Un investigador de seguridad ha lanzado una nueva herramienta que dice es capaz de encontrar vulnerabilidades en los navegadores que son a menudo difíciles de identificar y advierte que al menos uno de los defectos identificados en Internet Explorer puede haberse convertido en público.

Usando cross_fuzz, el investigador de seguridad de Polonia Michal Zalewski, un miembro del equipo de investigación de vulnerabilidades de Google, dijo que ha descubierto cerca de 100 vulnerabilidades en los navegadores más populares, incluyendo Internet Explorer, Firefox y Opera. Dijo que publicó la herramienta para que otros expertos de seguridad puedan mejorar su eficacia y lograr que los fabricantes de software corrijan los errores, algunos de los cuales han quedado sin resolver desde que fueron descubiertos en julio.

Zalewski dijo que una nueva vulnerabilidad de día cero en Internet Explorer que podría “provocar varias caídas explotables” fue identificada en julio. Dijo que los detalles de la falla de día cero en IE pueden haber sido accidentalmente indexados por Google.

“He confirmado que tras este accidente, ninguna otra parte inesperada ha descubierto o descargado la herramienta,” escribió Zalewski en un blog sobre el incidente, agregando que él rastreó una búsqueda a una dirección IP en China, que también ha indexado los archivos de cross_fuzz que contienen la vulnerabilidad de día cero.

Se ha reportado que Microsoft ha respondido que está investigando el tema y que no han sido detectados ataques dirigidos contra la falla.

Hasta ahora la herramienta ha identificado más de 50 vulnerabilidades en Firefox, muchas de los cuales han sido abordadas por Mozilla. También se han detectado vulnerabilidades en todos los navegadores WebKit. La mayoría de las fallas se han parcheado, Zalewski dijo, pero aún quedan algunos errores de corrupción de memoria difíciles de corregir. Varias fallas, incluyendo un error muy crítico, fueron identificadas en el navegador Opera, varias de las cuales no se han resuelto, Zalewski dijo.

La nueva herramienta cross_fuzz es un fuzzer de vinculamiento de Document Object Model (DOM), que analiza cómo el navegador interactúa con los objetos y otros elementos al desplegar páginas web. En un blog y un mensaje en la lista de correo Full Disclosure, Zalewski solicitó a los investigadores ayuda para resolver problemas actuales de rendimiento de la nueva herramienta.

Mozilla ha anunciado que está ampliando su programa de recompensas por vulnerabilidades para incluir vulnerabilidades de aplicaciones Web críticas que se encuentran en una docena de sus páginas web.

Previamente, el programa de recompensas ofrecía un pago en efectivo por reportar vulnerabilidades de aplicaciones Web críticas en productos de usuario final, como Firefox, Firefox móvil y Thunderbird. Mozilla pagará a los cazadores de vulnerabilidades $500 a $3,000 por descubrir defectos, dependiendo de su gravedad.

“Queremos fomentar el descubrimiento de problemas de seguridad dentro de nuestras aplicaciones Web con el objetivo de mantener seguros a nuestros usuarios”, escribió Chris Lyon, director de seguridad de infraestructura, en el blog de Mozilla el pasado martes. “También queremos premiar a los investigadores de seguridad por sus esfuerzos con la esperanza de promover la investigación de seguridad constructiva”.

Anteriormente, Mozilla pagaba sumas de $3,000 por sólo los defectos más graves, pero ahora Mozilla está siguiendo los pasos del gigante de motores de búsqueda Google Inc., mediante la inclusión de aplicaciones Web en sus sitios web y ofreciendo recompensas sobre la base de la severidad de los defectos que se encuentran; mientras más grave es la amenaza, mayor es la recompensa.

La recompensa cubrirá las aplicaciones Web y una extensa lista de sitios como la página principal de Mozilla, Bugzilla y Firefox.com. Mozilla ha anunciado que el cross-site scripting (XSS) y el cross-site request forgery (CSRF) se encuentran entre algunas de las vulnerabilidades Web incluidas en el programa.

A los investigadores se les recomienda descargar el código fuente abierto de las aplicaciones web para buscar problemas en lugar de utilizar herramientas automatizadas en el sitio que podrían afectar la capacidad de Mozilla de mantener los sitios funcionando bien.

Los agujeros de seguridad que se determinan críticos son aquellos que permiten cualquier ejecución de código arbitrario en los sistemas. Los que se consideran huecos muy graves son aquellos que permiten obtener acceso a la información sensible del usuario, como contraseñas e información de tarjeta de crédito. Errores que no se incluirán en esta expansión de la recompensa son los que exponen información de poco valor, tales como historial de navegación de un usuario o nombres de archivos.

Mozilla dijo que nada más ha cambiado en el programa de recompensas original que se publicó en julio.

Microsoft está investigando reportes de una nueva vulnerabilidad en Internet Explorer 8, que podría permitir a un atacante  robar datos u ocasionar daños en algunas redes sociales, de acuerdo con una revelación pública de la falla publicada en la lista de correo Full Disclosure.

Una falla de CSS en Internet Explorer permite a un atacante redireccionar el navegador a un sitio Web malicioso y forzar a la víctima a publicar un mensaje en Twitter y otras redes sociales. El ataque de origen cruzado afecta la manera en que un navegador maneja hojas de estilo CSS. Puede tomar control de la sesión de un usuario autenticado y robar información personal, incluso si JavaScript está deshabilitado.

La falla de IE fue divulgada en la lista de correo por el ingeniero de Google Chris Evans, un investigador de seguridad que documenta brechas de seguridad que encuentra en pruebas de penetración, auditoría de código y análisis de caja negra.

El ataque de origen cruzado dirigido a CSS  fue divulgado en diciembre. Desde entonces, otros fabricantes de navegadores como Apple, Google, Mozilla y Opera han corregido el problema.

“No he tenido éxito en persuadir a los proveedores para que emitan una solución”, dijo Evans. “Esto es puramente una falla de IE, no es culpa de Twitter y no hay una solución temporal viable”.

Evans dijo que la vulnerabilidad podría haber sido conocida desde 2008 y probablemente afecta a las versiones anteriores de IE. Para aprovechar esta vulnerabilidad un atacante requiere que la  víctima haga click en un enlace. Evans escribió que en su escenario de prueba, las direcciones URL abreviadas podrían ser utilizadas y suponen un serio problema.

En una entrada de Twitter, Microsoft reconoció que estaba investigando informes públicos sobre una nueva vulnerabilidad.

Falla de interceptación de la carga de DLL

Microsoft también ha estado trabajando en reportes sobre un defecto de interceptación de DLL. El gigante del software publicó una actualización de un aviso de seguridad la semana pasada, advirtiendo a los usuarios que deben instalar una nueva herramienta y una solución automatizada para corregir el problema temporalmente.

La vulnerabilidad afecta a las aplicaciones, incluyendo aplicaciones de terceros, que comparten archivos en Windows. El gigante del software dijo que solucionaría el problema en sus aplicaciones a través del tiempo. Un atacante podría utilizar la vulnerabilidad para ejecutar código en la máquina de una víctima, pero Microsoft calificó la falla como “importante” porque se necesitaría la intervención del usuario. El usuario tendría que hacer click en una serie de advertencias y pantallas para abrir un archivo malicioso que intente aprovechar esta vulnerabilidad, dijo Microsoft.

VANCOUVER, BC – Los hackers aprovecharon unas cuantas vulnerabilidades de día cero el pasado miércoles, explotando rápidamente una falla en el popular iPhone de Apple. Las vulnerabilidades de día cero en Apple Safari 4, Mozilla Firefox y Internet Explorer 8 también fueron explotadas por los investigadores de seguridad durante el concurso Pwn2Own de TippingPoint en la conferencia CanSecWest Applied Security Conference 2010.

El popular concurso Pwn2Own, patrocinado por la “Zero-Day Initiative” de los laboratiorios DVLabs de TippingPoint, repartió 45,000 dólares a los investigadores en su primer día.

Dos investigadores, Vincenzo Iozzo y Raif Weinmann fueron los primeros en hackear un dispositivo móvil, explotando una falla en el navegador Safari de iPhone para ejecutar mensajes SMS desde un servidor Web remoto. Los investigadores, sin embargo, no estaban presentes en la contienda, ya que se retrasó su vuelo para el evento, pero fueron representados en el concurso por el reconocido investigador de seguridad, Halvar Flake. Los dos investigadores ganaron 15,000 dólares por descubrir la vulnerabilidad de día cero.

El investigador Charlie Miller, analista principal de seguridad de Independent Security Evaluators, empresa basada en Baltimore, rápidamente aprovechó una vulnerabilidad en la versión de escritorio de Safari sobre Mac OS X. Ganó 10,000 dólares por el exploit, el cual ataca una de las 20 vulnerabilidades sobre las cuales el investigador tiene previsto hablar durante una presentación en la conferencia. El exploit de Miller abrió un shell remoto, al cual pudo acceder para ejecutar cualquier código malicioso que quisiera.

El investigador dijo que no está contento con los procesos de desarrollo de software seguro de Apple y no planea revelar todas las vulnerabilidades descubiertas ante el fabricante de software, aunque por las reglas del concurso, la vulnerabilidad utilizada en el concurso será compartida con el proveedor. Miller dijo que el descubrimiento de las 20 vulnerabilidades tomó sólo tres semanas y tres computadoras.

“Yo no estoy haciendo nada, mis computadoras están ejecutando y haciendo todo el trabajo”, dijo Miller. “La cantidad de trabajo que hago es de un minuto al día. No debería ser capaz de encontrar huecos haciendo eso. [Apple] debería ser mejor que yo en esto, pero no lo son … me gustaría que fueran mejor”.

Los investigadores hackean IE 8, Mozilla Firefox, eludiendo ASLR, DEP
Otros dos investigadores se unieron a Charlie Miller para eludir tanto Address Space Layout Randomization (ASLR), una característica de seguridad que, si se utilizan adecuadamente, reduce algunos de los ataques que intentan explotar el código en la memoria; y la Data Execution Prevention (DEP), que impide a los atacantes la ejecución de código malicioso en memoria no ejecutable.

Un investigador demostró rápidamente un hueco en IE 8 corriendo sobre Windows 7, eludiendo las tecnologías de mitigación. Peter Vreugdenhil, un investigador de seguridad independiente con sede en los Países Bajos, atacó una vulnerabilidad no especificada, usando una técnica que evade el ASLR. La falla es explotada si un usuario visita un sitio web malicioso. Ganó 10,000 dólares y una computadora portátil por descubrir la vulnerabilidad de día cero.

“Es un archivo basado en HTML que redirige su computadora portátil a mi página web”, Vreugdenhil dijo.

Mozilla Firefox también fue comprometido exitosamente al eludir ASLR y DEP. Un investigador de MWR InfoSecurity, con sede en el Reino Unido, que va por el nombre de Nils, atacó una vulnerabilidad de la memoria, obteniendo un premio de 10,000 dólares en efectivo y una computadora portátil. Nils dijo que creó el exploit en sólo unos días. Ejecutó un proceso que ejecutó la calculadora en una computadora portátil con Windows 7, pero advirtió que pudo haber ejecutado cualquier cosa en su lugar.

“Todos hemos utilizado debilidades, lo que nos permitió provocar la fuga de datos como Peter hizo, o bien otras fallas como en mi caso o el caso de Charlie Miller, que eran debilidades en la aplicación de los mecanismos de protección propiamente dichos”, dijo Nils. “La vulnerabilidad en sí no fue muy complicada, pero vulnerar las mitigaciones de explotación en Windows 7 es la parte difícil y lo que más tiempo toma de escribir el exploit”.

Ilesos salieron Google Chrome 4 ejecutado en Windows 7, así como varios dispositivos móviles. Ningún hacker intentó romper Nexus One de Google, RIM Blackberry Bold 9700 o un dispositivo Nokia E72 con el SO Symbian de Nokia.

Google está lanzando un programa de recompensas por vulnerabilidades como un incentivo para que los investigadores de seguridad revelen las vulnerabilidades de seguridad del navegador Chrome.

En una entrada del blog de Google Chromium, Chris Evans, un ingeniero de seguridad de la información en el equipo de seguridad de Google Chrome, dijo que las vulnerabilidades de Chrome elegibles serían recompensadas con un mínimo de $500.

“Vamos a recompensar vulnerabilidades interesantes y originales reportadas por la comunidad de investigación sobre seguridad”, dijo Evans. “Mientras más personas estén involucradas en el escrutinio del código y el comportamiento de Chrome, más seguros estarán nuestros millones de usuarios”.

Sólo las vulnerabilidades que sean reportadas a través del gestor de fallos de Chrome son elegibles para una recompensa. La elegibilidad se aplica también a las vulnerabilidades descubiertas en los plug-ins del navegador que se incluyen con el navegador Chrome de forma predeterminada.

El Proyecto Chromium es de código abierto y abarca el navegador Chrome y el sistema operativo Chromium. Evans calificó el programa de la vulnerabilidad Chrome experimental y se comprometió con el patrocinio de Google en las recompensas.

Mozilla anunció su Programa de Recompensas de Fallos en 2004, financiado por la distribución de Linux Linspire y Mark Shuttleworth, el fundador del proyecto Ubuntu. Bajo el programa de Mozilla, los que reportan huecos de seguridad críticos válidos reciben una recompensa en efectivo de $ 500 y un T-shirt de Mozilla.

Según las directrices de Mozilla, sólo las vulnerabilidades remotas presentes en versiones recientes soportadas de Firefox o Thunderbird son elegibles para una recompensa. Los que reporten no pueden ser los autores de los errores de programación como colaboradores en el proyecto Mozilla.

Los investigadores de seguridad deben reportar la falla utilizando la herramienta de reporte Bugzilla de Mozilla y notificar al “Mozilla Security Group” por correo electrónico con el número de seguimiento y un breve resumen de la falla. También se incentiva a someter código de prueba de concepto.

Un número de proveedores de seguridad ofrecen pagar por los “exploits”. La iniciativa Zero Day de TippingPoint y la unidad iDefense de VeriSign han estado pagando por las vulnerabilidades no publicadas durante varios años. Algunos investigadores han cuestionado la ética de pagar por información sobre vulnerabilidades y cómo la información es divulgada a los fabricantes afectados.

La iniciativa Zero Day de TippingPoint se inició en 2005 para pagar a los investigadores en una escala móvil por encontrar nuevas vulnerabilidades en los paquetes de software comercial. Un año más tarde, el programa recibió más de 400 presentaciones. TippingPoint presenta los datos de la vulnerabilidad a los proveedores afectados y se encarga del resto del proceso de divulgación. El objetivo de los programas ha sido conseguir que los investigadores divulguen la información sin filtrar código de prueba de concepto que podría poner a miles de usuarios en peligro.

Mozilla cerró su sitio web de tienda en línea el martes después de enterarse de que la empresa que administra su tienda había sufrido una violación de seguridad.

En su blog, Mozilla describió la iniciativa como una medida preventiva para asegurar que otros usuarios no fueran comprometidos. Mozilla dijo que cerró la tienda tan pronto como se enteró de que el vendedor, GatewayCDI, había sufrido la violación.

Los detalles de la naturaleza o magnitud de la brecha no fueron revelados, pero Mozilla dijo que los clientes de la tienda que fueron afectados serán notificados directamente por GatewayCDI.

“Mozilla inmediatamente contactó a GatewayCDI y les exhortó a que informaran rápidamente a las personas cuyos datos fueron comprometidos”, dijo Mozilla. “GatewayCDI está actualmente investigando sus sistemas y determinando la causa y magnitud de la violación.”

El sitio estaba cerrado aún esta mañana, mostrando el mensaje “cerrado por mantenimiento”. Mozilla dijo que la tienda permanecerá cerrada hasta que esté convencido de que el sitio se puede utilizar de manera segura. Mozilla también cerró su tienda Internacional, que está administrada por otro proveedor, pero el sitio de la Tienda de la Comunidad sigue activo.