Archivo

Posts Tagged ‘Noticias’

Adobe soluciona un fallo en Flash Player

agosto 4, 2012 Los comentarios están cerrados

Adobe ha actualizado su software Flash Player para solucionar un problema que generaba la caída de ciertos sistemas Windows.

Adobe ha anunciado que la actualización Flash Player 11.3.300.270 parchea un problema que ha causado que ciertos usuarios sufran problemas cuando intentan cargar el componente FlashPlayerUpdateService.exe.

La compañía ha dicho que el problema estaba afectado a un “número significativo” de sistemas Windows. Para solucionar el fallo la compañía ha lanzado una actualización que parchea el error al que los usuarios pueden acceder habilitando las actualizaciones automáticas y  silenciosas de Flash player o descargándolo directamente desde el centro de descargas de Adobe.

La compañía también ha dicho que corregirá un fallo de estabilidad que afecta a todos los usuarios en el próximo lanzamiento de Flash para Windows.

 

Fuente: ChannelBiz

Anuncios
Categorías:Noticias Etiquetas: , ,

Gatekeeper ¿un antivirus integrado para Mac OS X?

agosto 4, 2012 Los comentarios están cerrados

En los últimos días, se está hablando de Gatekeeper, una nueva funcionalidad de Mountain Lion a la que se le está considerando “antivirus para Mac”.

En la página oficial de Apple, se puede leer:

 “Gatekeeper es una nueva funcionalidad en Mountain Lion que complementa las comprobaciones de malware que ya existen en OS X para proteger tu Mac de malware y aplicaciones maliciosas de Internet”

Esto no es del todo cierto. Vayamos por partes. En lo referente a “las comprobaciones que ya existen”, en concreto hablan de la cuarentena y de xProtect. La cuarentena es una simple alerta sobre los ficheros descargados de Internet. xProtect es un rudimentario sistema de detección por firmas de malware que se introdujo en septiembre de 2009. Se trata de un primer acercamiento a un antivirus integrado. Tan rudimentario que cuando apareció solo reconocía dos familias que solían atacar al sistema operativo de Apple y solo comprobaba ciertas descargas (las de Safari, iChat y Mail). Actualmente cuenta con algunas firmas más, que se pueden ver claramente (nombre del malware y el patrón de detección) en:

http://configuration.apple.com/configurations/macosx/xprotect/3/clientConfiguration.plist

El número 3 en la URL hace referencia a Mountain Lion. Si se modifica al 2, se ve el fichero de firmas de Lion y 1 es para Snow Leopard. Por cierto, no parece detectar ni se ve en esas listas al reciente OSX/Crisis que, aunque no haya conseguido un gran número de infecciones, sí ha gozado de mucha popularidad.

Sin embargo, aunque el proyecto xProtect sigue en marcha, parece enterrado y es muy complicado encontrar información en la página oficial de Apple.

El comando site:support.apple.com xprotect en Google apenas ofrece ya información. Y en los resultados en los que aparece, la palabra en sí no puede encontrarse o se trata de usuarios particulares preguntando en foros de consulta. No suelen avisar tampoco de cuándo es actualizado. Se hace silenciosamente y sin anuncios.

¿Gatekeeper es o no es por fin un antivirus?

El movimiento de Apple es claro: el modelo de negocio de apps se va a extender de los móviles al escritorio muy pronto, y quiere controlar el terreno. Pero no. Gatekeeper se trata de un sistema que controla que las apps descargadas estén firmadas por un ID conocido. Una suerte de Authenticode de Microsoft.

Para desarrollar para Apple y publicar en el App Store, el programador debe conseguir (y pagar) un ID con el que firma sus programas. Una especie de certificado.

Según Apple

    “El ID del programador permite a Gatekeeper bloquear aplicaciones creadas por desarrolladores de malware y verificar que las apps no han sido modificadas desde que fueron firmadas. Si una app fuera desarrollada por un programador desconocido (o sin ID) o modificada con él, Gatekeeper puede bloquear la app y que no sea instalada”.

Las opciones de Gatekeeper son:

  •  Solo abrir apps que vengan de la Store oficial.
  •  Abrir las que vengan de la Store oficial y desarrolladores identificados.
  • Ejecutar cualquier app independientemente de donde venga (lo que significa deshabilitar Gatekeeper). Eso sí, las que no sean íntegras serán rechazadas.

En definitiva, un “comprobador de certificados”. Apple avisa de que efectivamente, se pueden comprobar los ID y la integridad de los ficheros… pero olvida que comprobar la integridad o la entidad del que firma, nunca dice absolutamente nada de las intenciones del programa firmado. Y si no, que se lo pregunten a Microsoft: TheFlame estaba firmado con un certificado legítimo de Microsoft.

Por tanto, Gatekeeper está lejos de ser un antimalware. Más bien es un controlador de la integridad, procedencia y autoría de las apps. Y teniendo en cuenta que un ID puede ser robado, tampoco garantiza nada. Es cierto que en un momento dado Gatekeeper podría detener una app maliciosa, pero no la detectaría por su comportamiento, sino por no poseer un ID válido o provenir de fuera de la Store oficial. Esos serían los “obstáculos” para el atacante. O, si el usuario solo descarga del Store oficial, tendría que colar el malware en el catálogo. Aunque si bien el Google Play está repleto de aplicaciones maliciosas (hasta el punto que Google ha vuelto a anunciar nuevas restricciones para publicar), Apple ha conseguido un control mucho más estricto y es cierto que, descargar desde su Store oficial, ofrece una importante garantía de “salubridad”.

Fuente: Hispasec

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Categorías:Noticias Etiquetas: , ,

Los drivers propietarios de nVidia para Linux, permiten elevar privilegios

agosto 4, 2012 Los comentarios están cerrados

La vulnerabilidad, todavía sin CVE asignado, permite a un atacante local elevar privilegios en un sistema *nix con los drivers de la marca nVidia instalados, obteniendo el rol de root.

El fallo es posible porque el controlador de nVidia permite desplazar la ventana de memoria (zona de memoria) VGA a la zona reservada al kernel y modificarla. Escribiendo en esta zona, se puede realizar cualquier acción con los máximos privilegios.

Según la persona que ha anunciado el error (en representación del creador anónimo), este fallo se reportó hace un mes al fabricante, pero al no recibir respuesta, su descubridor ha hecho público el exploit, ofreciendo así todos los detalles técnicos.
En los sistemas *nix, los dispositivos funcionan (como todo) a base de archivos en los que se lee y escribe a partir del directorio /dev.
Para el caso de la tarjeta gráfica de nVidia, se trata de /dev/nvidiaX, donde la X es el número de dispositivo nVidia (normalmente 0). Es en este dispositivo donde se realiza el desplazamiento de ventana VGA y lectura/escritura en memoria.
Esto fallo sólo se da en el driver propietario de nVidia, es decir, en el controlador creado por el fabricante, no así en el creado por la comunidad, que es de código abierto.
.
.
Fuente: Hispasec
Exploit nvidia driver Privileges Escalation:http://1337day.com/exploits/19093
Autor:Antonio Sánchez
Categorías:GNU/Linux, Noticias Etiquetas: ,

Presentan Rootkit para Mac en #BlackHat

agosto 3, 2012 Los comentarios están cerrados

En la conferencia de seguridad BlackHat el investigador de seguridad australiano Loukas K. (Snare) demostró un rootkit para Mac (PDF explicativo aquí).

En este caso, es la aplicación maliciosa se base en un ataqe al protocolo Extensible Firmware Interface (EFI), que ha sido implementado por un gran número de fabricantes de motherbase, para sustituir a la clásicas BIOS.

El rootkit es capaz de inyectarse en el firmware EFI de un MacBook Air y saltear el sistema de cifrado FileVault del disco duro. Aunque la idea de un rootkit en EFI no es nuevo, esta es la primera vez que se ha demostrado en vivo y el hacker ha utilizado un método hasta ahora desconocido sobre la base de modificar una placa Eternet Thunderbolt.

Desde el punto de vista de un atacante, un rootkit insertado en la BIOS EFI tiene algunas ventajas importantes. El código malicioso sobrevive al reiniciar el sistema, es capaz de saltarse el cifrado del disco, no tiene que realizar cambios en el sistema de archivos disco duro, y sin embargo está en condiciones de modificar el núcleo del sistema operativo al arrancar el mismo. La infección requiere acceso físico a la computadora.

Dependiendo de los puertos disponibles en el sistema, un atacante puede insertar una unidad flash USB o elegir el nuevo método a través del adaptador Ethernet.

Fuente: Segu-Info

Categorías:Noticias, Pentesting Etiquetas: , ,

Dropbox confirma que fue atacado y ofrece ayuda a los usuarios afectados

agosto 3, 2012 Los comentarios están cerrados

Después de una investigación de dos semanas, el servicio de almacenamiento de archivos en línea confirmó que algunos nombres de usuario y contraseñas fueron robados de sitios web de terceros y luego se usaron para acceder a las cuentas de Dropbox.

Cuando hace dos semanas unos cientos de usuarios de Dropbox comenzaron a recibir correos electrónicos no deseados sobre casinos en línea y sitios de juego, parecía que algo estaba pasando.

Efectivamente Dropbox ha confirmado hoy que delincuentes lograron acceder a nombres de usuarios y contraseñas de sitios de terceros y luego los utilizaron para entrar en cuentas de Dropbox.

“Nuestra investigación encontró que nombres de usuarios y contraseñas robadas recientemente desde otros sitios web se utilizaron para acceder a un pequeño número de cuentas de Dropbox. Hemos contactado a estos usuarios y les hemos ayudado a proteger sus cuentas”, escribió la compañía en su blog.

Fuente: CNetSegu-Info

Categorías:Ataques, Noticias Etiquetas: ,

Rakshasa: un rootkit permanente para hardware

agosto 3, 2012 Deja un comentario

Jonathan Brossard, de la firma francesa de seguridad Toucan System, ha presentado en BlackHat y Defcon un malware capaz de tomar el control de la BIOS de al menos 100 motherboards [PDF].

El malware es indetectable en el BIOS y la única forma de eliminarlo sería volver a actualizar el BIOS y, si además, los dispositivos periféricos también están infectados, podrían volver a infectar a la placa base. La única manera de garantizar la limpieza de un sistema infectado sería volver a actualizar tanto la placa base y todos los periféricos, al mismo tiempo, algo claramente más allá del usuario promedio.

Dado que el malware se encuentra en, o sustituye el BIOS, el malware tiene el control sobre el equipo antes de que el sistema operativo se cargue. Todo lo que es parte del sistema operativo puede ser controlado, el cifrado puede apagarse mientras el usuario cree que que está funcionando, el firewall puede ser traspasado y el software antivirus no tiene sentido.

En esencia es indetectable, ya que no deja ninguna huella en los archivos, en el disco duro o en memoria, a diferencia de otros programas maliciosos como los bootkits que se almacenan en la Master Boot Record (MBR) y en consecuencia eran fáciles de detectar. Rakshasa descarga el bootkit en memoria RAM cada vez que se inicia el equipo y luego se elimina de la memoria RAM sin dejar rastro alguno.

Si bien este no es primer acercamiento al tema y el virus CIH ya fue capaz de infectar un BIOS en 1998, esta nueva prueba de concepto abarcaría mayor cantidad de fabricantes y podría suponer una nueva etapa en el diseño de malware.

Fuente: http://blog.segu-info.com.ar/2012/08/rakshasa-un-rootkit-permanente-para.html