Archive for the ‘Seguridad’ Category

Microsoft admite la ineficacia de un parche de seguridad

El parche MS10-025 publicado este mes ha resultado ser ineficaz. Para más colmo resulta que este parche era para una vulnerabilidad calificada como crítica.

Aunque Microsoft todavía no ha explicado porqué han lanzado un parche insuficiente, todo apunta a una posible revisión del mismo que verá la luz la próxima semana.

Esta vulnerabilidad de seguridad afecta a Windows 2000 Server y está calificada de crítica. El problema puede permitir a un atacante remoto ejecutar código arbitrario a través del envío de paquetes especialmente manipulados.

El error se trata de un desbordamiento de pila en el proceso nsum.exe durante el procesamiento de paquetes con información de transporte. Dicho proceso corresponde al servicio Windows Media Unicast Service del componente opcional Windows Media Services.

Anteriormente conocido como NetShow Server y NetShow Services, el servidor se incluía en los sistemas Windows NT y en adelante hasta Windows Server 2008 en el que solo se distribuye como un complemento independiente y descargable.

Microsoft recomienda seguir las indicaciones incluidas en el boletín, con el objetivo de mitigar la vulnerabilidad hasta la próxima publicación del parche.

De momento a los usuarios afectados les toca esperar.

Via | http://www.techtear.com/2010/04/26/microsoft-admite-la-ineficacia-de-un-parche-de-seguridad/

Asegurando un Linux recién instalado

Tal como comenté hace yá un tiempo en Menéame, el bueno de Raúl González Duque tradujo en su día el artículo “Securing a New Linux Installation” [http://linuxgazette.net/105/odonovan.html], de Barry O’Donovan.

Espero les sirva de ayuda. Los agradecimientos a Raúl González Duque (zootropo) por su labor.

Enlace: Asegurando un Linux recién instalado

Firefox 3 aprovecha una opción de seguridad de Internet Explorer

En un movimiento cuando menos curioso, Firefox 3 bajo Windows se
aprovecha de una de las mejores (y a la vez más desconocidas)
funcionalidades de Internet Explorer: las zonas de seguridad. De hecho,
Firefox 3 se aplicará a sí mismo una opción de la configuración de las
zonas de seguridad de Internet Explorer, de forma que si no se confía
en un dominio para descargar ejecutables en el navegador de Microsoft,
Firefox 3 tampoco permitirá la descarga.

Internet Explorer permite clasificar las páginas (los dominios) en
distintas zonas. Las zonas son una clasificación lógica que hace el
navegador de las distintas páginas que se visitan. A cada zona (que se
puede ver como un conjunto de dominios) se le permiten ciertas licencias
sobre el sistema, o ejecución de cierto tipo de código del lado del
cliente según la zona donde quede adjudicado cada dominio. Esto permite
clasificar de forma eficiente las zonas confiables o peligrosas y
ejercer cierto control sobre el sistema según los escenarios a los que
nos enfrentemos. Así, se puede limitar la ejecución de ActiveX a un
cierto número de páginas confiables, permitirlo en todas menos en una
lista conocida, permitir la descarga sólo desde ciertos dominios…
Las zonas de Internet Explorer son una herramienta injustificadamente
ignorada en general por los usuarios… pero no por Firefox 3.

Los usuarios de Firefox que hayan configurado sus zonas de Internet
Explorer de forma saludablemente paranoica, se encontrarán con que, por
ejemplo, no podrán descargar con Firefox 3 ejecutables desde algunas
páginas. Firefox emitirá el siguiente error:

This download has been blocked by your Security Zone Policy (Esta
descarga ha sido bloqueada por la política de seguridad de las zonas).

Y, por mucho que los usuarios busquen la opción que se lo permita en
la configuración del propio Firefox, no lo descargará hasta que no se
modifique la configuración de las zonas de Internet

En concreto, se vale de una directiva existente en Internet Explorer 7
a la hora de configurar profusamente las zonas de seguridad: “Ejecutar
aplicaciones y archivos no seguros”. Esta directiva permite elegir si
se va a “bloquear”, “permitir” o “preguntar” al ejecutar o descargar
archivos desde un dominio catalogado en una zona concreta. Por defecto
está configurado para “preguntar”, pero si un usuario eleva la seguridad
de su “zona de Internet” (sitios desconocidos, habitualmente), esta
opción bloqueará por defecto todas las descargas y ejecuciones de
archivos de los dominios que no estén en la zona de “sitios de
confianza” (una especie de lista blanca). Y ahora no sólo en Internet
Explorer, sino también en Firefox 3 bajo Windows.

Este aprovechamiento de funcionalidades ajenas podría ser visto como un
movimiento de Mozilla orientado hacia el entorno corporativo. Uno de los
argumentos que Microsoft ha esgrimido siempre a favor de su navegador es
que Internet Explorer, en un entorno corporativo (con Directorio Activo
y numerosos sistemas) es muy configurable por políticas de forma cómoda,
pudiendo de un solo golpe de ratón asegurar por ejemplo las zonas en
todos los puestos de trabajo. Con este movimiento, aprovechando la
configuración de IE, Firefox facilita su aceptación en un entorno
corporativo, que sufre de problemas y necesidades mucho más complejas
que las del usuario medio. La necesidad de compatibilidad y posibilidad
de configuración remota, granular y masiva suele ser lo más valorado por
los administradores de grandes sistemas.

Fuente: http://www.hispasec.com/

Descubiertos los detalles de la vulnerabilidad en el protocolo DNS

Desde el 8 de julio se está produciendo uno de los episodios más curiosos vividos nunca en la red. Se publicó ese día una actualización masiva para la mayoría de los dispositivos en Internet que utilizan DNS. Se dijo que había sido descubierta una vulnerabilidad que permitía falsificar las respuestas DNS, y por tanto redireccionar el tráfico. Casi todos los grandes y pequeños fabricantes y programadores actualizaron sus sistemas y se intentó mantener los detalles técnicos de la vulnerabilidad ocultos, por la gravedad y el potencial impacto que podría suponer. Finalmente, dos semanas después, se conocen los detalles.

Toda vulnerabilidad es importante y tiene un potencial impacto en la red. Sin embargo, cuando hablamos de la resolución de nombres y de problemas en los servidores DNS, la gravedad se multiplica porque se supone que los servidores DNS sustentan la red. Dan Kaminsky había descubierto un fallo de base en el protocolo que permitía a cualquiera falsificar las respuestas de un servidor. No era problema de ningún fabricante sino de casi todos, un fallo de diseño de un estándar usado en todo Internet. En un importante esfuerzo de coordinación todos los grandes fabricantes están publicado sus actualizaciones desde el día 8 de julio.

Pero Dan Kaminsky no daba detalles sobre el asunto… (sigue en http://www.hispasec.com/unaaldia/3559)