ProtegeTuOrdenador.com

Noticias

Backdoor en QuickTime

Jueves, 02 de Septiembre de 2010 08:00

Descubierto un backdoor en QuickTime El experto en seguridad Ruben Santamarta ha descubierto un parámetro indocmuentado en el plug-in ActiveX de QuickTime que permite inyectar código malicioso. Para que un ataque tenga éxito, las víctimas sólo tienen que visitar un sitio modificado a tal efecto. Los atacantes añaden un puntero al parámetro _Marshaled_pUnk y enviarlo al plug-in, lo que hace que QuickTime acceda a funciones en DLLs de terceros. El Exploit de Santamarta es capaz de evitar los mecanismos DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomisation) de Windows 7 y Vista.

El parámetro _Marshaled_pUnk es un remanente de una función que Santamarta descubrió en una versión de QuickTime del año 2001. Aunque Apple eliminó la función en las nuevas versiones, parece que pasó por alto este parámetro. Ya que el parámetro fue implementado intencionadamente en lugar de ser un error de programación, Santamarta afirma que, estrictamente hablando, se trata de una puerta trasera.

La herramienta de Microsoft para la vulnerabilidad de las DLL interfiere con algunas aplicaciones

Miércoles, 01 de Septiembre de 2010 08:00

La herramienta de Microsoft para la vulnerabilidad de las DLL interfiere con algunas aplicaciones La herramienta de Microsoft para protegerse contra la vulnerabilidad del secuestro de DLLs, que fue publicada la semana pasada, hace que algunos programas no funcionen correctamente. Los usuarios que quieran usar la herramienta para prevenir ataques que usen librerías infectadas a aplicaciones de confianza deberían añadir una nueva clave de registro tipo DWORD con el valor 0xFFFFFFFF. Esta clave elimina el directorio de trabajo, que podría estar localizado en un recurso compartido de red, de la lista de búsqueda de DLLs de Windows.

Sin embargo, esta solución causa problemas a los programas que usan esta funcionalidad de búsqueda pero que no son necesariamente vulnerables al secuestro de DLLs. El ejemplo más significativo es la versión estable de Google Chrome. Si establecemos el citado valor en el registro, el navegador falla a la hora de encontrar la librería "avutil50.dll" cuando el usuario abre el programa o una nueva pestaña. Si la página contiene un elemento HTML5, la página entera no aparece.

VLC Media Player 1.1.4 corrige la vulnerabilidad de las DLL bajo Windows

Sábado, 28 de Agosto de 2010 08:00

VLC Media Player 1.1.4 corrige la vulnerabilidad de las DLL bajo Windows Justo una semana después de la actualización 1.1.3, los desarrolladores de VideoLAN Project han publicado la versión 1.1.4 del reproductor VLC, un reproductor multimedia open source y multiplataforma para diversos formatos de vídeo y audio. Esta última actualización incluye varias actualizaciones en las traducciones, correcciones de diversos fallos y sólo un fallo bajo Windows.

Según los desarrolladores, la versión 1.1.4 corrige la vulnerabilidad de las DLL en sistemas Windows, que afecta a una gran variedad de programas bajo ese sistema operativo. El problema era un error de programación que podía hacer que, bajo ciertas circunstancias, la aplicación pudiera cargar librerías con código malicioso desde un directorio de red. Todas las versiones de VLC hasta la 1.1.3 se ven afectadas por el problema. Por supuesto, los desarrolladores recomiendan actualizar el producto cuanto antes.

Podéis encontrar más información en las notas de la plublicación, en el log de cambios y en la propia página de la versión 1.1.4, que podéis descargar desde http://www.videolan.org/vlc/.

Primer rootkit para Windows de 64 bits

Lunes, 30 de Agosto de 2010 08:00

Primer rootkit para Windows de 64 bits El Rootkit Alureon ha vuelto, y esta vez ha adquirido la habilidad de secuestrar ordenadores bajo versiones de 64 bits de Microsoft Windows, según afirma Marco Giuliani, de la compañía Prevx.

Alureon (también conocido como TDL y Tidserv) acaparó mucha atención en febrero, cuando se descubrió que estaba detrás de los fallos de sistema que ocurrían después de que los usuarios infectados actualizaran su sistema operativo Windows.

Parece ser que esa vez el rootkit no pudo evitar las protecciones de seguridad que hacían a las versiones de Windows 7 de 64 bits más seguras que sus homólogas de 32 bits, como el "Kernel Mode Code Sigining" y el "Kernel Patch Protection".

Más detalles sobre la última vulnerabilidad de Microsoft

Viernes, 27 de Agosto de 2010 08:00

Más detalles sobre la última vulnerabilidad de Microsoft Después de que HD Moore publicara a principios de semana el problema de las DLL bajo Windows, incluso con una herramienta de testeo, se ha reportado un cada vez mayor número de aplicaciones vulnerables y sus correspondientes exploits. Además de Firefox y Opera, estos programas incluyen aplicaciones muy populares como PowerPoint, Photoshop, Dreamweaver, VLC, uTorrent y Wireshark. Todos ellos usan una forma insegura de cargar las DLLS, en el que en una fase temprana el orden de búsqueda contiene el directorio actual, que podría ser inlcuso un recurso de red.

Los exploits son a menudo tan sencillos que sólo contienen el payload y varias funciones vacias. Hacer una búsqueda en la base de datos de exploits con el término "DLL hijacking" produce continuamente nuevos exploits que atacan a software específico. El desarrollador de Metasploit HD Moore publicó DLLHijackAuditKit, una herramienta que permite a los usuarios buscar aplicaciones vulnerables ellos mismos, aunque podemos encontrar un lista de las aplicaciones afectadas en las bases de datos de Secunia o Vupen con el término de búsqueda "insecure library loading".

Más artículos...