esta vulnerabilidad podría llegar a permitir descargar e instalar software no autorizado en el equipo.

Solución
Si somos vulnerables, debemos eliminar el servicio, desinstalar el programa y eliminar el directorio, para ello:

1. Hemos de detener el servicio getPlus(R) Helper, clic en Inicio, Ejecutar, escribimos “services.msc” y pulsamos intro, accedemos a la ventana de servicios, si aparece getPlus(R) Helper lo eliminamos.
2. Desinstalamos el Adobe Download Manager desde el Panel de Control, opción Añadir/Eliminar programas.
3. Eliminar completamente el directorio C:\Archivos de Programa\NOS

Detalle
Adobe, ha actualizado el Adobe Download Manager para solucionar la vulnerabildiad (CVE-2010-189).

Si hemos descargado Adobe Reader para Windows desde la página de descarga de Adobe Reader o Adobe Flash Player desde la página de descarga de Adobe Flash Player antes del 23/02/2010 tu sistema puede ser vulnerable, para comprobarlo, debemos buscar el directorio C:\Archivos de Programa\NOS, en caso de existir, nuestro equipo es vulnerable.

Referencias

• Security bulletin

Sistemas Afectados

• Ubuntu 6.06 LTS
• Ubuntu 8.04 LTS
• Ubuntu 8.10
• Ubuntu 9.04
• Ubuntu 9.10

Descripción
Se han publicado varias vulnerabilidades del kernel de linux que afectan a distintas versiones de Ubuntu. Ya están disponibles las actualizaciones para esas vulnerabilidades.

Impacto
Un atacante que explotara estas vulnerabilidades podría llegar a conseguir:

• Escalada de privilegios.
• Consumo elevado de tráfico de red.
• Fallos en el sistema de archivos.
• Permitir el acceso completo al sistema.

Solución
Si no se ha actualizado ya, actualizar el kernel del sistema, según la versión de ubuntu a la indicada por Canonical:

• Ubuntu 6.06 LTS a la versión 2.6.15-55.82
• Ubuntu 8.04 LTS a la versión 2.6.24-27.65
• Ubuntu 8.10 a la versión 2.6.28-17.45
• Ubuntu 9.04 a la versión 2.6.28-18.59
• Ubuntu 9.10 a la versión 2.6.31-19.56

NOTA: Se puede comprobar la versión del Kernell del sistema con el comando “uname -r” desde una consola.

Detalle
Las vulnerabilidades son:

• CVE-2009-4020
• CVE-2009-4021
• CVE-2009-4031
• CVE-2009-4138
• CVE-2009-4141
• CVE-2009-4308
• CVE-2009-4536
• CVE-2009-4538
• CVE-2010-0003
• CVE-2010-0006
• CVE-2010-0007
• CVE-2010-0291

Referencias

• Ubuntu
• The Inquirer.

Se ha anunciado algunas vulnerabilidades de seguridad en Sun Solaris 8, 9 y 10, que podría permitir a un atacante local provocar condiciones de denegación de servicio.

Las vulnerabilidades se deben a diversos errores en el demonio ldap_cachemgr que podrían causar la caída del demonio, lo que haría que en sistemas Solaris 9 y 10 no se acepten peticiones LDAP esto impediría que los usuarios puedan acceder a sistemas cliente LDAP. En Solaris 8 las peticiones LDAP funcionaran mucho más lento, y sin caché lo que también se puede considerar otra forma de denegación de servicio.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 9 instalar 112960-69 o superior desde:

http://sunsolve.sun.com/pdownload.do?target=112960-69&method=h

Solaris 10 instalar 127111-07 o superior desde:

http://sunsolve.sun.com/pdownload.do?target=127111-07&method=h

Para x86:
Solaris 9 instalar 114242-54 o superior desde:

http://sunsolve.sun.com/pdownload.do?target=114242-54&method=h

Solaris 10 instalar 127954-04 o superior desde:

http://sunsolve.sun.com/pdownload.do?target=127954-04&method=h

Para OpenSolaris
Solucionado en los sistemas basados en snv_78 o posterior.

Más Información:

Denial of Service Vulnerabilities in ldap_cachemgr(1M) Daemon
http://sunsolve.sun.com/search/document.do?assetkey=1-66-231402-1

Tras las malas críticas cosechadas con Windows Vista, Microsoft parece haber recuperado el terreno perdido con su nuevo sistema operativo, Windows 7, que a la fecha ya está instalado en más computadores que Mac OS.

De acuerdo con las cifras entregadas por Net Application que cita ComputerWorld, el último fin de semana, de todos los computadores conectados a Internet, poco más de un 5% de éstos tenía el nuevo sistema operativo de Microsoft.

En total, el 92,64% de los computadores con Internet utilizan Windows y el 5% alguno de la familia Mac OS de Apple.

Del 92,64% con alguna versión del sistema operativo de Microsoft, un 5,07% ya utiliza Windows 7.

La tendencia indica que muchos usuarios están pasando de Windows XP a 7 y aunque Vista se mantiene, se espera que pronto el volumen de usuarios de esa versión comiencen a utilizar el nuevo sistema de Microsoft.

Algunos de los portales que ofrecen la descarga Google Chrome SO son sólo un timo. Estas webs han introducido malware u otros códigos maliciosos, modificando el navegador para que redireccione a sus usuarios a páginas no oficiales que intentan cobrarles por una supuesta licencia.

El código introducido por los estafadores hace que los usuarios que busquen enlaces de donde poder descargar el código abierto de Chrome sean redireccionados directamente a páginas maliciosas que intentancn coaccionarles para que se descarguen una herramienta de limpieza del equipo por la que les cobrarían hasta cincuenta dólares.

Uno de los términos peligrosos a la hora de realizar las búsquedas sería, por ejemplo, “Descargar Chrome OS”, que hace a sus usuarios ir a a sites con scripts que redireccionan a dichos portales maliciosos.

Sistemas Afectados

• Oracle Database 9i, versiones 9.2.0.8, 9.2.0.8DV; 10g, versiones 10.1.0.5, 10.2.0.3, 10.2.0.4 y 11g, versiones 11.1.0.6 y 11.1.0.7.
• Oracle Application Server 10g versiones 10.1.2.3.0, 10.1.3.3.0 y 10.1.3.4.0
• Oracle Identity Management 10g, versiones 10.1.4.0.1, 10.1.4.2.0, 10.1.4.3.0
• Oracle E-Business Suite Release 11i, version 11.5.10.2, 12.0.6 y 12.1
• Oracle Enterprise Manager Database Control 11, version 11.1.0.6, 11.1.0.7
• Oracle Enterprise Manager Grid Control 10g Release 4, version 10.2.0.4
• PeopleSoft Enterprise PeopleTools versions: 8.49
• PeopleSoft Enterprise HRMS versions: 8.9 y 9.0
• Siebel Highly Interactive Client versions: 7.5.3, 7.7.2, 7.8, 8.0, 8.1
• Oracle WebLogic Server 7.0 hasta 7.0 SP7, 8.1 hasta 8.1 SP6, 9.0 GA, 9.1 GA, 9.2 hasta 9.2 MP3, 10.3 y 10.0MP1
• Oracle Complex Event Processing 10.3 y WebLogic Event Server 2.0
• Oracle JRockit R27.6.3 y earlier (JDK/JRE 6, 5, 1.4.2)

Descripción
Oracle ha publicado una serie de actualizaciones de seguridad para sus productos que solucionan 38 vulnerabilidades.

Impacto
Varía en función del producto, en algunos de ellos el impacto es crítico ya que las vulnerabilidades son explotables en remoto sin necesidad de autenticación, es decir, son explotables desde Internet sin necesidad de facilitar ningún nombre de usuario y contraseña; sin embargo, para otros productos el impacto es menor ya que las vulnerabilidades no pueden ser explotadas en remoto sin autenticación.

Solución
Actualizar los productos de Oracle que tenga instalados. Debido a que varias de los problemas solucionados son críticos, se recomiendo actualizar el sistema en la mayor brevedad posible.

Puede hacerlo desde la página de actualizaciones de Oracle

Detalle
Los problemas solucionados para cada producto son:

Oracle Database

Esta actualización soluciona 16 vulnerabilidades. Seis de ellas son explotables de forma remota sin necesidad de autenticación, una de ellas es aplicable a instalaciones del cliente Oracle.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización son:

• Advanced Queuing (CVE-2009-1995)
• Application Express (CVE-2009-1993)
• Authentication (CVE-2009-1997, CVE-2009-2000)
• CORE RDBMS (CVE-2009-1992)
• Data Mining (CVE-2009-1007)
• Net Foundation Layer (CVE-2009-1965)
• Network Authentication (CVE-2009-1979, CVE-2009-1985)
• Oracle Spatial (CVE-2009-1994)
• Oracle Text (CVE-2009-1991)
• PL/SQL (CVE-2009-2001)
• RDBMS Data Pump (CVE-2009-1971)
• Workspace Manager (CVE-2009-1018, CVE-2009-1964)

De estos componentes solo el uno de ello tiene una CVSS Base Score de 10.0 en plataforma Windows y 7.5 en otras plataformas.

Oracle Application Server

Esta actualización soluciona 3 vulnerabilidades, de las cuales, dos de ellas pueden ser explotables de forma remota sin necesidad de autenticación.

Los componentes afectados de vulnerabilidades para este producto son:

• Oracle Business Intelligence Enterprise Edition (CVE-2009-1999, CVE-2009-1990)
• Oracle Portal (CVE-2009-3407)

En estos componentes la mayor puntuación CVSS Base Score es de 4.3.

Oracle E-Business Suite and Applications

Esta actualización soluciona 8 vulnerabilidades, de las cuales cinco, pueden ser explotables de forma remota sin necesidad de autenticación.

Los componentes afectados de vulnerabilidades para este producto son:

• Agile Engineering Data Management (EDM) (CVE-2009-3392)
• AutoVue (CVE-2009-3395)
• Oracle Advanced Benefits (CVE-2009-3400)
• Oracle Application Object Library (CVE-2009-3393, CVE-2009-3397)
• Oracle Applications Framework (CVE-2009-3402)
• Oracle Applications Technology Stack (CVE-2009-3401)

En estos componentes la mayor puntuación CVSS Base Score es de 5.5.

Oracle Application Server

Esta actualización soluciona 4 vulnerabilidades, ninguna de ellas pueden ser explotadas de forma remota sin necesidad de autenticación.

Los componentes afectados de vulnerabilidades para este producto son:

• JD Edwards Tools (CVE-2009-3406, CVE-2009-3405)
• PeopleSoft Enterprise HCM (TAM) (CVE-2009-3406)
• PeopleSoft PeopleTools & Enterprise Portal (CVE-2009-3404)

En estos componentes la mayor puntuación CVSS Base Score es de 4.1.

Oracle BEA Products

Esta actualización soluciona 6 vulnerabilidades, ninguna de ellas puede ser explotada sin autenticación.

Los componentes afectados de vulnerabilidades para este producto son:

• Oracle JRockit (CVE-2009-2625, CVE-2009-3403, CVE-2009-0217)
• Oracle WebLogic Portal (CVE-2009-2002)
• Oracle WebLogic Server (CVE-2009-3396, CVE-2009-3399)

En estos componentes la mayor puntuación CVSS Base Score es de 10.0.

Oracle BEA Products

Esta actualización soluciona una vulnerabilidad, la cual no puede ser explotada de forma remota.

El componente afectado por la vulnerabilidad es:

• Oracle Communications Order and Service Management (CVE-2009-1988)

La puntuación CVSS Base Score de esta vulnerabiliadad es de 4.9.

Para ampliar la información consultar el aviso de Oracle (Apartado de Referencias).

Para consultar las vulnerabilidades (por CVE) se puede hacer, según su estado:

• Buscado de CVEs del MITRE para candidatas aún no aceptadas.
• Buscador de vulnerabilidcades de INTECO-CERT. Cuando se han aceptado.

Referencias

• Oracle Critical Patch Update Advisory.

Kroll Ontrack ha presentado Ontrack Eraser Degausser, que se incluirá en el paquete de soluciones Ontrack Eraser. Se trata de un mecanismo de hardware que utiliza campos magnéticos de gran potencia para destruir, de forma segura, todo rastro de información almacenada en un soporte defectuoso o en soportes cuya vida útil ha finalizado.

La gama Ontrack Eraser, constituida por software de borrado, servicios y hardware de borrado, es un conjunto de soluciones para el borrado de información y las necesidades de desecho.

Ontrack Eraser Degausser en su capacidad máxima llega a generar un campo magnético de 18.000 gauss (unidades de densidad de flujo magnético), con lo que el soporte queda totalmente borrado (al 100%) en unos segundos. Este enorme campo electromagnético, supera los niveles de la variable oersted de los diferentes soportes magnéticos y los niveles gauss recomendados por los fabricantes para garantizar un borrado de datos completo.

“El borrar sin más los archivos de los soportes en los que están almacenados no es suficiente para asegurar que la información confidencial o secreta no caiga en manos de personas no autorizadas a manejarla”, comentaba Nicholas Green, Director de Kroll Ontrack, España.

Fuente: Kroll Ontrack.