Mostrando mensaje 641     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1592 Año 8, lunes 15 de noviembre de 2004 Fecha: Lunes, 15 de Noviembre, 2004  07:23:33 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1592 Año 8, lunes 15 de noviembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Que tan importantes son los fallos anunciados en el SP2 2 - Bofra ataca el ciclo de actualizaciones de Microsoft _____________________________________________________________ 1 - Que tan importantes son los fallos anunciados en el SP2 _____________________________________________________________ http://www.vsantivirus.com/15-11-04a.htm Que tan importantes son los fallos anunciados en el SP2 Por Angela Ruiz angela@videosoft.net.uy Luego que la empresa de seguridad Finjan publicara un comunicado de prensa donde asegura haber descubierto diez importantes agujeros en la seguridad de Windows XP, se ha desatado un debate acerca de este anuncio (ver "Advierten sobre diez graves fallos en Windows XP SP2", http://www.vsantivirus.com/12-11-04.htm). Microsoft reprendió públicamente a dicha firma privada, por liberar la información sobre estas vulnerabilidades encontradas en el Service Pack 2 de Windows XP. Finjan se defiende diciendo que "millones de usuarios están en riesgo", ya que explotando eras vulnerabilidades, "los atacantes podrían silenciosamente y en forma remota, tomar posesión de una máquina con Windows XP que tenga instalado SP2, mientras el usuario simplemente navega en una página Web". El jefe ejecutivo de esta compañía, dice haber dado a Microsoft los detalles técnicos completos, incluyendo el código de las diferentes pruebas de concepto que demuestran sus dichos, pero el gigante del software reaccionó ásperamente, sugiriendo que la advertencia de Finjan es exagerada. "Nuestros análisis indican que lo que Finjan clama, es potencialmente engañoso, y posiblemente erróneo con respecto al alcance y la severidad de las pretendidas vulnerabilidades en el SP2 de Windows", dijo un portavoz de Microsoft. "Una vez que Microsoft concluya la investigación de lo que Finjan proclama, y si realmente se encuentra una vulnerabilidad válida en Windows XP SP2, entonces tomaremos la acción inmediata más apropiada para ayudar a proteger a nuestros clientes", agregó el portavoz. Según Finjan, los problemas son tan graves que un usuario puede estar en peligro por solo visitar una página Web. Un atacante podría también conseguir acceso remoto a los archivos de su víctima, o incluso obtener los permisos de ejecución en le zona de seguridad local. Los investigadores también dicen haber descubierto un error en el mecanismo de notificación de Windows XP SP2, cuando se descargan ejecutables, pudiendo éste ser eludido por los piratas informáticos, y permitiendo así inyectar código sin ninguna clase de advertencia. Cuándo se le comentó a un ejecutivo de Finjan que Microsoft dudaba de la importancia de estos reclamos, éste afirmó que no se tratan de suposiciones teóricas. "Estas conclusiones se basan en la aplicación de código en y para cada una de esas diez vulnerabilidades". Microsoft alienta a Finjan a respetar los principios de la divulgación responsable, y a que no revele detalles adicionales o comentarios sobre las supuestas vulnerabilidades, hasta que el propio fabricante complete sus investigaciones y responda apropiadamente para proteger a sus clientes. Otras firmas de seguridad, piensan que este asunto demuestra una vez más la necesidad de establecer un protocolo de cooperación aceptable entre investigadores independientes y fabricantes de software. "Soy partidario de revelar la información requerida en el momento apropiado, y eso es por lo general cuando un parche ya está disponible. En este caso, usted debería preguntarse cuál es el espíritu de liberar información cuando el vendedor todavía está haciendo las investigaciones", afirma Gerhard Eschelbeck, de la firma consultora Qualys. Finjan insiste que no hizo nada extraordinario. "Proporcionamos la divulgación completa y los detalles técnicos sólo al vendedor. Ningún código técnico detallado ni prueba de concepto se publicó jamás. La información que hemos publicado es básica, y pretende ayudar a las personas para que se protejan a sí mismos". Rick Fleming, jefe de tecnología de la firma Digital Defense Inc. de Texas, piensa que una buena regla empírica sería darle a un vendedor de 30 a 60 días para crear y probar los parches respectivos, antes de liberar la información. "En un mundo perfecto, los dos lados deben trabajar juntos en el parche y coordinar la divulgación de la información cuando la solución esté lista. Eso es lo que sucede muchas veces, pero desgraciadamente, como sucede en este caso, es todavía un problema", dice Fleming. Fleming opina además, que los vendedores de software deben asumir también parte de la culpa. "Algunos vendedores arrastran los pies cuando un asunto de seguridad es traído a su atención. Eso es un hecho, y es una queja legítima entre los investigadores". En muchos casos, los descubridores independientes de vulnerabilidades trabajan sólo para el reconocimiento de sus pares, y por la publicidad engendrada. "Existe competencia entre los investigadores de seguridad, y encontrar un problema grande en SP2 es una gran cosa para un investigador", dice Fleming. Pero la divulgación responsable siempre debe servir a los intereses del usuario final. Si cualquier elemento de esta revelación pone al usuario en riesgo, eso se convierte en irresponsable. Marty Lindner del CERT, dice que el problema con la divulgación de vulnerabilidades se ha exacerbado, por el hecho de que las firmas investigadores suelen tener políticas diferentes. "Llega a ser una pregunta filosófica. En un extremo, están los que apoyan la divulgación completa, en el otro quienes no quieren decir absolutamente nada". Ambos extremos suelen usar como justificación que benefician al usuario. Revelar toda la información puede hacer que una posible víctima esté advertida, y por lo tanto sea más cuidadosa a la hora de manejar sus aplicaciones. Pero también le da a los piratas herramientas para que exploten más extensivamente sus exploits. Por otra parte, no revelar nada hasta que se publiquen los parches, puede hacer más difícil que alguien descubra prematuramente como usar maliciosamente un fallo, pero al mismo tiempo deja al usuario totalmente desprevenido, y lo que es peor, con una falsa sensación de seguridad. Por el momento, existen dudas de la verdadera gravedad del anuncio de Finjan. Y lo cierto que la información publicada poco hace para prevenir al usuario, aunque si proporciona material para la prensa sensacionalista. En VSAntivirus pensamos que avisar del hecho es importante para mantener atento al usuario responsable. Pero aún a pesar de ello, la protección extra que el SP2 proporciona, es algo que no debemos poner en discusión, y alentamos a los usuarios que aún no lo han hecho, a instalarlo. De todas las últimas amenazas, incluyendo virus, la mayoría solo afecta a quienes no usan Windows XP con SP2. * Relacionados Advierten sobre diez graves fallos en Windows XP SP2 http://www.vsantivirus.com/12-11-04.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Bofra ataca el ciclo de actualizaciones de Microsoft _____________________________________________________________ http://www.vsantivirus.com/15-11-04b.htm Bofra ataca el ciclo de actualizaciones de Microsoft Por Angela Ruiz angela@videosoft.net.uy Los creadores del gusano Bofra (también detectado como una variante del Mydoom), que explota la vulnerabilidad IFRAME descubierta recientemente en el Internet Explorer, pueden haber fijado la fecha del lanzamiento de su gusano para volver inútil el ciclo mensual de actualizaciones de Microsoft y desacomodarlo, dijeron expertos de seguridad. En su última actualización mensual, Microsoft no incluyó la solución para esta vulnerabilidad de su navegador, la que es considerada muy seria, debido a que el fallo fue descubierto solo unos pocos días antes de la actualización regular que realiza la compañía. Las primeras dos variantes del gusano detectado al principio como otros Mydoom (luego llamados Bofra), fueron publicadas la misma semana, dejando al gigante del software sin ninguna opción, aún hasta el día de hoy. Expertos como Sean Richmond, jefe de consultoría tecnológica en Sophos Australia, dijo que es imposible para Microsoft crear y luego probar un parche confiable en solo cuatro días, el tiempo entre la publicación realizada de la vulnerabilidad y la actualización del parche de la pasada semana. El ciclo de actualización mensual fue designado para hacer más fácil a los administradores de sistemas programar sus actualizaciones, pero en tan pocos días no hay tiempo suficiente para crear y probar un parche. Ben English, líder del equipo de seguridad de Microsoft, dijo que la compañía aboga por un proceso de liberación de información responsable y que además, está dedicada a descubrir cualquier vulnerabilidad antes de que la misma sea hecha publica. "Las razones son muy obvias. No divulgaremos ninguna información acerca de una vulnerabilidad hasta que tengamos la solución", dijo English. "El peor escenario para nosotros es que lancemos una actualización que tiene problemas de calidad. Creemos que los problemas de liberación de parches en un periodo corto de tiempo son aún más serios que no ponerlos con la calidad que merecen". English no quiso hacer ningún comentario respecto a lo que Microsoft piensa sobre los tiempos de sincronización de los gusanos y el descubrimiento de la vulnerabilidad, pero dijo que si el problema es bastante serio, la compañía rompería su ciclo de actualizaciones para solucionar el problema. "En términos de la sincronización, no tengo ningún comentario sobre si existe un propósito malicioso, pero en cierto modo, esto es algo académico, debido a que si se trata de una vulnerabilidad seria y tenemos un parche disponible, lo lanzaremos fuera del ciclo programado". Aunque basado en el código del Mydoom, el Bofra pertenece a una nueva familia de gusanos, que para propagarse explota la vulnerabilidad de desbordamiento de búfer en el Internet Explorer, provocada por determinado uso de las etiquetas FRAME e IFRAME. BOFRA significa "Buffer Overflow FRAme exploit". * Referencias: W32/Bofra.H. Se vale de la vulnerabilidad en IFRAME http://www.vsantivirus.com/bofra-h.htm W32/Mydoom.AD. Se vale de la vulnerabilidad en IFRAME http://www.vsantivirus.com/mydoom-ad.htm Desbordamiento de búfer con etiqueta IFRAME en IE http://www.vsantivirus.com/vul-ie-iframe-031104.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1592 Año 8, lunes 15 de noviembre de 2004