Novedades
Servicio oficial de una-al-día ofrecido por Hispasec Sistemas.
Actualizado: hace 7 años 4 semanas
Apple publica actualización para Logic Pro X
La semana pasada Apple publicó una actualización de seguridad para GarageBand (su popular programa de composición musical) para OS X, destinada a solucionar un fallo que podía permitir la ejecución remota de código. Acaba de ofrecer una actualización para resolver ese mismo problema en Logic Pro X.
Logic Pro X es un completo estudio de grabación profesional para Mac que ofrece todo lo necesario para generar todo tipo de producciones musicales. Permite edición de audio, edición MIDI, mezclas, edición de partituras, plug-ins, etc.
La actualización está destinada a corregir la vulnerabilidad con CVE-2017-2374, la misma reportada por Tyler Bohan del equipo Cisco Talos, que reside en una escritura fuera de límites al tratar archivos de proyecto de Garage Band específicamente creados. El formato de archivos afectado es .band.
Sin duda al tratarse de un producto de similares características, con tratamiento de los archivos afectados, para el que se encontró la vulnerabilidad inicialmente, el equipo de seguridad de Apple siguió investigando y comprobó que también afectaba a este producto.
Apple ha publicado la versión de Logic Pro X 10.3.1 disponible para OS X El Capitan v10.11 (y posteriores)
Más información:
Logic Pro Xhttp://www.apple.com/es/logic-pro/
Logic Pro X 10.3.1https://support.apple.com/es-es/HT207519
una-al-dia (15/02/2017) Apple publica una nueva actualización de seguridad para GarageBandhttp://unaaldia.hispasec.com/2017/02/apple-publica-una-nueva-actualizacion.html
About the security content of GarageBand 10.1.6https://support.apple.com/en-us/HT207518
TALOS-2017-0275 Apple GarageBand Out of Bounds Write Code Execution Vulnerabilityhttp://www.talosintelligence.com/reports/TALOS-2017-0275/
TALOS-2017-0262 Apple GarageBand Out of Bounds Write Code Execution Vulnerabilityhttp://www.talosintelligence.com/reports/TALOS-2016-0262/
Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Logic Pro X es un completo estudio de grabación profesional para Mac que ofrece todo lo necesario para generar todo tipo de producciones musicales. Permite edición de audio, edición MIDI, mezclas, edición de partituras, plug-ins, etc.
La actualización está destinada a corregir la vulnerabilidad con CVE-2017-2374, la misma reportada por Tyler Bohan del equipo Cisco Talos, que reside en una escritura fuera de límites al tratar archivos de proyecto de Garage Band específicamente creados. El formato de archivos afectado es .band.
Sin duda al tratarse de un producto de similares características, con tratamiento de los archivos afectados, para el que se encontró la vulnerabilidad inicialmente, el equipo de seguridad de Apple siguió investigando y comprobó que también afectaba a este producto.
Apple ha publicado la versión de Logic Pro X 10.3.1 disponible para OS X El Capitan v10.11 (y posteriores)
Más información:
Logic Pro Xhttp://www.apple.com/es/logic-pro/
Logic Pro X 10.3.1https://support.apple.com/es-es/HT207519
una-al-dia (15/02/2017) Apple publica una nueva actualización de seguridad para GarageBandhttp://unaaldia.hispasec.com/2017/02/apple-publica-una-nueva-actualizacion.html
About the security content of GarageBand 10.1.6https://support.apple.com/en-us/HT207518
TALOS-2017-0275 Apple GarageBand Out of Bounds Write Code Execution Vulnerabilityhttp://www.talosintelligence.com/reports/TALOS-2017-0275/
TALOS-2017-0262 Apple GarageBand Out of Bounds Write Code Execution Vulnerabilityhttp://www.talosintelligence.com/reports/TALOS-2016-0262/
Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Vulnerabilidad en el kernel de Linux desde hace más de 11 años
Se ha anunciado la existencia de una vulnerabilidad en el kernel de Linux que podría permitir a usuarios locales obtener privilegios de root y que todo indica que existíadesde hace más de 11 años. Las principales distribuciones ya disponen de actualizaciones.
El fallo, al que se le ha asignado el CVE-2017-6074, reside en una doble liberación de memoria, fue descubierto por Andrey Konovalov, ingeniero de software de Google, mediante syzkaller, un fuzzer (un tipo de analizador) Linux de código abierto desarrollado por la propia firma.
Concretamente, la vulnerabilidad se encuentra en la implementación del protocolo DCCP (Datagram Congestion Control Protocol) desde la primera versión en soportarlo, la 2.6.14 (que data de octubre de 2005). Y que según describe el propio investigador podría aprovecharse para conseguir la ejecución de código kernel desde un proceso sin privilegios.
Para que un sistema sea vulnerable, el kernel debe estar compilado con la opción CONFIG_IP_DCCP. Actualmente, muchas de las distribuciones incluyen esta opción activa por defecto.
El problema se reportó a los desarrolladores del kernel el pasado 15 de febrero, dos días después ya existía un parchey se notificó a las distribuciones, la mayoría de las cuales ya disponen de actualizaciones.
Red Hat Enterprise Linux 6http://rhn.redhat.com/errata/RHSA-2017-0293.htmlUbuntu Linux 12.04 LTShttps://www.ubuntu.com/usn/usn-3206-1/Red Hat Enterprise Linux 7http://rhn.redhat.com/errata/RHSA-2017-0294.htmlUbuntu Linux 16.10https://www.ubuntu.com/usn/usn-3209-1/Red Hat Enterprise Linux 7http://rhn.redhat.com/errata/RHSA-2017-0295.htmlUbuntu Linux 14.04 LTShttps://www.ubuntu.com/usn/usn-3207-1/Ubuntu Linux 16.04 LTShttps://www.ubuntu.com/usn/usn-3208-1/Oracle Linux 6https://linux.oracle.com/errata/ELSA-2017-0293.htmlOracle Linux 6 y 7.https://linux.oracle.com/errata/ELSA-2017-0294.html
Más información:
Linux kernel: CVE-2017-6074: DCCP double-free vulnerability (local root)http://seclists.org/oss-sec/2017/q1/471
syzkallerhttps://github.com/google/syzkaller
dccp: fix freeing skb too early for IPV6_RECVPKTINFO
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=5edabca9d4cff7f1f2b68f0bac55ef99d9798ba4
Antonio Roperoantonior@hispasec.comTwitter: @aropero
El fallo, al que se le ha asignado el CVE-2017-6074, reside en una doble liberación de memoria, fue descubierto por Andrey Konovalov, ingeniero de software de Google, mediante syzkaller, un fuzzer (un tipo de analizador) Linux de código abierto desarrollado por la propia firma.
Concretamente, la vulnerabilidad se encuentra en la implementación del protocolo DCCP (Datagram Congestion Control Protocol) desde la primera versión en soportarlo, la 2.6.14 (que data de octubre de 2005). Y que según describe el propio investigador podría aprovecharse para conseguir la ejecución de código kernel desde un proceso sin privilegios.
Para que un sistema sea vulnerable, el kernel debe estar compilado con la opción CONFIG_IP_DCCP. Actualmente, muchas de las distribuciones incluyen esta opción activa por defecto.
El problema se reportó a los desarrolladores del kernel el pasado 15 de febrero, dos días después ya existía un parchey se notificó a las distribuciones, la mayoría de las cuales ya disponen de actualizaciones.
Red Hat Enterprise Linux 6http://rhn.redhat.com/errata/RHSA-2017-0293.htmlUbuntu Linux 12.04 LTShttps://www.ubuntu.com/usn/usn-3206-1/Red Hat Enterprise Linux 7http://rhn.redhat.com/errata/RHSA-2017-0294.htmlUbuntu Linux 16.10https://www.ubuntu.com/usn/usn-3209-1/Red Hat Enterprise Linux 7http://rhn.redhat.com/errata/RHSA-2017-0295.htmlUbuntu Linux 14.04 LTShttps://www.ubuntu.com/usn/usn-3207-1/Ubuntu Linux 16.04 LTShttps://www.ubuntu.com/usn/usn-3208-1/Oracle Linux 6https://linux.oracle.com/errata/ELSA-2017-0293.htmlOracle Linux 6 y 7.https://linux.oracle.com/errata/ELSA-2017-0294.html
Más información:
Linux kernel: CVE-2017-6074: DCCP double-free vulnerability (local root)http://seclists.org/oss-sec/2017/q1/471
syzkallerhttps://github.com/google/syzkaller
dccp: fix freeing skb too early for IPV6_RECVPKTINFO
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=5edabca9d4cff7f1f2b68f0bac55ef99d9798ba4
Antonio Roperoantonior@hispasec.comTwitter: @aropero
Microsoft publica actualización, pero solo para Flash
Una semana después de informar que este mes no habría actualizaciones de seguridad, Microsoft ha publicado un boletín (el MS17-005) para solucionar únicamente las vulnerabilidades relativas a Flash Player.
Aunque Microsoft había anunciado que no publicaría más boletines en el formato habitual, una semana después de la fecha esperada ha sorprendido con el ya habitual boletín en el que se resuelven las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico.
Se trata de un boletín "crítico" que en esta ocasión soluciona 13 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB17-04de Adobe (y que se publicó y analizó hace una semana en una-al-día).
Resulta un poco extraño la publicación de este único boletín, aun más cuando existen dos vulnerabilidades públicamente conocidas y aún sin parchear. El fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio y el reportado por Project Zero de Google, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038). Todo indica, que tendremos que seguir esperando hasta el próximo 14 de marzo (segundo martes del mes).
En cualquier caso, esta actualización puede descargarse a través de Windows Update o desde Microsoft Update Catalog donde se incluyen las direcciones de descarga directa de cada parche. También se instalará a través de las actualizaciones automáticas en caso de estar programadas.
Más información:
Microsoft Security Bulletin Summary for February 2017https://technet.microsoft.com/library/security/ms17-feb
Microsoft Security Bulletin MS17-005 - CriticalSecurity Update for Adobe Flash Player (4010250)https://technet.microsoft.com/library/security/ms17-005
una-al-dia (14/02/2017) Actualizaciones de seguridad para Adobe Flash Player, Digital Editions y Campaignhttp://unaaldia.hispasec.com/2017/02/actualizaciones-de-seguridad-para-adobe.html
una-al-dia (17/02/2017) Microsoft retrasa sus parches de febrero hasta el 14 de marzohttp://unaaldia.hispasec.com/2017/02/microsoft-retrasa-sus-parches-de.html
Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Aunque Microsoft había anunciado que no publicaría más boletines en el formato habitual, una semana después de la fecha esperada ha sorprendido con el ya habitual boletín en el que se resuelven las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico.
Se trata de un boletín "crítico" que en esta ocasión soluciona 13 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB17-04de Adobe (y que se publicó y analizó hace una semana en una-al-día).
Resulta un poco extraño la publicación de este único boletín, aun más cuando existen dos vulnerabilidades públicamente conocidas y aún sin parchear. El fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio y el reportado por Project Zero de Google, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038). Todo indica, que tendremos que seguir esperando hasta el próximo 14 de marzo (segundo martes del mes).
En cualquier caso, esta actualización puede descargarse a través de Windows Update o desde Microsoft Update Catalog donde se incluyen las direcciones de descarga directa de cada parche. También se instalará a través de las actualizaciones automáticas en caso de estar programadas.
Más información:
Microsoft Security Bulletin Summary for February 2017https://technet.microsoft.com/library/security/ms17-feb
Microsoft Security Bulletin MS17-005 - CriticalSecurity Update for Adobe Flash Player (4010250)https://technet.microsoft.com/library/security/ms17-005
una-al-dia (14/02/2017) Actualizaciones de seguridad para Adobe Flash Player, Digital Editions y Campaignhttp://unaaldia.hispasec.com/2017/02/actualizaciones-de-seguridad-para-adobe.html
una-al-dia (17/02/2017) Microsoft retrasa sus parches de febrero hasta el 14 de marzohttp://unaaldia.hispasec.com/2017/02/microsoft-retrasa-sus-parches-de.html
Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Más de 1.100 ransomwares en Android en el último mes
Todos nos hemos topado con la palabra ransomwarealguna vez, ya que es algo que da que hablar constantemente. Para aquellos que no lo conocen, se trata de un tipo de malware que se encarga de secuestrar un dispositivo con un método característico: cifrando los archivos con una clave secreta. Una extorsión que obliga al usuario a pagar un rescate económico para desbloquearlo; habitualmente mediante una criptomoneda. Incluso pagando el rescate existen casos en los que no puede recuperarse la información, ya que o nunca llegan a proporcionar la clave una vez hecho el pago o esta es inservible.
A pesar de ello, no se le muestra suficiente atención en Android, siendo aun el ordenador de sobremesa o servidor el objetivo habitual, posiblemente por razones estrictamente achacables al retorno de inversión. En este breve estudio, veremos si deberíamos, o no, preocuparnos por este tipo de malware en dispositivos móviles. Y constataremos como se está consolidando como una plataforma lucrativa para los creadores de ransomware.
Haciendo uso de una recolección de datos de seis meses, podemos observar como éste último muestra un aumento muy significativo. A pesar de fluctuar en los distintos meses, podemos apreciar un incremento en este tipo de malware en Android, e incluso como hemos podido llegar a ver este ha afectado a las versiones de Android TV, unos dispositivos muy particulares para los que se debe reorientar la programación del malware para aprovechar las características de este tipo de sistemas o adaptar los vectores de infección.
De entre todas las muestras recolectadas durante los últimos seis meses en Koodous, confirmadas como ransomware, se ha efectuado una clasificación mediante un algoritmo de agrupamiento. Así, se pueden observar cinco grandes grupos basados en la extracción de particularidades en su comportamiento. Estas muestras se nos pueden presentar de distintas formas, ya sea con diferentes iconos, nombres de paquete o nombres de aplicación, sin embargo, poseen un cuerpo de características comunes muy significativo.
Estamos por tanto frente a un auge de esta familia de malware en Android. Es de esperar un crecimiento tanto vertical en el número de detecciones e infecciones exitosas como de una ramificación grupal en base a su "modus operandi", debido a la evolución de este tipo de malware o a nuevos grupos de creadores de malware que progresivamente van adaptándose a la plataforma móvil Android.
¿Cómo evitamos este tipo de malware? Ya hemos advertido muchas veces desde Una-al-día que no existen balas de plata. Todo está expuesto y todos estamos expuestos al comportamiento dañino de un código que termina haciendo aquello que menos esperamos cuando aceptamos su instalación. De nuevo, las medidas son los principios básicos: sentido común como nuestra mejor defensa y una red de seguridad si nos falla nuestro ojo clínico, nuestra propuesta: Koodous, un antivirus ideado por y para la comunidad.
Fernando Díazfdiaz@hispasec.com
A pesar de ello, no se le muestra suficiente atención en Android, siendo aun el ordenador de sobremesa o servidor el objetivo habitual, posiblemente por razones estrictamente achacables al retorno de inversión. En este breve estudio, veremos si deberíamos, o no, preocuparnos por este tipo de malware en dispositivos móviles. Y constataremos como se está consolidando como una plataforma lucrativa para los creadores de ransomware.
Haciendo uso de una recolección de datos de seis meses, podemos observar como éste último muestra un aumento muy significativo. A pesar de fluctuar en los distintos meses, podemos apreciar un incremento en este tipo de malware en Android, e incluso como hemos podido llegar a ver este ha afectado a las versiones de Android TV, unos dispositivos muy particulares para los que se debe reorientar la programación del malware para aprovechar las características de este tipo de sistemas o adaptar los vectores de infección.
De entre todas las muestras recolectadas durante los últimos seis meses en Koodous, confirmadas como ransomware, se ha efectuado una clasificación mediante un algoritmo de agrupamiento. Así, se pueden observar cinco grandes grupos basados en la extracción de particularidades en su comportamiento. Estas muestras se nos pueden presentar de distintas formas, ya sea con diferentes iconos, nombres de paquete o nombres de aplicación, sin embargo, poseen un cuerpo de características comunes muy significativo.
Estamos por tanto frente a un auge de esta familia de malware en Android. Es de esperar un crecimiento tanto vertical en el número de detecciones e infecciones exitosas como de una ramificación grupal en base a su "modus operandi", debido a la evolución de este tipo de malware o a nuevos grupos de creadores de malware que progresivamente van adaptándose a la plataforma móvil Android.
¿Cómo evitamos este tipo de malware? Ya hemos advertido muchas veces desde Una-al-día que no existen balas de plata. Todo está expuesto y todos estamos expuestos al comportamiento dañino de un código que termina haciendo aquello que menos esperamos cuando aceptamos su instalación. De nuevo, las medidas son los principios básicos: sentido común como nuestra mejor defensa y una red de seguridad si nos falla nuestro ojo clínico, nuestra propuesta: Koodous, un antivirus ideado por y para la comunidad.
Fernando Díazfdiaz@hispasec.com