Entradas de Abril 2009
Nuevamente han surgido problemas de seguridad alrededor del manejo de protocolo y navegadores Web esta vez con Google Chrome y con Internet Explorer de Microsoft.
Según un boletin de advertencia del equipo de Google Chrome, hay un error en el manejo de URLs con el protocolo chromehtml: que podría permitir a un atacante ejecutar scripts de su elección en cualquier página o listar los archivos del disco local bajo ciertas condiciones.
[ Vea: Hallan falla de inyección de comantos en IE: O ¿es en Firefox? ]
La falla:
- Si un usuario tiene instalado Google Chrome, visita una página web, controlada por un atacante, con Internet Explorer, podría causar el inicio de Google Chrome, abrir varias solapas, cargar scripts que corran depués de navegar a una URL que elija el atacante.
La vulnerabilidad de “alta severidad” afecta a Google Chrome versiones 1.0.154.55 y anteriores.
Puede ser explotada por hackers maliciosos para lanzar un ataque UXSS (XSS universal) sin la interacción del usuario bajo ciertas condiciones.
[ Vea: Sorpenden a Mozilla dormido con falla de manejo de protocolo de URL ]
El investigador de IBM Roi Saltzman, al quien se atribuye el hallazgo ye inform de la falla a Google, ha publicado un boletin (word .doc) para explicar los vectores de ataque y el impacto.
Advierte que la falla abre una puerta a dos vectores de ataque principales:
- Sortear las restricciones de Política de el Mismo Origen para cualquier sitio (esto tiene el mismo impacto que el XSS Universal)
- Enumerar los archivos y directorios locales de la víctima
“Es importante notar que la forma en que Internet Explorer procesa los manejadores de protocolo URL es un conocido talón de Aquiles y ha sido ampliamente usado en ataque anteriores a otras aplicaciones varias,” dijo Saltzman. El código de prueba de concepto de esta falla está disponible públicamente.
Microsoft sostiene que los problemas no están relacionados con vulnerabilidades en su código.
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Ryan Naraine
Fuente: Blogs ZDNet
Categorías: Vulnerabilidades · exclusivo · navegadores
Nuevamente han surgido problemas de seguridad alrededor del manejo de protocolo y navegadores Web esta vez con Google Chrome y con Internet Explorer de Microsoft.
Según un boletin de advertencia del equipo de Google Chrome, hay un error en el manejo de URLs con el protocolo chromehtml: que podría permitir a un atacante ejecutar scripts de su elección en cualquier página o listar los archivos del disco local bajo ciertas condiciones.
[ Vea: Hallan falla de inyección de comantos en IE: O ¿es en Firefox? ]
La falla:
- Si un usuario tiene instalado Google Chrome, visita una página web, controlada por un atacante, con Internet Explorer, podría causar el inicio de Google Chrome, abrir varias solapas, cargar scripts que corran depués de navegar a una URL que elija el atacante.
La vulnerabilidad de “alta severidad” afecta a Google Chrome versiones 1.0.154.55 y anteriores.
Puede ser explotada por hackers maliciosos para lanzar un ataque UXSS (XSS universal) sin la interacción del usuario bajo ciertas condiciones.
[ Vea: Sorpenden a Mozilla dormido con falla de manejo de protocolo de URL ]
El investigador de IBM Roi Saltzman, al quien se atribuye el hallazgo ye inform de la falla a Google, ha publicado un boletin (word .doc) para explicar los vectores de ataque y el impacto.
Advierte que la falla abre una puerta a dos vectores de ataque principales:
- Sortear las restricciones de Política de el Mismo Origen para cualquier sitio (esto tiene el mismo impacto que el XSS Universal)
- Enumerar los archivos y directorios locales de la víctima
“Es importante notar que la forma en que Internet Explorer procesa los manejadores de protocolo URL es un conocido talón de Aquiles y ha sido ampliamente usado en ataque anteriores a otras aplicaciones varias,” dijo Saltzman. El código de prueba de concepto de esta falla está disponible públicamente.
Microsoft sostiene que los problemas no están relacionados con vulnerabilidades en su código.
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Ryan Naraine
Fuente: Blogs ZDNet
Categorías: Vulnerabilidades · exclusivo · navegadores
Hemos recibido varios reportes de casos de phishing a distintas empresas en donde se ofrecen la descarga de distintos archivos, que en realidad corresponde a un troyano del tipo downloader, que descarga otras amenazas al sistema.
El primer caso que recibimos se trata de la multinacional Unilever de Brasil, ofreciendo un supuesto comprobante:
El segundo caso corresponde a COMPRAFacil también de Brasil, en donde se ofrece la visualización de un supuesto pedido:
El tercer caso corresponde a la empresa Glamour de Brasil, el cual también propaga el mismo malware.
Al parecer los dominios donde están alojados estos archivos han sido vulnerados para este objetivo.
Cristian de la Redacción de Segu-Info
Categorías: exclusivo · malware · phishing
Hemos recibido varios reportes de casos de phishing a distintas empresas en donde se ofrecen la descarga de distintos archivos, que en realidad corresponde a un troyano del tipo downloader, que descarga otras amenazas al sistema.
El primer caso que recibimos se trata de la multinacional Unilever de Brasil, ofreciendo un supuesto comprobante:
El segundo caso corresponde a COMPRAFacil también de Brasil, en donde se ofrece la visualización de un supuesto pedido:
El tercer caso corresponde a la empresa Glamour de Brasil, el cual también propaga el mismo malware.
Al parecer los dominios donde están alojados estos archivos han sido vulnerados para este objetivo.
Cristian de la Redacción de Segu-Info
Categorías: exclusivo · malware · phishing
Hemos recibido varios reportes de casos de phishing a distintas empresas en donde se ofrecen la descarga de distintos archivos, que en realidad corresponde a un troyano del tipo downloader, que descarga otras amenazas al sistema.
El primer caso que recibimos se trata de la multinacional Unilever de Brasil, ofreciendo un supuesto comprobante:
El segundo caso corresponde a COMPRAFacil también de Brasil, en donde se ofrece la visualización de un supuesto pedido:
El tercer caso corresponde a la empresa Glamour de Brasil, el cual también propaga el mismo malware.
Al parecer los dominios donde están alojados estos archivos han sido vulnerados para este objetivo.
Cristian de la Redacción de Segu-Info
Categorías: exclusivo · malware · phishing
Hemos recibido varios reportes de casos de phishing a distintas empresas en donde se ofrecen la descarga de distintos archivos, que en realidad corresponde a un troyano del tipo downloader, que descarga otras amenazas al sistema.
El primer caso que recibimos se trata de la multinacional Unilever de Brasil, ofreciendo un supuesto comprobante:
El segundo caso corresponde a COMPRAFacil también de Brasil, en donde se ofrece la visualización de un supuesto pedido:
El tercer caso corresponde a la empresa Glamour de Brasil, el cual también propaga el mismo malware.
Al parecer los dominios donde están alojados estos archivos han sido vulnerados para este objetivo.
Cristian de la Redacción de Segu-Info
Categorías: exclusivo · malware · phishing
‘moot’ es el nombre de la persona más influyente del año según la revista ‘Time’. ¿Que quién es ‘moot’? Es el fundador del foro de imágenes 4chan. ¿Que cómo ha llegado hasta la primera posición? Se trata de un regalo de Anonymous, un grupo de ‘hackers’ que al parecer ha manipulado la votación.
Christopher Poole -éste es el nombre real de moot- ha recibido, según la contabilidad de Time, 16.794.368 de votos que le han dado una influencia media de 90 sobre 100. Le sigue Anwar Ibrahim, un político malayo, con 2.316.378 votos y una influencia de 47. Si estas cifras ya cantan, la lista completa es mucho más curiosa.
Si bien la revista reconoce que ha habido intentos de manipular los resultados, asegura que se han solventado y que el resultado es real. También destaca que ‘moot’ no está al tanto de ningún plan para auparle hasta la primera posición. Josh Tyrangiel, editor de la revista, explica que el caso no es muy distinto a cuando en 2007 ganó la votación Shigeru Miyamoto, el padre de Nintendo, o a 2006, cuando lo hizo una estrella de pop coreana.
Pero diga lo que diga Time, parece obvio que sí ha habido ‘hackeo’, como explica Paul Lamere en su blog Music Machinery:
- Las iniciales de los 21 primeros puestos de la lista forman la frase ‘Marblecake also the game’. No puede ser una casualidad.
- Hay pares de candidatos, como Oprah Winfrey y Ratan Tata, o como Michael Bloomberg y Gustavo Dudamel, cuyo número de votos coincide porque tenían el mismo identificador en la votación.
- Cada paso del equipo técnico de Time para impedir la manipulación fue respondido con otro para continuar con ella.
- Cuando Time cerró la encuesta al público, el pasado viernes, no hizo más que esconderla sin cerrarla definitivamente, lo que permitió enviar los votos finales para cambiar definitivamente el resultado de la votación.
- Por último, y lo más importante, es que hay fotos de los autores en las que celebran su logro.
Y ahora hay que volver a Time y a otra declaración de su editor, Josh Tyrangiel: “A cualquier que dude de los resultados le recuerdo que esto es una encuesta hecha por Internet”. Bonita manera de decir que esta vez les ha salido el tiro por la culata.
Contenido completo en El Mundo y Time
Categorías: actualidad · atacantes · cracking · curiosidades · exclusivo
‘moot’ es el nombre de la persona más influyente del año según la revista ‘Time’. ¿Que quién es ‘moot’? Es el fundador del foro de imágenes 4chan. ¿Que cómo ha llegado hasta la primera posición? Se trata de un regalo de Anonymous, un grupo de ‘hackers’ que al parecer ha manipulado la votación.
Christopher Poole -éste es el nombre real de moot- ha recibido, según la contabilidad de Time, 16.794.368 de votos que le han dado una influencia media de 90 sobre 100. Le sigue Anwar Ibrahim, un político malayo, con 2.316.378 votos y una influencia de 47. Si estas cifras ya cantan, la lista completa es mucho más curiosa.
Si bien la revista reconoce que ha habido intentos de manipular los resultados, asegura que se han solventado y que el resultado es real. También destaca que ‘moot’ no está al tanto de ningún plan para auparle hasta la primera posición. Josh Tyrangiel, editor de la revista, explica que el caso no es muy distinto a cuando en 2007 ganó la votación Shigeru Miyamoto, el padre de Nintendo, o a 2006, cuando lo hizo una estrella de pop coreana.
Pero diga lo que diga Time, parece obvio que sí ha habido ‘hackeo’, como explica Paul Lamere en su blog Music Machinery:
- Las iniciales de los 21 primeros puestos de la lista forman la frase ‘Marblecake also the game’. No puede ser una casualidad.
- Hay pares de candidatos, como Oprah Winfrey y Ratan Tata, o como Michael Bloomberg y Gustavo Dudamel, cuyo número de votos coincide porque tenían el mismo identificador en la votación.
- Cada paso del equipo técnico de Time para impedir la manipulación fue respondido con otro para continuar con ella.
- Cuando Time cerró la encuesta al público, el pasado viernes, no hizo más que esconderla sin cerrarla definitivamente, lo que permitió enviar los votos finales para cambiar definitivamente el resultado de la votación.
- Por último, y lo más importante, es que hay fotos de los autores en las que celebran su logro.
Y ahora hay que volver a Time y a otra declaración de su editor, Josh Tyrangiel: “A cualquier que dude de los resultados le recuerdo que esto es una encuesta hecha por Internet”. Bonita manera de decir que esta vez les ha salido el tiro por la culata.
Contenido completo en El Mundo y Time
Categorías: actualidad · atacantes · cracking · curiosidades · exclusivo
CeCOS III, tercera cumbre operativa anual contra el crimen electrónico, abordará, como cuestiones centrales para los equipos de respuesta inmediata y los profesionales del análisis forense, los retos operativos y el desarrollo de recursos comunes para la protección de empresas y consumidores frente a la amenaza de esta forma de delincuencia. Los ponentes presentarán estudios reales sobre ataques dirigidos a economías regionales y nacionales, casos de éxito en la cooperación internacional en materia forense, modelos de colaboración y respuesta única, así como fuentes de datos para las actividades forenses.
Esta cumbre brinda una excelente oportunidad para que los diferentes grupos de interés se reúnan, establezcan objetivos comunes y definan procedimientos para la armonización de recursos en la lucha internacional contra la delincuencia electrónica. No deberían faltar a la cita: profesionales de la seguridad informática, miembros de las fuerzas y cuerpos de seguridad, desarrolladores de tecnologías contra el crimen electrónico, responsables de áreas de seguridad o sistemas, especialistas en inteligencia (militar o empresarial), investigadores privados, analistas de normativas, especialistas en tecnologías, legisladores y estudiosos del Derecho, redactores de normas industriales, investigadores universitarios y empresariales…
El programa (ver video de presentación ) se desarrollará a lo largo de tres jornadas de conferencias, entre el 12 y el 14 de mayo, en el Hotel AB SKIPPER de Barcelona. El Anti-Phishing Working Group (APWG) cree que las cuestiones operativas menos tratadas, aquellas que las empresas rara vez consideran como centrales, son lo suficientemente importantes como para ser el hilo conductor de la cumbre. La CeCOS III centrará sus objetivos precisamente en estas cuestiones, con la meta final de beneficiar al conjunto de la comunidad de profesionales en la lucha contra el crimen electrónico.
Fuente: Antiphishing Working Groups
Categorías: ciberataques · delitos · eventos
CeCOS III, tercera cumbre operativa anual contra el crimen electrónico, abordará, como cuestiones centrales para los equipos de respuesta inmediata y los profesionales del análisis forense, los retos operativos y el desarrollo de recursos comunes para la protección de empresas y consumidores frente a la amenaza de esta forma de delincuencia. Los ponentes presentarán estudios reales sobre ataques dirigidos a economías regionales y nacionales, casos de éxito en la cooperación internacional en materia forense, modelos de colaboración y respuesta única, así como fuentes de datos para las actividades forenses.
Esta cumbre brinda una excelente oportunidad para que los diferentes grupos de interés se reúnan, establezcan objetivos comunes y definan procedimientos para la armonización de recursos en la lucha internacional contra la delincuencia electrónica. No deberían faltar a la cita: profesionales de la seguridad informática, miembros de las fuerzas y cuerpos de seguridad, desarrolladores de tecnologías contra el crimen electrónico, responsables de áreas de seguridad o sistemas, especialistas en inteligencia (militar o empresarial), investigadores privados, analistas de normativas, especialistas en tecnologías, legisladores y estudiosos del Derecho, redactores de normas industriales, investigadores universitarios y empresariales…
El programa (ver video de presentación ) se desarrollará a lo largo de tres jornadas de conferencias, entre el 12 y el 14 de mayo, en el Hotel AB SKIPPER de Barcelona. El Anti-Phishing Working Group (APWG) cree que las cuestiones operativas menos tratadas, aquellas que las empresas rara vez consideran como centrales, son lo suficientemente importantes como para ser el hilo conductor de la cumbre. La CeCOS III centrará sus objetivos precisamente en estas cuestiones, con la meta final de beneficiar al conjunto de la comunidad de profesionales en la lucha contra el crimen electrónico.
Fuente: Antiphishing Working Groups
Categorías: ciberataques · delitos · eventos
