Microsoft publicó ocho boletines

noviembre 13, 2013 § Deja un comentario

Como cada mes, ayer martes Microsoft ha publicado sus boletines mensuales. En esta ocasión se trata de ocho boletines (del MS13-088 al MS12-095) que corrigen múltiples vulnerabilidades en diversos sistemas.

De estos boletines, tres han sido calificados como críticos, todos ellos corrigen vulnerabilidades que pueden dar lugar a la ejecución remota de código. Entre estos se incluye un boletín para Internet Exlorer. El resto de boletines críticos afectan a los sistemas operativos de Microsoft.

Los otros cinco boletines son de nivel importante y están relacionados con problemas de ejecución remota de código, revelación de información y denegación de servicio. Afectan a Microsoft Office y a los propios sistemas operativos Windows. Aunque en la información publicada no se concreta, cabe esperar que el boletín dedicado a Office y que corrige una ejecución remota de código solucione el 0-day del que informamos recientemente.

Microsoft además ha publicado los siguientes documentos informativos sobre seguridad:

Fuente: Hispasec

Anuncios

Disponible WordPress 3.7 y 3.7.1 (actualiza!)

noviembre 1, 2013 § Deja un comentario

Ya está disponible la última versión de WordPress 3.7 “Basie” con interesantes mejoras en cuanto a la seguridad y cerrando más de 400 tickets de estabilidad y otros bugs tal y como podéis ver en el “Trac” respecto a versiones anteriores.

Quizás lo más destacable, es la opción de poder aplicar de forma automática actualizaciones de mantenimiento y seguridad. Todo ello dependiendo de la configuración del servidor, pero en el caso de no poder hacerlo, avisará al usuario administrador con un mail del tipo “Este sitio no es capaz de aplicar esas actualizaciones automáticamente. Pero te enviaremos un email a xxxxxxx cuando haya una nueva actualización de seguridad“.

Un nuevo medidor de passwords, mejor soporte global por cuestiones de idioma, mejoras multisitio en los resultados de búsqueda y otras opciones para desarrolladores.

La actualización está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

Además, se ha lanzado la primera actualización de la nueva rama, la versión 3.7.1 que es únicamente de mantenimiento, corrige 11 bugs y no incluye ninguna actualización de seguridad.

Fuente: Daboblog

Nuevas protecciones para malware en Autocad

octubre 21, 2013 § Deja un comentario

Hace poco más de un año publicamos nuestra investigación sobre Operación Medre, un gusano informático que se propagaba a través de archivos del software de Autodesk, Autocad. A la vez, robaba archivos de AutoCAD que eran enviados a cuentas de correo en servidores chinos, con la particularidad de que nuestras estadísticas indicaban un posible ataque dirigido de espionaje industrial, por su alta concentración de detecciones en Perú. Dicho trabajo fue presentado como “last-minute presentation” en Virus Bulletin 2012, en Dallas. Hoy, un año después de aquella presentación, Autodesk (en conjunto con Microsoft) presentaron la semana pasada en la edición 2013 de Virus Bulletin, las nuevas funcionalidades en Autocad para prevenir el malware.

En su paper mencionan las principales amenazas existentes para Autocad (de hecho, citan la investigación que realizamos el año pasado, probablemente de los códigos maliciosos más relevantes en su especie). ¿Una coincidencia que esta presentación llegue un año después de la de Medre? No lo sabemos, pero vale la pena analizarlos en conjunto y ver si gusanos como ACAD/Medre podrán seguir ejecutándose en las nuevas versiones de los productos de Autodesk. Las mejoras presentadas por la empresa estuvieron distribuidas en dos etapas. En primer lugar, con el Service Pack 1 de Autocad 2013, donde se incluyeron importantes mejoras tendientes a evitar la propagación o ejecución de malware; y posteriormente con mejoras ya incluidas de base en la versión de Autocad 2014.

¿Cuáles son estas mejoras? Las más importantes tienen que ver con la forma en que el software trata los archivos de ejecución de código como .fas o .lsp, que son justamente los que suelen utilizar prácticamente todos los códigos maliciosos para estas plataformas. Es así que en la versión 2013 SP1, se incluyen nuevas variables de sistema que permiten bloquear la ejecución de estos archivos o seleccionar carpetas de confianza para la ejecución de las mismas. De esta forma, si el usuario aprovecha estas funcionalidades, podría definir como carpeta de confianza los archivos con estas extensiones que hayan sido desarrollados por uno mismo pero denegar todo el resto, es decir, archivos que podríamos recibir de terceros y que bien podrían ser, como en el caso de Medre, códigos maliciosos. Dichas variables (AUTOLOADPATH y AUTOLOAD) permiten configurar la seguridad para evitar estas amenazas. Asimismo, es posible cargar desde la línea de comandos la aplicación utilizando el parámetro “/nolisp”, que básicaente pone la variable LISPENABLED en cero y así se puede ejecutar Autocad, digamos, “en modo seguro”, de forma tal que si el sistema está infectado no se ejecuten las acciones maliciosas al iniciar la aplicación.

Contenido completo en fuente original ESET Latinoamérica

Oracle corrige 129 vulnerabilidades en su actualización de seguridad de octubre

octubre 17, 2013 § Deja un comentario

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 129 vulnerabilidades diferentes en múltiples productos pertenecientes a 15 familias diferentes, que van desde el popular gestor de base de datos Oracle Database hasta Solaris o MySQL.

A continuación se presenta un resumen del número de vulnerabilidades reportadas por familia:

  • 4 vulnerabilidades corregidas en Oracle Database Server.
  • 17 en Oracle Fusion Middleware.
  • 4 en Oracle Enterprise Manager Grid Control.
  • 1 en Oracle E-Business Suite.
  • 2 en Oracle Supply Chain Products Suite.
  • 8 en Oracle PeopleSoft Products.
  • 9 en Oracle Siebel CRM.
  • 2 en Oracle iLearning
  • 6 en Oracle Industry Applications.
  • 1 en Oracle Financial Services Software.
  • 2 en Oracle Primavera Products Suite.
  • 51 en Oracle Java.
  • 12 en Oracle y Sun Systems Products Suite, entre ellos Solaris.
  • 2 en Oracle Virtualization.
  • 8 en Oracle MySQL.

La mayoría de las vulnerabilidades que contiene este boletín se catalogan en importancia media-baja, sin embargo cabe destacar algunas. El boletín de Oracle Java, además de ser el más extenso aloja las vulnerabilidades más importantes: solventa 24 vulnerabilidades de ejecución de código (12 de ellas con la mayor valoración CVSS posible 10.0).

Igualmente el CVE-2013-2251, incluido en el boletín de Oracle MySQL, permitiría la ejecución de código remoto.

Fuente: Hispasec

Actualización para phpBB

octubre 6, 2013 § Deja un comentario

El equipo de desarrollo del sistema de foros phpBB acaba de publicar la versión 3.0.12 que solventa varios fallos de seguridad de importancia por lo que recomiendan parchear instalaciones anteriores de forma urgente.

También han actualizado la lista de bots/spyders, se ha mejorado la compatibilidad con versiones de PHP más recientes, el soporte de búsquedas “fulltext” en MySQL / InnoDB, hay mejoras en el medidor de passwords, la aprobación de temas desde el centro de moderación, etc.

Lista completa de cambios.

Fuente: Daboweb

Migrar a SQL Server 2008 R2

octubre 4, 2013 § 1 comentario

Muchas veces en tecnología me encuentro con situaciones en donde valido que versión de SQL Server está usando alguien y cuando escucho la respuesta “SQL Server 2000”, de inmediato cuestiono el por qué. La cantidad de respuestas es amplia y diversa, como podrán imaginar, y yo respetuosamente replico que aunque entiendo la situación, les recomiendo que actualicen su versión de SQL Server ya que la versión 2000 la soporta Microsoft pero en algo que se llama “Extended Support” y solo para el SP4 de SQL Server 2000 hasta el 9 de abril de 2013. Mayores detalles aquí.

Aunque esto da algo de tranquilidad, en mi concepto no mucha, mi recomendación va orientada hacia aprovechar el esfuerzo que hace Microsoft para reforzar su plataforma de base de datos con nuevas funcionalidades que demandan las aplicaciones de negocio hoy día, además de reforzar temas como seguridad, alineación con otros productos Microsoft e incluso de terceros y por supuesto, mejoras en desempeño, disponibilidad y confiabilidad. Entiendo el tema de la inversión en licencias y en este punto siempre digo que es mejor invertir en algo moderno y pagar un poco más para obtener mayores beneficios, dentro de ellos soporte por parte del fabricante.

Yo generé tres posts sobre este el tema “Actualizándose hacia SQL Server 2008 R2”, parte 1, parte 2 y parte 3. Además, hay un excelente eBook gratuito de SolidQ sobre el tema e incluso este artículo en TechNet Magazine.

Sin embargo, el recurso esencial a tener en cuenta para esto es la guía de actualización hacia SQL Server 2008 R2. Este documento en formato Word, de 490 páginas, trata todo lo que hay que saber sobre como pasar de versiones anteriores, particularmente desde 2000 y desde 2005, hacia la versión 2008 R2 y cómo usar estrategias de “in-place upgrade” y “side-by-side upgrade” para lograr lo requerido de acuerdo con el escenario de cada uno de ustedes. La guía es muy completa y trata temas como alta disponibilidad, tanto failover como mirroring, qué hay que tener en cuenta para elementos como Analysis Services, Integration Services y Reporting Services, así como implicaciones a otros productos como SharePoint, System Center y Microsoft Dynamics.

Fuente: Guillermo Taylor @ The Cloud

Nueva versión de Chrome y corrige 50 vulnerabilidades

octubre 4, 2013 § Deja un comentario

Google ha anunciado la promoción de su navegador Chrome 30 al canal estable para todas las plataformas (Windows, Mac, Linux y Chrome Frame).
Mes y medio después de la publicación de la versión 29 de Chrome, se distribuye esta nueva versión 30.0.1599.66 que junto con nuevas funcionalidades y mejoras, además viene a corregir 50 nuevas vulnerabilidades.

Según el aviso de Google se ha mejorado una búsqueda por imagen mucho más sencilla, muchas nuevas aplicaciones y extensiones API así como numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 50 nuevas vulnerabilidades. Sin embargo no se han facilitado detalles de todas ellas, hasta que una mayoría de los usuarios hayan actualizado su navegador. Google proporciona información sobre los problemas solucionados reportados por investigadores externos.

Las vulnerabilidades de gravedad alta están relacionadas con el uso de punteros después de liberar en la representación inline-block (CVE-2013-2909), en XSLT (CVE-2013-2911), en PPAPI (CVE-2013-2912), en el tratamiento de documentos XML (CVE-2013-2913), en DOM (CVE-2013-2918), en el cargador de recursos (CVE-2013-2921), en el dialogo de elección de color de Windows (CVE-2013-2914) y en el elemento template (CVE-2013-2922). Una corrupción de memoria en V8 (CVE-2013-2919) y una falsificación de la barra de direcciones relacionada con el código de estado “204 No Content” (CVE-2013-2916).

Las vulnerabilidades de impacto medio afectan a Web Audio (CVE-2013-2906 y (CVE-2013-2910) y una lectura fuera de límites en el análisis de URL (CVE-2013-2920).

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 19.000 dólares en recompensas a los descubridores de los problemas.

Fuente: Hispasec

¿Dónde estoy?

Actualmente estás explorando la categoría actualización en Seguridad Informática.