La empresa de seguridad informática eEye Digital Security ha anunciado la existencia de un grave fallo de seguridad en el antivirus de Symantec que puede permitir que un cracker infecte y controle a distancia los ordenadores que tengan instalado esté software.

El fallo de seguridad ha sido localizado en el antivirus de Symantec v 10.x y en el Symantec Client Security 3.x aunque la empresa no descarta la existencia de este fallo en otros productos y versiones.

Symantec ya ha lanzado un parche de seguridad para subsanar este fallo.

En las últimas semanas estamos sufriendo multitud de fallos de seguridad en los principales antivirus del mercado.
Fuente: shellsecurity

El control ActiveX WeOnlyDo! SFTP, por defecto, está marcado como seguro, y gracias a esta característica puede permitir a un atacante subir o descargar archivos entre un sistema vulnerable y un servidor SFTP. US-CERT recomienda desactivar el control ActiveX afectado en Internet Explorer para evitar potenciales ataques.

Este control es un componente que permite conexiones Secure File Transfer Protocol (SFTP). A efectos prácticos, el control ActiveX permite establecer conexiones seguras mediante cifrado para la transferencia de archivos.

El problema detectado es que el control ActiveX ha sido marcado como seguro, lo que significa que cualquier página web puede llamarlo y utilizar el control con cualquier parámetro, sin necesidad de solicitar permiso al usuario. Es decir, un atacante podría diseñar una página web que al ser visualizada
intente subir o descargar archivos de forma indiscriminada desde el ordenador que visualiza la página y un servidor SFTP.

US-CERT recomienda desactivar el uso de este control con Internet Explorer para evitar potenciales ataques, sin que ello afecte a otras aplicaciones que puedan utilizarlo de forma legítima. Más información en el aviso original de US-CERT en la dirección http://www.kb.cert.org/vuls/id/378604
Fuente: Oxygen3

La prestigiosa publicación C|Net acaba de publicar un listado con los que según su criterio son los mejores antivirus del mercado.

El listado queda:
1. Trend Micro PC-cillin Internet Security 2006 (7,8 puntos)
2. Kaspersky Internet Security 6 (7,3)
3. F-Secure Internet Security 2006 (7,3)
4. CA eTrust EZ Antivirus 7,1 (6,45)
5. McAfee VirusScan 2006 (6,0)
6. AVG Anti-virus 7.1 Professional Single Edition (5,8)

Todos disponen de versiones de evaluación que pueden ser libremente descargadas desde la página de C|Net que además lleva a cabo un estudio pormenorizado del mismo.

Durante el pasado fin de semana ha sido descubierto un nuevo troyano, reconocido como Win32/Ginwui. Dicho troyano, aprovecha un problema de seguridad en Microsoft Word para realizar acciones encubiertas en los sistemas a los que llega.

Este nuevo código malicioso fue enviado masivamente por correo electrónico como un documento de Microsoft Word, aunque no puede propagarse por sí mismo. Si el usuario abre el documento adjunto, el troyano instala un componente más que permitirá a extraños acceder al equipo remotamente. Tras hacer esto, muestra un mensaje de error, cierra automáticamente el Microsoft Word, y reemplaza el documento que estaba infectado por otro limpio para cubrir los rastros.

El troyano hace un reconocimiento exhaustivo de qué tenemos en nuestro sistema, y se conecta periódicamente a un servidor localizado en Asia para informar que está activo y que ya puede recibir comandos.

Una segunda variante de este troyano, detectada como Win32/Ginwui.B, también fue detectada pocas horas después, y solamente tiene leves modificaciones.

Normalmente, un documento de Microsoft Word conteniendo código malicioso debería ser bloqueado a través de las funcionalidades de seguridad del propio Word, pero en este caso, el troyano se vale de un agujero de seguridad nuevo y no corregido aún por Microsoft, quien anunció que lanzaría una actualización de seguridad para esta vulnerabilidad en la próxima liberación programada, aproximadamente prevista para el 13 de Junio.

No solamente entra en el sistema de forma oculta y sin ser detectado, sino que también intenta mantenerse de esta manera tras haberse instalado. Win32/Ginwui tiene características de rootkit, funcionando de manera que los archivos que instale en el sistema, así como las modificaciones que realice no sean detectados.

Aunque estas primeras variantes del troyano Ginwui no hayan tenido un alto nivel de propagación, la vulnerabilidad existente en el Microsoft Word abre la puerta a que otros códigos maliciosos pueden aprovecharla y lograr mayores índices de infección.

Cisco ha anunciado una vulnerabilidad en su cliente VPN para Windows por la que un usuario local podría llegar a conseguir privilegios administrativos.

El Cliente Cisco VPN es una solución software para sistemas operativos Sun Solaris, Apple MacOS Classic y MacOS X, Linux y Microsoft Windows que permite a los usuarios de estos sistemas establecer túneles IPSec VPN a dispositivos calificados Cisco VPN, tales como los routers Cisco IOS, el PIX Security Appliance, los VPN 3000 Series Concentrators y los ASA 5500 Series Adaptive Security Appliances.

Se ven afectados las versiones 2.x, 3.x, 4.0.x, 4.6.x, 4.7.x con la excepción de la versión 4.7.00.0533 y la 4.8.00.x del Cisco VPN Client para Windows (están excluidos los usuarios de Windows 9x).

En un boletín de seguridad Cisco confirma una vulnerabilidad de elevación de privilegios local en su Cliente VPN para Windows, también conocido como “VPN client dialer”. Un atacante local podrá explotarla para elevar sus privilegios de usuario y obtener permisos equivalentes a LocalSystem.

Cisco ha publicado una actualización que corrige está vulnerabilidad, ésta nueva versión 4.8.01.0300 del Cliente Cisco VPN para Windows, puede descargarse desde: http://www.cisco.com/pcgi-bin/tablebuild.pl/windows (solo para usuarios registrados). El aviso de seguridad de Cisco está disponible en http://www.cisco.com/warp/public/707/cisco-sa-20060524-vpnclient.shtml.
Fuente: Oxigen3

La beta 2 del nuevo Microsoft Office 2007 ya se encuentra disponible para su descarga.

Lista para descargar, directamente desde los servidores de Microsoft.

Requiere registro.
Fuente: Hispamp3

Sun ha anunciado la existencia de una vulnerabilidad en Sun Java System Directory Server, por la que un usuario remoto podrá conseguir acceso administrativo a la consola.

Cuando el Directory Server se instala, la contraseña de administración se almacena en “/admin-serv/config/admpw”. Esto podrá permitir a cualquier usuario local o remoto acceder a la consola del Directory Server para conseguir acceso con nivel de administrador al Directory Server.

La versión afectada por este problema es Sun Java System Directory Server 5.2 bajo cualquier plataforma. No se ha publicado ninguna actualización, pues basta con cambiar de forma manual la contraseña del administrador asignada en la primera instalación para evitar la vulnerabilidad. Esta contramedida, detallada totalmente en el aviso de Sun, se puede llevar a cabo desde la consola de administración o por línea de comando.

El aviso de Sun se encuentra disponible en http://sunsolve.sun.com/search/document.do?assetkey=1-26-102345-1.
Fuente: Oxygen3

Se ha anunciado una vulnerabilidad de desbordamiento de bufer en Microsoft Word que permitiría a un atacante ejecutar código en los sistemas afectados.

El problema es grave, y los propios CERT ya se han apresurado a advertir sobre él, (http://www.us-cert.gov/cas/techalerts/TA06-139A.html) ya que la apertura de un documento Word especialmente creado, puede aprovechar el problema. Esto incluye documentos alojados en sitios web o adjuntos a mensajes de correo.

Los documentos Office pueden embeber diferentes objetos. Por ejemplo, un documento Word puede embeberse en un documento Excel o PowerPoint. Debido a ello, cualquier tipo de documento Office puede emplearse para llevar a cabo el ataque. El problema se ha confirmado en Microsoft Word 2003 y Microsoft Word XP (2002), en sistemas totalmente actualizados.

Hasta la publicación de la adecuada actualización, Oxygen3 recomienda no abrir documentos de Office que provengan de fuentes desconocidas, así como mantener los antivirus perfectamente actualizados.
Fuente :Oxygen3

Desde ayer lunes 15 de mayo están disponibles en www.cdlibre.org diez nuevos CDs
temáticos y dos DVDs con recopilaciones de software libre / gratuito
para Windows, que contienen 600 programas diferentes. Entre ellos, 98
programas han publicado nuevas versiones a lo largo de las últimas 4
semanas (por ejemplo, 7-zip, BOINC, Dia, LeechGet, Paint .NET,
Stellarium, VLC o World Wind). También he añadido 19 nuevos programas
(entre otros, el lenguaje de programación Ruby, el buscador de letras
EvilLyrics o los juegos Escape, Globulation2 o Stunt Playground).

cdlibre.org está dedicado a la difusión del software libre /gratuito
para Windows. En cdlibre.org puedes consultar el
catálogo de software para descargar los programas individualmente y
también puedes descargar
imágenes ISO de CDs con todos los programas incluidos. Todos los
programas son para Windows y al menos gratuitos para uso personal y sin
limitaciones temporales. Alrededor del día 15 de cada mes se actualizan
los CDs y semanalmente se actualizan y amplian las referencias. Además,
un boletín
semanal permite recibir por correo electrónico el listado de
novedades.

Se ha identificado una vulnerabilidad en los clientes Novell (Novell Client) que puede ser aprovechada por usuarios remotos para ejecutar comandos arbitrarios.

El problema reside en un desbordamiento de bufer en la implementación de la capa de comunicaciones NDPS RPC, concretamente en la librería “dprpcw32.dll”, que no trata adecuadamente consultas y respuestas específicamente construidas. En este caso, un atacante que logre aprovecharse del desbordamiento de bufer puede provocar una denegación de servicio e incluso llegar a comprometer los sistemas vulnerables mediante mensajes de red construidos a tal efecto.

Se ven afectados los clientes Novell para Windows versiones 4.83 SP3, 4.90 SP2 y 4.91 SP2. Novell ha publicado una actualización que puede descargarse desde la dirección: http://support.novell.com/servlet/filedownload/sec/ftf/491psp2_dprpcw32.exe. Más información sobre el problema, en http://www.frsirt.com/english/advisories/2006/1759.