[Thylacinus.net]

Extraído de Hispasec:

Microsoft ha publicado una herramienta que ayuda a crear documentos Office - Word, Excel y PowerPoint - sin información oculta y de colaboración (como el control de versiones y similares).

Cuando se distribuye de forma pública un documento de Office, puede ser que éste contenga información a la que no quiera que se tenga acceso, como la que se ha identificado como oculta, o la que se utiliza para trabajar en equipo.

Dicha herramienta, publicada por Microsoft el pasado día 5, crea - si así se indica de forma expresa - una copia sin ésta información personal u oculta que no se ve de forma directa cuando se abre en una aplicación de Microsoft Office.

En su momento, en Hispasec ya hablamos de las connotaciones de seguridad que esta información puede tener (como el famoso caso de la administración británica en la guerra de Irak) y se analizó de forma detallada en un boletín posterior.

La dirección para descargar esta herramienta es la siguiente: Rhdtool.exe

Ésta herramienta puede ser utilizada desde dentro de la aplicación Office en sí o desde la línea de comandos. Las instrucciones para su uso en cualquiera de los dos casos vienen incluidas en la descarga, concretamente en el archivo Offrhdreadme.htm.

La compañía advierte acerca de que la herramienta es soportada por Windows XP y que no ha sido probada convenientemente en Windows 2000. Por otra parte, avisan de que no puede ser instalada en máquinas con Windows 98 o Millenium Edition.

PD: Más info aquí.

El otro día me ocurrió una cosa de lo más curiosa. Me puse a enviar un par de noticias al postnuke que tengo montado y al enviar una sobre los iPod mini, al darle a previsualizar en vez de enseñarme la previsualización me enviabas a la página inicial. De repente empecé a recibir correos de que un usuario (mi usuario) estaba intentando hackear mi sitio. Probé con otra noticia y si funcionó todo bien. Después de un rato descubrí que era sólo con ese mensaje, lo cual me mosqueó mucho. Es con la cadena siguiente:

a href=http://www.apple.com/xserve/>Xserve G5 /a>

(Le he suprimido el guión del principio de cada tag del href para que no me interprete el código que ahora no falla, pero mostraría el link y no el código)

Es poner una referencia via href a la página de apple y me salta la línea 1263 del pnAPI.php que contiene un if que busca "Lets now sanitize the POST vars".

Unos Administradores de Postnuke-Hispano y de Dev-Postnuke (antes waisen.com) me aclararon la duda y me dijeron que la versión correcta estaba en el CVS de postnuke. Afecta a la versión 0.7.2.6

Os pongo el código y el fallo, me lo comentó el_cuervo administrador de Dev-Postnuke. El fallo se genera con cualquier URL que lleve apple, ifram, objec, met, ...

(Sigue en leer más...)

El nuevo agujero de OS X consiste de una debilidad en DHCP (Dynamic Host Configuration Protocol), que es la función que asigna direcciones IP a las máquinas que no tienen dirección fija.

En teoría, la nueva vulnerabilidad haría posible para intrusos acceder a las máquinas de la red instalando un servidor DHCP falso. Apple recalca que el riesgo que algo así pueda ocurrir es relativamente bajo, ya que el intruso debería de todas formas haber tenido acceso a la red.

Afecta tanto a Panther como a Jaguar. Más información aquí.

Leemos en Slashdot que la causa del ataque a los servidores de Debian fue una nueva vulnerabilidad en el kernel Linux. Debian ha emitido el DSA-403-1, en el cual se aconseja actualizar al kernel 2.4.23». Ya habíamos comentado el ataque a los servidores de Debian. El agujero descubierto se explota localmente.

Leyendo el boletín de Hispasec me encontré con esta noticia, la verdad es que no sabía que existía un problema tan grave. Son los Shatter Attacks.

Por lo visto sino entendí mal, hay un programa en ejecución está atendiendo a mensajes del kernel y de otras aplicaciones, el problema reside en que ese programa puede enviar un mensaje a otra ventana, sin tener relación con ella. No es posible la autentificación del emisor del mensaje y no se tiene en cuenta si existe relación entre emisor y receptor o si receptor desea recibir ese tipo de comunicaciones...

Vamos que si algún proceso maligno consigue entrar en ejecución (cosa no muy difícil) puede manipular todas las ventanas y los procesos que manejan esas ventanas por medio de mensajes...

Link interesante donde te testean el navegador que uses y te comentan cuales son los fallos de seguridad a los que es vulnerable.

Mi Mozilla Firebird ha dado de resultado 0.0 pero bueno quizá sea porque aún no apareció un bug crítico como la última tandada de bugs críticos del explorer.

Por lo visto se ha visto com prometida la seguridad de varias máquinas del proyecto Debian, en concreto:

. master (Bug Tracking System)

. murphy (mailing lists)

. gluck (web, cvs)

. klecker (security, non-us, web search, www-master)

No ha problema porque esos servidores se ha desconectado para revisión, os dejo el link, para que consulteis el aviso.

Aquí parece que los pillan a todos, sino leed el artículo.

Por lo visto en comparación con el 2002 parece que BIND y las passwords débiles suben, FTP y SSH bajan y Apache y sendmail permanecen estables.

Por cierto hay fallos de IIS, Bind, Apache, etc...

Por lo visto el fallo que permitió la expansión del Blaster este verano sigue afectando a Windows XP.

Extraído de VSAntivirus:

"Según se publica en Bugtraq y Securityfocus, ha sido reportado un "exploit" universal para la falla en los protocolos RPC/DCOM relatada en el boletín MS03-039 (y actualizada por Microsoft en el MS03-040).

De acuerdo al reporte, generado por el sitio Security.nnov.ru, el exploit, Windows XP SP1 con todos los parches de seguridad instalados, continúa siendo vulnerable a una variante del mismo bug, el cuál es aprovechado por este exploit.

No ha sido testeado aún Windows 2000 ni 2003.

MS03-040 Actualización acumulativa para IE (828750) Enviado por javifelices.

Se trata de una actualización acumulativa para el Internet Explorer que incluye todas las revisiones publicadas anteriormente para Internet Explorer 5.01, 5.5 y 6.0.

PD: En texto extendido está la versión completa.

Diversos y muy importantes bugs en ssh Hispasec. Es un desbordamiento de un buffer mal codificado, se trata de un bug muy grave por lo que se recomienda el extremar la precauciones, no olvidemos que ssh se usa en ámbitos de altísima seguridad. También pongo el link de Open SSH (en inglés).

Bug de Sendmail.

Bug de MySQL.

Hispasec vuelve a notificarnos un agujero de seguridad inmenso, en el explorer. Parece que los muchachos de Redmon no saben como empeorar las cosas, por lo visto ahora cualquier página visitada puede instalarte de manera oculta programas, ejecutar scripts, etc... Os dejo el link para que os divirtais, yo ahora uso el Mozilla Firebird, pero abrí el explorer y me saltó el antivirus chivandose de que un script estaba intentado instalarse en el sistema...

Exploit 1

Exploit 2

Exploit 3

Con cerrar la ventana ya está y si teneis antivirus, prepararos a ver saltar las alarmas...

EDITO: Añado más fallos: 2 buffer overflow y un DoS quitados de su boletín.

Según se cuenta en este artículo de Kriptópolis, el sistema de cifrado de la telefonía movil GSM no sólo está roto, sino que además el dispositivo que permite "...acceder a llamadas en curso o desde el mismo momento en que se inician, escucharlas e incluso suplantar a otros usuarios." es de bajo coste y está patentado.

Artículo extraído del "mi barrapunto" de Joselo

Más información:

Cryptome

Taller de criptografía

Tech World

The Register

¡¡¡ACTUALIZACIÓN!!! JAP ya no es un servicio anónimo, les han obligado a instalar una puerta trasera, la notica aquí.

JAP es un servicio gratuito que hace posible la navegación anónima por Internet. En vez de conectar directamente a un servidor, los usuarios se conectan de forma cifrada a través de varios intermediarios. Ya que hay muchos usuarios usando esos intermediarios a la vez, la conexión a Internet de cada uno de los usuarios está oculta entre las conexiones de todos los demás usuarios. Nadie, ni desde fuera, ni ninguno de los otros usuarios, ni el proveedor del servicio de intermediación puede determinar qué conexión corresponde a cuál usuario. (Vía Barrapunto.com y Geeknik.net.

Ha avisado el CERT que el sitio ftp.gnu.org lleva comprometido desde marzo, alguien consiguió una puerta trasera (no se sabe si usó el bug del ptrace o si fue el del wu-ftpd) se recomienda usar otros sitios mientras se revisan hash no vaya el infiltrado a haber cambiado un paquete por uno con una backdoor insertada. La noticia también está en barrapunto.com y en slashdot.org.