04-2016

 CrossFire: complementos de Firefox pueden ser explotados malicionamente Expertos  en  seguridad  dieron  a  conocer  durante  una  conferencia  en  un  Black  Hat  (hacker  de  sombrero negro), celebrado en Singapur,que algunos de los complementos mas populares para el  navegador de Mozilla, firmados por la compañía, exponen a millones de usuarios ante una posible  ejecución  de  código  malicioso  y    así  poder  robar  datos  sensibles  del  equipo  perjudicado,    que  además es  difícilmente detectable a su ves, de acuerdo con el repote de Ars Technica. Los  investigadores  describen  que  el  ataque  se  hace  posible  gracias  a  la  falta  de  aislamiento  en  Firefox  entre  los  varios  complementos  instalados  por  un  usuario  final,  teniendo  como  producto  explotar  varias  vulnerabilidades  en  complementos,  hasta  ahora  se  cuentan  9  de  los  10  complementos  de  Firefox  mas  populares,  entre  ellos  se  puede  contar  Firebug,  FlasGot  Mass  Down,  NoScript,  Video  DownloadHelper  y    Greasemonkey.  Personas  con  conocimientos  suficientes  pueden  desarrollar  un  complemento  capaz  de  explotar  y  reusar  vulnerabilidades  en  otros para ejecutar código malisiono a través de ellos. En otras palabras, un complemento que sea desarrollado con fines maliciosos podrá manipular al  resto  explotando  sus vulnerabilidades. Quizá a uno  de ellos  para abrir páginas  web  sin permiso,  otro para descargar malware y uno más para acceder al sistema de archivos, gracias a que Firefox  comparte su espacio JavaScript con los complementos Para  que  el  atacante  tenga  éxito,  el  usuario  debería  tener  instalado  el  complemento  que  sea  sensible a las vulnerabilidades, más uno de los complementos afectados. Cabe mencionar que si  el  usuario  no  cuenta  con  alguno  de  ellos,  el  complemento  malicioso  evita  cualquier  intento  de  explotación y con ello ser detectado.

Fuente: http://blog.segu-info.com.ar

04-2016

 Prueba de concepto (PoC) Los  investigadores  dieron  a  conocer  que  desarrollaron  un  Add­on,  llamado  Validate  ThisWebsite,  que contiene un aproximado de 50 líneas de código. El Add­on deberá analizar el código HTML de  una  página  web  determinada  para  que supuestamente determine  si es  compatible  con las normas  vigentes,  pero  en  realidad  el  hace  un  llamado  cruzado  a  la  extensión  de  NoScript  de  Firefox  para  abrir una dirección Web de la elección de los investigadores. Mozilla  está  consiente  de  este  problema  y  asegura  que  las  siguientes  versiones  de  Firefox  lo  solucionaras  aislando  el  espacio  de  JavaSCript  usado  por  las  extensiones,  aplicando  el  funcionamiento  multiproceso  al  que  ha  bautizado  como  electrolysis,  el  cual  conjugará  con  la  tecnología WebExtensions. Los  investigadores  dijeron  que  la  nueva  forma  de  manejo  de  extensiones  de  Firefox,  basado  en  JetPack,  teóricamente  proporciona  el  aislamiento  necesario  para  evitar  llamadas  de  extensión  cruzadas.  En  la  práctica,  sin  embargo,  las  extensiones  JetPack  a  menudo  contienen  código  heredado no aislado que puede hacerlos vulnerables. Los  usuarios  de  Firefox  se  beneficiarían  de  las  mejoras  introducidas  del  proceso  diseñado  para  detectar complementos maliciosos. Para ello, los investigadores han desarrollado una aplicación que  se llama CrossFire que automatiza el proceso de encontrar las vulnerabilidades de cross­extension y  aseguran que apoyarán a Mozilla y su equipo de investigación para redoblar su esfuerzo contra la  explotación  de  vulnerabilidades  en  los  complementos.  Mientras  tanto,  los  usuarios  del  navegador  tendrán que  decidir  si  conservarlos o  no, viendo cuan vulnerables  pueden estar ante un escenario  tan particular como este

Fuente: http://blog.segu-info.com.ar

04-2016      Adobe soluciona el 0­day y otras 23 vulnerabilidades en Flash Player 

  La  compañía  de  Adobe  confirmó  la  existencia de  una vulnerabilidad  en  Flash Player,  la cual  es  considerada critica, afecta las versiones 21.0.0.197 y anteriores para Windows, Macintosh, Linux y  Chrome  OS.  Esta  vulnerabilidad  podría  permitir  a  un  atacante  tomar  control  de  los  sistemas  afectados. Para  dicha    vulnerabilidad  detectada,  la  compañía  Adobe  ha  publicado  una  nueva  actualización  para Adobe Flash Player que soluciona la misma, además de 23 vulnerabilidades que afectan al  conocido reproductor. La mayoría de estas vulnerabilidades le podría permitir a un atacante tomar  control de los sistemas afectados. A  raíz  de  poder  incluir  la  solución  al  0­day      que  ya  se  comento,  Adobe  ha  adelantado  la  publicación  habitual  de  su  boletín  mensual  para  Flash,  ademas  confirmó  informes  de  que  una  vulnerabilidad de confusión de tipos (con CVE­2016­1019) se está explotando de forma activa en  sistemas Windows 10 y anteriores, con Flash Player versión 20.0.0.306 y anteriores. Todos  los  problemas  que  se  corrigen  en  este  boletín  (APSB16­10)  permitirían  la  ejecución  de  código arbitrario aprovechando cinco vulnerabilidades de uso de memoria después de liberarla, 13  de corrupción de memoria, un desbordamiento de búfer, una vulnerabilidad en la ruta de búsqueda  de  directorio  empleada  para  encontrar  recursos  y  dos  de  confusión  de  tipos.  Esta  actualización  también  soluciona  un  salto  de  restricciones  de  seguridad  y  se  endurece  una  mitigación  contra  ataques JIT (Just In Time).  Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las  vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:     Flash Player Desktop Runtime 21.0.0.213     Flash Player Extended Support Release 18.0.0.343     Flash Player para Linux 11.2.202.616 Igualmente  se  ha  publicado  la  versión  21.0.0.213  de  Flash  Player  para  navegadores  Internet  Explorer, Edge y Chrome.  Fuente: http://unaaldia.hispasec.com

 

04-2016    Google publica Chrome 50 y corrige 20 vulnerabilidades  

 La empresa Google anuncia una nueva versión de su navegar Google Chrome 50.0.02661.75 para  las  plataformas  Windows,  Mac    y  Linux,  viene  con  nuevas  funcionalidades  y  mejoras,  además  corrige 20 nuevas vulnerabilidades. Entre las novedades que posee esta nueva versión del navegar, cabe destacar que ya no soportara  sistemas como Windows XP, Windows Vista, Mac OS x 10.6  Snow Leopard, Mac OS x10.7 Lion o  Mac OS x 10.8 Mountain Lion. Además que se mejora el soporte a las notificaciones push.   Google  solo  proporcionará  información  sobre  los  problemas  solucionados  que  fueron  reportados  por investigadores externos o las consideradas de gran interés En esta ocasión se han solucionado  20  nuevas  vulnerabilidades,  pero  la  empresa  Google  solo  facilitará  información  de  ocho  de  ellas  (dos de gravedad alta, cinco de importancia media y una baja). Se  corrigen  vulnerabilidades  por  un  cross­site  scripting,  una  lectura  fuera  de  límites  en  Pdfium  al  decodificar  JPEG2000,  escritura  fuera  de  límites  en  V8,  lectura  de  memoria  sin  inicializar  en  medios, uso de memoria después de liberar. En relación con extensiones,  el salto de restricciones  de  ruta  de  descarga  de  archivos  Android,  falsificación  de  la  barra  de  direcciones  y  fuga  de  información  sensible  por  extensiones  maliciosas.  Se  han  asignado  los  CVE­2016­1651  al  CVE­2015­8158. También por parte del equipo se seguridad interna se logran realizar varias correcciones a raíz de  auditorías internas, pruebas automatizadas y otras iniciativas (CVE­2016­1659). Según las políticas  de  la  empresa,  las  vulnerabilidades  anunciadas  han  supuesto  un  total  de  17.500  dolares  en  recompensas a los descubridores de las vulnerabilidades.

 

Fuente:http://unaaldia.hispasec.com

04-2016    Mozilla publica Firefox 46 y corrige 14 nuevas vulnerabilidades

Mozilla publica la nueva versión 46 e Firefox en conjunto con 10 boletines de seguridad  con el fin  de  publicar  soluciones  a  14  nuevas  vulnerabilidades  en  el  navegar.  También  se  ha  publicado  Firefox ESR 45.1del cual hablan en 3 de los 10 boletines publicados.

Hace  tan  solo  un  mes  Mozilla  publico  la  versión  45  del  navegador  Firefox  .  Ahora  acaba  de  publicar la nueva versión donde se incorpora nuevas funcionalidades y mejoras, como también la  mejora de la seguridad del compilador JavaScript en tiempo de ejecución.

Además  de  esta  nueva  versión  publicada  ,  están  los  10  boletines  de  seguridad  del  año  (MSFA­2016­039  al  MSFA­2016­048).  Entre  ellos  solo  uno  es  considerado  critico,  cuatro  son  de  gravedad  alta,  los  cinco  restantes  de  nivel  moderado.  Eso  da  un  total  de  14  nuevas  vulnerabilidades en Firefox que ya han sido corregidas.

Las vulnerabilidades críticas residen en cuatro problemas (CVE­2016­2804 al CVE­2016­2807) de  tratamiento  de  memoria  en  el  motor  del  navegador  que  podrían  permitir  la  ejecución  remota  de  código. 

Las vulnerabilidades de gravedad alta residen en una escritura inválida por un desbordamiento a  través  del  método  JavaScript  .watch()  que  podría  permitir  la  ejecución  arbitraria  de  código  (CVE­2016­2808).  Un  desbordamiento  de  búfer  en  la  libería  libstagefright  por  el  tratamiento  de  offsets  CENC  (CVE­2016­2814).  Vulnerabilidades  en  Firefox  para  Android  al  usar  datos  de  orientación  y  de  los  sensores  de  movimiento  a  través  de  JavaScript  en  el  navegador  del  dispositivo, que podrían permitir comprometer la privacidad del usuario (incluso descubrir el código  PIN  y  otras  actividades  del  usuario)  (CVE­2016­2813).  Una  vulnerabilidad  de  uso  después  de  liberar  por  un  objeto  ServiceWorkerInfo  (CVE­2016­2811)  y  un  desbordamiento  de  búfer  en  ServiceWorkerManager (CVE­2016­2812).

     Fuente:http://unaaldia.hispasec.com