Mostrando mensaje 745     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1695 Año 9, sábado 26 de febrero de 2005 Fecha: Sabado, 26 de Febrero, 2005  06:50:33 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1695 Año 9, sábado 26 de febrero de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Firefox 1.0.1 corrige importantes vulnerabilidades 2 - Microsoft bloqueará activación pirata de Windows XP 3 - W32/Kelvir.A. Se propaga por Windows Messenger _____________________________________________________________ 1 - Firefox 1.0.1 corrige importantes vulnerabilidades _____________________________________________________________ http://www.vsantivirus.com/firefox-250205.htm Firefox 1.0.1 corrige importantes vulnerabilidades Por Angela Ruiz angela@videosoft.net.uy Ha sido publicado Firefox 1.0.1, el cuál corrige severas vulnerabilidades en este navegador, además de agregar algunas mejoras. Los usuarios deben desinstalar las versiones anteriores, respaldar o borrar los perfiles de usuario, y recién entonces instalar la versión 1.0.1. Esto es así, debido a que algunos de los cambios requieren una instalación sobre una configuración limpia para poder asegurar su correcto funcionamiento. Firefox 1.0.1 corrige las siguientes vulnerabilidades: * MFSA 2005-29 Internationalized Domain Name (IDN) homograph spoofing http://www.mozilla.org/security/announce/mfsa2005-29.html Se ha desactivado por defecto el soporte para la implementación del estándar IDN (International Domain Name), que permite la utilización de caracteres internacionales en los nombres de dominios. Esto puede ser explotado para registrar dominios con ciertos caracteres de diferentes idiomas, que en los navegadores vulnerables, serán confundidos con caracteres estándar. Un uso malicioso de esto, permite a un pirata realizar ataques de phishing, poniendo en peligro la seguridad de los usuarios confiados, que creerán estar en un sitio seguro. Más información: Riesgo de spoofing en múltiples navegadores (IDN) http://www.vsantivirus.com/vul-idn-spoofing-080205.htm * MFSA 2005-28 Unsafe /tmp/plugtmp directory exploitable to erase user's files http://www.mozilla.org/security/announce/mfsa2005-28.html Un usuario local malicioso puede utilizar este fallo para borrar directorios de otros usuarios. * MFSA 2005-27 Plugins can be used to load privileged content http://www.mozilla.org/security/announce/mfsa2005-27.html Utilizando plugins tales como el de Flash y un filtro como "- moz-opacity filter", es posible desplegar el contenido de "about:config" (la página de configuración), en un marco escondido o en una nueva ventana. Engañando al usuario para que haga doble clic en una posición concreta de la pantalla (por ejemplo utilizando un juego basado en DHTML -HTML dinámico-), un atacante puede hacer que el usuario cambie el estado de las opciones de configuración (que solo aceptan "si" o no"). Esto puede dejar al navegador vulnerable para aprovecharse de otras debilidades. También es posible descargar y ejecutar código, si se engaña al usuario para realizar scroll del contenido de la ventana del navegador. Más información: Modificación de configuración en Mozilla Firefox http://www.vsantivirus.com/vul-mozilla-flashing-100205.htm * MFSA 2005-26 Cross-site scripting by dropping javascript: link on tab http://www.mozilla.org/security/announce/mfsa2005-26.html El administrador de seguridad de Javascript de Mozilla Firefox, previene que un URL como "javascript:" de un determinado sitio, sea abierto en una ventana desplegando contenido de otro sitio. Pero cuando un enlace es liberado en una pestaña o etiqueta de navegación, el administrador de seguridad parece no enterarse. Esto puede considerarse un grave problema de seguridad, ya que permite desde robar las cookies de una sesión, hasta la habilidad de ejecutar código HTML o scripts de forma arbitraria en el sistema del cliente, dependiendo del sitio desplegado o la configuración de seguridad. Más información: Vulnerabilidad en pestañas de Mozilla Firefox http://www.vsantivirus.com/vul-mozilla-tabbing-100205.htm * MFSA 2005-25 Image drag and drop executable spoofing http://www.mozilla.org/security/announce/mfsa2005-25.html Usualmente Firefox, como otros navegadores, no permite que un archivo ejecutable o cualquier archivo que no sea una imagen, sea directamente "arrastrado" al escritorio. En su lugar, Firefox crea un enlace al archivo en el escritorio. Si se crea un "híbrido" entre una imagen GIF y un archivo de proceso por lotes (BAT), Firefox puede ser engañado. Desde que el híbrido es interpretado como una imagen válida, Firefox intenta copiar dicha imagen en el escritorio cuando la misma es arrastrada. Convirtiendo una imagen a un formato de cadena hexadecimal, y forzando el "Content-Type" como "image/gif", el archivo puede tener cualquier extensión (por ejemplo .BAT o .EXE). Más información: Vulnerabilidad de "arrastrar" en Mozilla Firefox http://www.vsantivirus.com/vul-mozilla-dragging-100205.htm * MFSA 2005-24 HTTP auth prompt tab spoofing http://www.mozilla.org/security/announce/mfsa2005-24.html El aviso de autenticación HTTP aparece encima del contenido de la pestaña actualmente abierta, sin importar que no sea la pestaña que lo provocó. Un usuario malicioso podría llegar a utilizar eso para obtener información confidencial de un usuario, tal como nombre de usuario y contraseñas, aunque la implementación de un ataque de este tipo resulta dificultoso. * MFSA 2005-23 Download dialog source spoofing http://www.mozilla.org/security/announce/mfsa2005-23.html La fuente verdadera de una descarga puede ser disfrazada si se utiliza un URL lo suficientemente largo. Esto puede ser utilizado para engañar a un usuario sobre el verdadero nombre o tipo de archivo de una descarga, brindando la posibilidad de ejecución de código malicioso. * MFSA 2005-22 Download dialog spoofing using Content-Disposition header http://www.mozilla.org/security/announce/mfsa2005-22.html Los usuarios podrían ser engañados para descargar un archivo que simulara ser un JPEG (o cualquier otra clase de archivo no ejecutable), pero en realidad se podría tratar de un código capaz de ejecutarse cuando el usuario hiciera doble clic sobre él, al confiar en que se trata de una inocente imagen. * MFSA 2005-21 Overwrite arbitrary files downloading .lnk twice http://www.mozilla.org/security/announce/mfsa2005-21.html Un usuario podría ser convencido para descargar un archivo .LNK (acceso directo), dos veces de la misma ubicación, posibilitando que un atacante sobrescribiera o borrara archivos en la máquina del usuario. Esto también puede funcionar con archivos .PIF o .URL. * MFSA 2005-20 XSLT can include stylesheets from arbitrary hosts http://www.mozilla.org/security/announce/mfsa2005-20.html Firefox permite incluir hojas de estilo XSLT importadas de dominios arbitrarios. Esto podría ser utilizado para la extracción arbitraria de información. * MFSA 2005-19 Autocomplete data leak http://www.mozilla.org/security/announce/mfsa2005-19.html Un sitio malicioso puede crear una página preparada para que la función autocompletar de Firefox, agregue algunos datos comunes (números telefónicos, etc.), de tal modo que estos datos podrían ser copiados en campos ocultos de un formulario y enviados a dicho sitio web. * MFSA 2005-18 Memory overwrite in string library http://www.mozilla.org/security/announce/mfsa2005-18.html Un problema de sobrescritura arbitraria de memoria podría permitir la ejecución de código. * MFSA 2005-17 Install source spoofing with user:pass@host http://www.mozilla.org/security/announce/mfsa2005-17.html La ventana de confirmación de instalación muestra la fuente del software. Si se agrega al comienzo del nombre de un sitio legítimo, un nombre de usuario y contraseña falsos en el estilo "nombre_de_usuario:contraseña", el usuario podría ser engañado sobre la verdadera naturaleza de un programa pudiendo instalar código malicioso. * MFSA 2005-16 Spoofing download and security dialogs with overlapping windows http://www.mozilla.org/security/announce/mfsa2005-16.html Las ventanas de descarga o de advertencias de seguridad, pueden ocultarse si se utiliza JavaScript para crear una ventana pop-up que se coloca sobre la ventana de diálogo original. Esto puede inducir a un usuario a confiarse en una ventana engañosa, y a realizar una acción adicional basada en un falso sentido de seguridad. Más información: Spoofing de ventanas en Mozilla, Netscape y Firefox http://www.vsantivirus.com/vul-mozilla-netscape-140105.htm * MFSA 2005-15 Heap overflow possible in UTF8 to Unicode conversion http://www.mozilla.org/security/announce/mfsa2005-15.html El uso malicioso de una cadena UTF8 (Unicode Transformation Format 8 en HyperTerminal), puede provocar un desbordamiento de búfer que sobrescribe la memoria usada por el programa. * MFSA 2005-14 SSL "secure site" indicator spoofing http://www.mozilla.org/security/announce/mfsa2005-14.html Se puede mostrar el icono de "sitio seguro" (SSL), aún cuando el sitio que lo muestra no lo sea. Múltiples implementaciones de esta técnica pueden ser utilizadas para ataques de phishing. * MFSA 2005-13 Window Injection Spoofing http://www.mozilla.org/security/announce/mfsa2005-13.html Cualquier sitio web puede inyectar contenido en una ventana desplegada por otro sitio, si se conoce el nombre de dicha ventana. Para explotar esta debilidad, la víctima debe ser inducida a hacer clic sobre un enlace a otro sitio (por ejemplo un banco). Si dicho sitio abre alguna ventana, el web malicioso puede inyectar en ella cualquier contenido, sin que el usuario sospeche que el mismo no pertenece al sitio original. Más información: Inyección de ventanas en Mozilla y Mozilla Firefox http://www.vsantivirus.com/vul-mozilla-inyecc-081204.htm * Descarga de Firefox 1.0.1 en español: http://207.200.85.49/pub/mozilla.org/firefox/releases/1.0.1/win32/es-AR/ (Gracias a Marcelo de VSAyuda por este enlace) * Relacionados: Firefox Release Notes http://www.mozilla.org/products/firefox/releases/ Mozilla Firefox Home Page http://www.mozilla.org/products/firefox/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Microsoft bloqueará activación pirata de Windows XP _____________________________________________________________ http://www.vsantivirus.com/dt26-02-05.htm Microsoft bloqueará activación pirata de Windows XP Fuente: diarioti.com (*) http://www.diarioti.com/ Hasta ahora, los usuarios de versiones ilegales de Windows XP han podido activar el producto con claves descargadas desde Internet. Desde el próximo lunes, esta posibilidad desaparecerá. Microsoft ha decidido bloquear el agujero que permite a los usuarios de copias pirateadas de Windows usar una clave de activación extendida a una de las grandes compañías del rubro informático. Muchas de las claves en cuestión no son usadas, ya que las compañías compran una cantidad de licencias mayor a la realmente usada. Este agujero ha sido la forma más frecuente de eludir los procedimientos de registro de versiones legales del sistema operativo de Microsoft. Desde el lunes 28 de febrero, Microsoft eliminará tal posibilidad, ya que las claves usadas por los 20 mayores fabricantes de PC del mundo serán controladas y validadas por separado. Si un usuario desea activar una versión de Windows con una clave de autenticación (COA) extendida a Dell, Fujitsu- Siemens, HP u otro de los grandes fabricantes, el sistema le dirigirá al servicio de soporte de Microsoft. Ahí, el usuario será confrontado con una serie de preguntas orientadas a determinar si se trata de una versión pirata o legítima de Windows XP. El nuevo procedimiento no tiene consecuencia alguna para quienes compren un PC nuevo con Windows preinstalado. En estos casos, el sistema operativo está activado de antemano y el usuario no requiere acudir al sistema de registro en línea de Microsoft. (*) Este artículo fue publicado originalmente en DiarioTI, y se reproduce en VSAntivirus respetando las condiciones legales exigidas por dicha publicación: http://www.diarioti.com/gate/legal.php * Relacionados: Microsoft bloqueará actualizaciones de Windows piratas http://www.vsantivirus.com/28-01-05b.htm Helicópteros negros sobre el anti-spyware de Microsoft http://www.vsantivirus.com/19-01-05.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Kelvir.A. Se propaga por Windows Messenger _____________________________________________________________ http://www.vsantivirus.com/kelvir-a.htm Nombre: W32/Kelvir.A Nombre NOD32: Win32/Kelvir.A Tipo: Gusano de Internet Alias: Kelvir, W32/Kelvir-A, IM-Worm.Win32.Kelvir.a, W32/Kelvir.worm.a, Worm/Kelvir.A, IM-Worm.Win32.Kelvir.A Fecha: 25/feb/05 Plataforma: Windows 32-bit Tamaño: 46,080 bytes (downloader) Gusano que se propaga por Windows Messenger a todos los contactos en línea. Este mecanismo requiere que el usuario tenga una sesión abierta del Messenger para que ello ocurra. El gusano muestra un mensaje en inglés, donde se invita a descargar un supuesto parche para prevenir la infección provocada por una variante del gusano Bropia: *** URGENT *** Download the latest patch from [dirección] to prevent getting infected by W32.Bropia.C. El usuario que recibe y acepta este mensaje, debe pinchar en el enlace para descargar el supuesto parche, que es el gusano propiamente dicho. El nombre de este archivo suele ser UPDATE.EXE. Después de ejecutarse, este componente intenta descargar otro archivo (PATCH.EXE) desde un sitio remoto. Actualmente este archivo no está disponible. También intenta enviar un mensaje similar al ya visto, con el propio gusano como archivo adjunto, a otros contactos en línea. UPDATE.EXE se presenta como un "Windows Messenger API" con el icono del Windows Messenger. [ver imagen http://www.vsantivirus.com/kelvir-a.htm] Las propiedades del archivo muestran las siguientes características: Descripción: Windows Messenger API Copyright: © Microsoft Corporation. All rights reserved. Propiedades: Comentarios: Windows Messenger API Idioma: Inglés (Estados Unidos) Nombre del producto: MessengerAPI Nombre interno: MessengerAPI Nombre original del archivo: MessengerAPI.exe Organización: Microsoft Corporation Versión del archivo: 6.02.0137 Versión del producto: 6.02.0137 * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1695 Año 9, sábado 26 de febrero de 2005