Adobe Systems Inc. emitió sus actualizaciones de seguridad trimestrales el pasado martes, reparando un grupo de defectos graves en Flash Player y en Adobe Reader y Acrobat. Los parches también incluyen una actualización de Adobe Reader X, reparando huecos en el recientemente fortalecido software para visualización de PDF.

El fabricante de software publicó el Adobe Flash Player 10.2.152.26, reparando más de una docena de vulnerabilidades críticas. Muchas de las vulnerabilidades de Flash Player incluyen errores de corrupción de memoria que podrían ser explotados por un atacante para obtener acceso a una máquina y ejecutar código de forma remota.

Varias de las vulnerabilidades fueron reportadas a través de los laboratorios iDefense Labs de VeriSign Inc., incluyendo un defecto que entre otros podría ser utilizado en ataques “drive-by”. Un atacante puede inyectar código malicioso en una página web para aprovechar el error y obtener los mismos privilegios que el usuario.

Adobe también abordó los agujeros críticos identificados en Adobe Shockwave Player 11.5.9.615 y versiones anteriores.

Además, Adobe publicó una actualización de seguridad crítica, reparando más de dos docenas de vulnerabilidades en su software de visualización de PDF Adobe Reader y Acrobat. La actualización afecta a Adobe Reader X para Windows y Macintosh, Adobe Reader 9.4.1 y versiones anteriores de Windows, Macintosh y UNIX, y Adobe Acrobat X y versiones anteriores de Windows y Macintosh.

“Estas vulnerabilidades podrían causar que la aplicación se bloquee y potencialmente permitir a un atacante tomar el control del sistema afectado”, dijo Adobe en su aviso.

Adobe Reader y Acrobat X son las aplicaciones de la compañía que están configuradas para ejecutarse en una “caja de arena” (sandbox) para aislar el software de los procesos en ejecución del sistema operativo. El nuevo software hace que sea más difícil para los ciberdelincuentes ejecutar un ataque con éxito. El “riesgo para usuarios de Adobe Reader X es mucho menor ya que ninguna de estas fallas vulnera las mitigaciones del modo protegido.”, dijo Adobe.

Microsoft emitió 12 boletines de seguridad el pasado martes, corrigiendo 22 defectos en su línea de productos, entre ellos dos vulnerabilidades críticas para las que ya se encuentra disponible públicamente código de explotación, y una tercera que se informó de forma privada.

El número de vulnerabilidades se ha reducido en relación a diciembre, el último “gran mes” del gigante del software, durante el cual se corrigieron 40 errores. Sin embargo, dos defectos tratados en las actualizaciones del martes de parches de febrero requieren atención inmediata según Jason Miller, gerente del equipo de datos de Shavlik Technologies LLC, un proveedor de gestión de vulnerabilidades basado en St. Paul, Minnesota.

Miller dijo que si bien puede haber disponibles unos cuantos exploits conocidos públicamente, los administradores de TI tienen todo lo que se esperaba de Microsoft este mes.

De las tres vulnerabilidades catalogadas como críticas, las dos más importantes, según Miller, son la MS11-003, la cual repara dos vulnerabilidades en Internet Explorer reveladas públicamente, y MS11-006, una falla de procesamiento de gráficos en Windows Shell.

La falla de Internet Explorer, que Miller dijo que debe ser reparada inmediatamente, es aprovechada mediante la apertura de un archivo de librería especialmente diseñado cuando el usuario abre un archivo HTML; la misma también puede ser activada cuando el usuario navega a una página web en Internet Explorer. El archivo permite la ejecución remota de código y los atacantes pueden utilizar esta vulnerabilidad para otorgarse los mismos derechos de acceso del usuario.

“Prácticamente cada vez que se detecta una vulnerabilidad crítica en Internet Explorer se debe aplicar el parche de inmediato, porque ahí es donde los malhechores van a atacar”, dijo Miller. “Ellos quieren atacar a las personas que utilizan navegadores, es un mejor grupo para ellos encontrar a alguien que puedan comprometer.”

La actualización afecta a todas las versiones soportadas de Internet Explorer.

El fallo de procesamiento de gráficos tiene que ver con la forma en que Windows despliega las imágenes en miniatura (thumbnails). Este error en el procesador de gráficos de Windows Shell podría permitir a un atacante obtener los mismos derechos de acceso del usuario conectado al hacer que el usuario visualice una imagen en miniatura especialmente diseñada, según Microsoft.

“Para ambos boletines ha sido publicado código de explotación por lo que se han registrado ataques limitados”, dijo Miller.

La actualización afecta a Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

Una tercera actualización crítica, reportada de forma privada, se une a la larga lista de parches publicada por Microsoft en diciembre contra la vulnerabilidad del controlador Windows OpenType Font. Mientras que las correcciones de diciembre se centraron en prevenir que un tipo de letra cargado de malware tome el control de su sistema a través de Internet Explorer, las actualizaciones de febrero se centran en el controlador OpenType Compact Font Format. Esta vulnerabilidad requiere un poco más de ingeniería social y trabajo por parte del atacante, ya que tendría que convencer al usuario para que visite una página web creada especialmente con el exploit del tipo de letra.

La actualización se considera crítica para los usuarios de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. Se considera importante para Windows XP y Windows Server 2003.

La vulnerabilidad de MHTML continúa
“A pesar de que un par de problemas de seguridad de día cero se han parchado, todavía no hemos recibido un parche para los problemas de MHTML que afectan a todas las versiones de Internet Explorer, lo que significa que podemos esperar un igualmente perturbador Martes de parches en marzo”, dijo en un comunicado Paul Henry, analista de seguridad y forense del proveedor de administración de vulnerabilidades Lumension.

El código de explotación surgió en enero, el cual ataca una vulnerabilidad en el manejador de protocolo MHTML. La falla afecta a todas las versiones de Windows, una víctima puede ser infectada al hacer clic en un enlace malicioso de un sitio web que dirija a un documento HTML. La técnica inyecta código JavaScript malicioso en el navegador de la víctima, dando al atacante la posibilidad de “falsificar contenido, divulgar información o realizar cualquier acción que el usuario pueda realizar en el sitio web afectado en nombre del usuario atacado”, dijo Microsoft en su aviso sobre la falla.

Miller dijo que sería difícil determinar lo que está programado para marzo, ya que este suele ser un mes “más ligero” en la alternancia de la carga de trabajo de Microsoft. Miller continuó diciendo que la empresa tiene pendiente por lo menos un aviso desde hace aproximadamente un mes, pero que por ahora no era una amenaza crítica.

“En los últimos 4 o 5 meses ellos han estado trabajando muy estrechamente con los socios de investigación de seguridad”, dijo Miller. “Sólo para incluso jugar a Nostradamus y tratar de adivinar lo que va a venir próximamente es muy interesante … ahora aún sus meses ligeros son grandes de manera que para el mes que viene yo no podría decir lo que viene, pero sé que tienen mucho en su cola.

Microsoft publicó una cantidad récord de 17 boletines de seguridad el pasado martes, reparando una vulnerabilidad de “día cero” utilizada por el notorio malware Stuxnet y bloqueando el ataque a varias fallas críticas en Internet Explorer.

El gigante del software reparó 40 vulnerabilidades de productos y siete fallas críticas, tanto en software cliente como en sistemas de servidor, que afectan a Microsoft SharePoint Server y Exchange. Los expertos en parches dijeron que los boletines adicionales indican que Microsoft puede estar haciendo un esfuerzo por mejorar el tiempo que toma para reparar las vulnerabilidades.

“Las organizaciones necesitan mejorar la planificación del tiempo de inactividad de sus sistemas en función de los martes de parches porque el número de parches no va a disminuir en el corto plazo”, dijo Amol Sarwate, gerente del laboratorio de investigación de vulnerabilidades de Qualys Inc., un proveedor de gestión de vulnerabilidades con sede en Redwood Shores, California.

Microsoft parchea la cuarta vulnerabilidad de día cero utilizada por los delincuentes detrás del troyano Stuxnet. El sofisticado malware ataca varias otras vulnerabilidades para acceder a los sistemas Windows y a continuación utiliza una de las dos vulnerabilidades en el Windows Task Scheduler para elevar sus privilegios en su afán por atacar el software de monitoreo de control y adquisición de datos (SCADA) de Siemens. Microsoft ha calificado la vulnerabilidad “importante” y dijo que el atacante debe tener credenciales válidos de inicio de sesión y estar autenticado de forma local para explotar la falla.

Microsoft bloqueó varias vulnerabilidades críticas en Internet Explorer siendo utilizadas por los atacantes en una serie de ataques drive-by. El boletín resuelve cinco fallas fundamentales que afectan a todas las versiones de Internet Explorer, tanto en clientes y servidores Windows. Sarwate dijo que Microsoft ha visto un aumento en los ataques contra las vulnerabilidades de IE en los últimos días.

“Hubo un repunte importante en China y Corea, donde estas vulnerabilidades se utilizaban con fines de explotación”, dijo Sarwate.

Varias vulnerabilidades críticas en el controlador de Open Type Font de Microsoft Windows fueron reparadas también por la compañía el martes. Microsoft dijo que un atacante podría alojar una tipografía OpenType en un directorio compartido de red y hacer que un usuario navegue a la misma, activando automáticamente la vulnerabilidad en el Explorador de Windows “, permitiendo de esta forma que la tipografía especialmente diseñada tome el control total sobre un sistema afectado.” La actualización de seguridad se considera crítica para el controlador OTF que se ejecuta en Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008.

Además, Microsoft corrigió varias vulnerabilidades en la forma en que Microsoft y algunas aplicaciones de terceros precargan archivos compartidos en Windows. Varios boletines corrigen vulnerabilidades en el manejo de media o errores en la precarga de DLL. Los boletines se consideran importantes y reparan fallas de precarga en sistemas cliente y servidor. Los administradores deben instalar los parches, pero Sarwate de Qualys dijo que los administradores pueden leer y aplicar una solución de precarga DLL que repara los errores de precarga en cientos de componentes de Windows de otros fabricantes.

Otro boletín de seguridad notable corrige siete vulnerabilidades en Microsoft Office que un atacante puede explotar de forma remota para acceder a archivos críticos del sistema o instalar software malicioso. Las vulnerabilidades afectan a Microsoft Office Graphics Filters y pueden ser explotadas logrando que un usuario abra un archivo de imagen malicioso. La vulnerabilidad es calificada de “importante” para Microsoft Works 9, Microsoft Office Converter Pack y Microsoft Office XP y Microsoft Office 2003.

VMware Inc. ha lanzado un aviso de seguridad, advirtiendo a los usuarios de su software ESX 4.1 que una vulnerabilidad en el hipervisor podría permitir a un usuario local obtener privilegios locales.

La compañía emitió un parche el pasado lunes, corrigiendo un problema de desbordamiento de puntero de pila que podría dejar de bloquear a un usuario local de obtener privilegios adicionales sin los debidos controles.

Cualquier vulnerabilidad en un hipervisor es un motivo de preocupación por el papel clave que desempeña en la gestión de los entornos informáticos virtualizados. Los investigadores han estado estudiando la manera de atacar a una sesión de máquina virtual a través del hipervisor.

De acuerdo con Tim Orchard, director técnico de Activity Information Management Ltd., una empresa de pruebas de penetración basada en Hampshire; a pesar de que esta vulnerabilidad en particular no puede ser explotada de forma remota, se han descubierto en el último año algunas vulnerabilidades en la interfaz de administración remota de ESX que han sido explotadas con éxito durante pruebas de penetración.

Sin embargo, Orchard dijo, las amenazas contra el hipervisor son en la actualidad más teóricas que reales. “Al poner un número de servidores en un sólo dispositivo se provee un objetivo atractivo para atacar”, dijo. “Se han realizado investigaciones importantes en la manera de atacar el hipervisor, pero ha sido difícil de explotar en el mundo real.”

Orchard dijo que las organizaciones que adoptan la virtualización pueden adoptar buenas prácticas para reducir el riesgo. “Las interfaces de administración del servidor virtual son siempre una debilidad potencial y no deben ser expuestas al exterior,” dijo.

Además, Orchard dijo que los sistemas virtualizados no deben utilizarse alrededor de barreras de seguridad – por ejemplo, no deberían existir servidores virtuales a ambos lados de un firewall – ya que cualquier vulnerabilidad explotada en el software de virtualización podría proporcionar una ruta alterna para evadir al firewall.

“Al igual que todos los servidores, los sistemas virtualizados deben mantenerse al día con los parches y endurecidos mediante la eliminación de los servicios que no sean utilizados y la desactivación de las cuentas por defecto”, dijo. “Y recuerde que no todo tiene que ser virtualizado.”

Adobe Systems Inc. está advirtiendo a los usuarios sobre correos electrónicos falsos que se presentan como parches fuera de ciclo para el software Flash Player, Acrobat y Acrobat Reader.

Adobe tiene previsto publicar hoy los parches fuera de ciclo, y como resultado, algunos proveedores de software antivirus falsos se aprovechan de la situación mediante el envío de mensajes que supuestamente provienen de Adobe. Los mensajes pueden contener antivirus falsos y otros tipos de malware y puede también conducir a las víctimas a sitios de phishing para obtener información personal, que pueden ser útiles en una estafa posterior.

Adobe tiene previsto emitir actualizaciones críticas para Adobe Acrobat y Adobe Reader para versiones de Windows y Macintosh. actualizaciones de UNIX están previstas para el 30 de noviembre. La actualización se aplica a los usuarios de Adobe Acrobat y las versiones de Reader 9.4 y anteriores.

Adobe dijo que los usuarios deben ser cautelosos al recibir notificaciones por correo electrónico, ya que algunas de ellas pueden proceder de los delincuentes cibernéticos.

“Muchos de estos mensajes de correo electrónico requieren que el usuario se registre y/o proporcione información personal. Tenga en cuenta que estos correos electrónicos no han sido enviados por Adobe o en nombre de Adobe”, advirtió la empresa.

Adobe dijo que su software de visualización de PDF, Reader, está disponible gratuitamente para su descarga directa desde la Página de Descarga de Adobe Reader y no está disponible de otra manera.

“Los clientes que reciban uno de estos correos electrónicos potencialmente maliciosos debe eliminar el mensaje inmediatamente sin hacer clic en cualquiera de los vínculos”, dijo Adobe.

Tom Kelchner, escribiendo en el blog de Sunbelt identificó un grupo que ya está utilizando falsos mensajes de correo electrónico de Adobe. Dijo que la “gente maliciosa” detrás del antivirus falso ThinkPoint.FakeRean están utilizando un instalador de Flash Player falso para engañar a las víctimas para que descarguen su software fraudulento. Dijo que el programa de instalación parece bastante convincente.

“Están haciendo que parezca real, pero si la dirección no muestra adobe.com entonces es falso”, escribió Kelchner.

Microsoft corrigió vulnerabilidades en Forefront Unified Access Gateway y fallas en Microsoft Office y PowerPoint como parte de su programa de parches mensuales.

El gigante del software publicó tres boletines de seguridad, el pasado martes, haciendo frente a 11 vulnerabilidades en su ciclo de parches de noviembre. Una de las cinco vulnerabilidades corregidas en Microsoft Office podría permitir a un atacante ejecutar código remotamente en la máquina de la víctima, logrando que el usuario abra un mensaje de correo electrónico en formato de texto enriquecido. La actualización de seguridad se considera “crítica” para Microsoft Office 2007 y 2010.

Josh Abraham, un investigador de seguridad del proveedor de gestión de vulnerabilidades con sede en Boston Rapid7 LLC, dijo que la vulnerabilidad crítica podría permitir a los ciberdelincuentes llevar a cabo ataques de malware “drive-by”.

Microsoft también abordó cuatro vulnerabilidades de seguridad en Forefront Unified Access Gateway. El gateway es un VPN SSL, utilizado para dar a los empleados acceso remoto seguro a los sistemas y aplicaciones empresariales. El UAG es vulnerable a un defecto de suplantación de identidad que permite a los empleados malintencionados aumentar sus privilegios de usuario. El boletín es calificado como “importante” para todas las versiones de Forefront Unified Access Gateway 2010.

“Sin la corrección, los administradores que hagan clic en enlaces maliciosos de cross-site scripting podrían provocar la ejecución de código que permite a atacantes crear usuarios o cambiar la configuración en el servidor de Microsoft Forefront,” escribió Wolfgang Kandek, director de tecnología de Qualys Inc., un proveedor de gestión de vulnerabilidades basado en Redwood Shores, California; en el blog de la compañía.

Además, Microsoft corrigió dos defectos de PowerPoint. Microsoft dijo que las fallas podrían permitir a un atacante ejecutar código remotamente en la máquina de la víctima después de conseguir que el usuario abra un archivo malicioso de PowerPoint. A pesar de ser calificado como “importante”, Microsoft ha dado a las vulnerabilidades una calificación de explotación de nivel 1, lo que significa que es probable que surja código público que intente explotar las vulnerabilidades. La actualización afecta a Microsoft PowerPoint 2002, 2003 y Microsoft Office 2004 para Mac.

Existe una vulnerabilidad de día cero de Internet Explorer, reconocida por Microsoft la semana pasada, la cual sigue sin parche. Los expertos en seguridad advirtieron que las soluciones temporales descritas en el aviso podrían afectar el funcionamiento de algunas páginas web.

Un oportuno recordatorio vino de Daniel Wesemann quien escribió hoy en el blog de SANS Internet StormCenter sobre la necesidad de asegurarse de que Java se mantenga parchado y al día.

Oracle Corp. (que ahora es dueño de Java, desde la compra de Sun Microsystems el año pasado) publicó un paquete de parches para Java en octubre, que incluía una larga lista de parches de seguridad, varios para corregir vulnerabilidades que podrían permitir ataques drive-by.

“Y dado que Java está presente en casi todas las PCs con Windows, y la gente no parece hacer sus actualizaciones de Java tan diligentemente como las de Windows, hay una gran cantidad de PCs vulnerables por ahí”, dice Wesemann.

Describe en detalle una popular familia de exploits circulando actualmente, llamada “bpac”, que explota la vulnerabilidad Hashmap (CVE-2010-0840). Un usuario sólo tiene que visitar una página web infectada, y el exploit descarga una serie de archivos .exe (en un caso, hasta 66 de ellos) que podría ser difícil de limpiar después del evento.

Irónicamente, el ataque sería bloqueado por un parche de seguridad de Java emitido en julio, pero, como Wesemann señala: “Supongo que los chicos malos no comenzarán a ‘quemar’ sus exploits de Java más recientes cuando los viejos todavía funcionan”.

Su consejo es corto y dulce: “Si no lo han hecho aún, deben perseguir y actualizar cada encarnación de Java en las computadoras bajo su responsabilidad”.

Un fin de semana activo para Adobe Systems Inc., con una nueva vulnerabilidad potencial anunciada para Adobe Reader y una nueva actualización de seguridad para solucionar un grave defecto en Adobe Flash Player.

Adobe Reader
La compañía dijo que está investigando la publicación de código de prueba de concepto que demuestra un ataque de denegación de servicio dirigido a una vulnerabilidad de día cero en Adobe Reader. La compañía dijo que no ha detectado incidente alguno del código siendo utilizado por los atacantes.

Mientras tanto, Adobe recomienda a los usuarios activar el JavaScript Blacklist Framework para evitar que los atacantes puedan atacar la falla. El framework fue introducido en las versiones 9.2 y 8.1.7. Permite a los usuarios bloquear ciertas APIs vulnerables sin desactivar JavaScript por completo.

El framework puede ser aplicado a Adobe Reader 9.2 y versiones posteriores, y Adobe Reader 8.1.7 y versiones posteriores. Las instrucciones detalladas de cómo hacer los cambios, tanto para sistemas Windows y Mac, están en el blog de Adobe PSIRT.

Adobe Flash Player
Adobe ha publicado el Adobe Flash Player 10.1.102.64, el cual corrige 18 vulnerabilidades críticas en Adobe Flash Player 10.1.85.3 y versiones anteriores de Windows, Macintosh, Linux y Solaris. Las vulnerabilidades podrían causar la caída de la aplicación y permitir a un atacante ejecutar código para tomar el control de un sistema afectado.

Una vulnerabilidad en Adobe Flash Player 10.1.95.1 para los sistemas operativos Android se solucionará con una actualización que se publicará el 9 de noviembre.

Un investigador de seguridad ha publicado código de prueba de concepto que aprovecha una vulnerabilidad en la mayoría de las versiones del sistema operativo para smartphones Android de Google.

MJ Keith de Alert Logic, dijo haber publicado el código de ataque para exponer lo que caracterizó como prácticas inadecuadas de parchado en la plataforma móvil de código abierto. En lugar de encontrar el error subyacente por sí mismo, él buscó a través de una lista de fallos de seguridad documentadas para Safari de Apple, que se basa en el mismo motor de navegador Webkit utilizado en Android. En poco tiempo, obtuvo un ataque que explota cerca de dos tercios de los teléfonos que se basan en el sistema operativo.

“Ellos necesitan un mejor sistema de parches”, dijo Keith a The Register. “Ellos hacen un buen trabajo de reparación de futuras versiones, pero creo que un mejor sistema de parchado debe ser creado para Android.”

El error que explota el código de Keith se corrigió en Android 2.2, pero de acuerdo a cifras proporcionadas por Google, sólo el 36 por ciento de los usuarios tienen la versión más reciente. Eso significa que el resto son susceptibles al ataque.

Lo que es más, Keith dijo que no tenía problemas para encontrar otras vulnerabilidades documentadas de Webkit que aún no se han corregido en la versión 2.2.

“Encontré unos cuatro o cinco y yo no estaba tratando de [hacer] una búsqueda exhaustiva”, dijo.

Un portavoz de Google declinó hacer comentarios sobre este tema.

Para ser justos, el diseño de Android hace un buen trabajo de separar las funciones de una aplicación de las de otra. Eso haría difícil para alguien que explote la falla que Keith ha demostrado obtener privilegios de root o acceder a muchos de los recursos del teléfono atacado. Pero todavía permitiría a un atacante acceder a cualquier cosa que el navegador pueda leer, incluyendo una tarjeta de memoria Secure Digital del teléfono.

Lo más crítico, Keith dijo, es que la mayoría de los usuarios no tienen idea de que sus dispositivos son vulnerables a errores que se han corregido hace tiempo en otras plataformas.

“Yo quería demostrar que nadie está siendo notificado de que su teléfono Android es vulnerable a estas cosas”, explicó. Google “quiere pretender que el problema no está ahí”.

Microsoft publicará tres boletines la próxima semana, reparando 11 vulnerabilidades en Office y Forefront Unified Access Gateway.

En la notificación anticipada publicada el jueves por el gigante del software, Microsoft dijo que un boletín que aborda las vulnerabilidades de Office es calificado como “crítico”. El boletín crítico afecta a Microsoft Office 2007 y 2010.

Un boletín que aborda una falla que podría permitir una elevación de privilegios en Forefront UAG 2010 es calificado como “Importante”. Una tercera actualización, calificada de “importante” reparará errores en Microsoft PowerPoint que podrían ser explotados de forma remota por un atacante.

Las actualizaciones se publicarán el martes como parte del proceso regular de parches mensuales de Microsoft.

Los ingenieros están trabajando en un parche para una vulnerabilidad de día cero en Internet Explorer que está siendo atacada de forma activa mediante ataques drive-by. Microsoft publicó un aviso de alerta el martes sobre un error de asignación de memoria, presente en Internet Explorer 6, 7 y 8, el cual podría permitir a un atacante ejecutar código y lograr acceso a la máquina de la víctima.