Versiones Afectadas
A continuación se detallan las versiones afectadas:

Microsoft Windows 2000 SP 4
Windows XP SP 2 y Windows XP SP 3
Windows XP Professional x64 Edition SP 2
Windows Server 2003 SP 2
Windows Server 2003 x64 Edition SP 2
Windows Server 2003 con SP2 para arquitecturas Itanium
Windows Vista, Windows Vista SP 1, y Windows Vista SP 2
Windows Vista x64 Edition, Windows Vista x64 Edition SP 1, y Windows Vista x64 Edition SP 2
Windows Server 2008 para 32-bit y Windows Server 2008 para 32-bit SP 2
Windows Server 2008 para arquitecturas x64 y Windows Server 2008 para arquitecturas x64 SP 2
Windows Server 2008 para arquitecturas Itanium y Windows Server 2008 para arquitecturas Itanium SP 2
Windows 7
Windows 7 para arquitecturas x64
Windows Server 2008 R2 para arquitecturas x64
Windows Server 2008 R2 para arquitecturas Itanium
Internet Explorer 6 SP 1 en Microsoft Windows 2000 SP 4
Internet Explorer 6 para Windows XP SP 2, Windows XP SP 3, y Windows XP Professional x64 Edition SP 2
Internet Explorer 6 para Windows Server 2003 SP 2, Windows Server 2003 con SP2 para arquitecturas Itanium, y Windows Server 2003 x64 Edition SP 2
Internet Explorer 7 para Windows XP SP 2 y Windows XP SP 3, y Windows XP Professional x64 Edition SP 2
Internet Explorer 7 para Windows Server 2003 SP 2, Windows Server 2003 con SP2 para arquitecturas Itanium, y Windows Server 2003 x64 Edition SP 2
Internet Explorer 7 en Windows Vista, Windows Vista SP 1, Windows Vista SP 2, Windows Vista x64 Edition, Windows Vista x64 Edition SP 1, y Windows Vista x64 Edition SP 2
Internet Explorer 7 en Windows Server 2008 para 32-bit y Windows Server 2008 para 32-bit SP 2
Internet Explorer 7 en Windows Server 2008 para arquitecturas Itanium y Windows Server 2008 para arquitecturas Itanium SP 2
Internet Explorer 7 en Windows Server 2008 para arquitecturas x64 y Windows Server 2008 para arquitecturas x64 SP 2
Internet Explorer 8 para Windows XP SP 2, Windows XP SP 3, y Windows XP Professional x64 Edition SP 2
Internet Explorer 8 para Windows Server 2003 SP 2, y Windows Server 2003 x64 Edition SP 2
Internet Explorer 8 en Windows Vista, Windows Vista SP 1, Windows Vista SP 2, Windows Vista x64 Edition, Windows Vista x64 Edition SP 1, y Windows Vista x64 Edition SP 2
Internet Explorer 8 en Windows Server 2008 para 32-bit y Windows Server 2008 para 32-bit SP 2
Internet Explorer 8 en Windows Server 2008 para arquitecturas x64 y Windows Server 2008 para arquitecturas x64 SP 2
Internet Explorer 8 en Windows 7 para 32-bit
Internet Explorer 8 en Windows 7 para arquitecturas x64
Internet Explorer 8 en Windows Server 2008 R2 para arquitecturas x64
Internet Explorer 8 en Windows Server 2008 R2 para arquitecturas Itanium

Detalle
Microsoft ha publicado un aviso de seguridad en el que confirma la existencia de un error en Internet Explorer, el cual permite bajo ciertas circunstancias, el control de un puntero tras la liberación de un objeto. Esta vulnerabilidad puede ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada para tal fin.

Impacto
El impacto de esta vulnerabilidad es ALTAMENTE CRÍTICO.

Recomendaciones
Microsoft está investigando la vulnerabilidad y sus posibles soluciones y/o mitigaciones. Hasta tanto no se libere una actualización que corrija este problema, se recomienda visitar sólo sitios web confiables o utilizar un explorador web alternativo.

Referencias
Más información sobre este alerta:

Microsoft (en inglés):
http://www.microsoft.com/technet/security/advisory/979352.mspx
http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx

Fuente: ArCERT

Las problemas solucionados son de diversa índole y afectan a diferentes módulos de los productos vulnerables. Problemas en el tratamiento de punteros, de desbordamiento de búfer, desbordamiento de enteros, inyección de código script o en la carga de dlls se traducen en múltiples fallos que podrían permitir la ejecución remota de código arbitrario.

Las vulnerabilidades se han confirmado en Adobe Reader 9.2 y Acrobat 9.2 para Windows, Macintosh y UNIX, y Adobe Reader 8.1.7 y Acrobat 8.1.7 para Windows y Macintosh.

Dada la gravedad de los problemas, se recomienda la actualización de Adobe Reader y Acrobat desde:
http://www.adobe.com/support/security/bulletins/apsb10-02.html

Más Información:

Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-02.html

Antonio Ropero
antonior@hispasec.com

La vulnerabilidad reside en un desbordamiento de entero en el descompresor LZCOMP del motor de fuentes empotradas OpenType, cuando procesa fuentes OpenType incrustadas (fuentes EOT o Embedded OpenType) específicamente diseñadas. Este fallo podría permitir la ejecución remota de código, si el usuario atacado abre un documento que incluya fuentes EOT especialmente manipuladas con alguna aplicación capaz de representar este tipo de fuentes, como Microsoft Internet Explorer, Microsoft Office PowerPoint o Microsoft Office Word.

Se ven afectados los sistemas Windows 2000, XP, Vista, 7 y Server 2003 y 2008.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa según la plataforma afectada. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más Información:

Boletín de seguridad de Microsoft MS10-001 – Crítico
Una vulnerabilidad en el motor de fuentes OpenType incrustadas podría permitir la ejecución remota de código (972270)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-001.mspx

Antonio Ropero
antonior@hispasec.com

A partir del 1º de febrero de 2010, la versión 2.7, compatible con Microsoft Windows 95/98/ME/NT, dejará de estar disponible para la venta y su versión de evaluación será retirada de los sitios web de ESET. Sin embargo, todos los actuales usuarios de la versión 2.7 recibirán el tradicional servicio de apoyo técnico y las correspondientes actualizaciones de firmas de virus hasta el 1º de febrero del año 2012, fecha en la que se dejará de promover definitivamente las actualizaciones de dicha versión.

Entre los motivos que conducen al plan de remoción de la versión 2.7, se encuentra la decisión de Microsoft de finalizar el ciclo de vida de los sistemas operativos Windows 9x/ME, ya que resulta riesgoso continuar con el desarrollo de software de seguridad compatible con plataformas que se encuentran desactualizadas.

Además, recientes casos de alta resonancia pública, como la masiva infección de Conficker, obligan a considerar la importancia de la migración a sistemas operativos modernos para mantener un nivel de seguridad adecuado y eficiente.

Para más información acerca de los riesgos potenciales del uso de plataformas antiguas puede consultar el White paper de ESET Latinoamérica “Problemas de seguridad en sistemas operativos antiguos”:
http://www.eset-la.com/centro-amenazas/2009-problemas-seguridad-sistemas-operativos-antiguos

Con el objetivo de brindar a sus clientes la mejor protección antivirus y de seguridad, la política corporativa de ESET indica que, ante el lanzamiento de nuevas versiones de sus productos, queda a disposición de los usuarios actuales y por el tiempo de duración de la licencia previamente adquirida la nueva versión sin cargo adicional. En este sentido, la compañía recomienda a los usuarios de la versión 2.7 de ESET NOD32 Antivirus migrar hacia la versión 4 de la solución, que ofrece una significativa mejora en la protección, nuevos beneficios y opciones de configuración y exploración más sencillas de usar.

Entre las renovadas características de ESET NOD32 Antivirus 4 se encuentran:

• Seguridad de medios extraíbles, permitiendo bloquear los medios extraíbles para evitar infecciones.
• Interfaz gráfica amigable para el usuario final, que incluye una sección de gráficos, estadísticas y monitoreo de la actividad de la red.
• ESET Sysinspector, herramienta de diagnóstico del sistema.
• ESET SysRescue, permite la creación de CD/DVD o USB de arranque que contiene el antivirus para ayudar de esta manera a reparar un equipo infectado.
• Mejoras en la detección proactiva, limpieza de archivos infectados y la auto-defensa de la solución.
• Integración con CISCO NAC.

Las nuevas versiones de las soluciones de ESET son compatibles con Microsoft Windows NT 4.0 SP 6, Microsoft Windows 2000 SP 4, Microsoft Windows XP SP 3, Microsoft Windows Vista SP 2, Microsoft Windows 7 y Microsoft Windows Server 2000, 2003 y 2008 en sus Business Editions.

Para descargar la versión de evaluación válida por 30 días de ESET NOD32 Antivirus y ESET Smart Security 4.0 puede acceder a:
http://www.eset-la.com/download/

Fuente: ESET

Click Forensics, especializada en la prestación de servicios de monitorización de campañas de publicidad para la detección de fraudes de clics, asegura que los arquitectos de la nueva botnet han conseguido encontrar una forma especialmente efectiva de enmascarar los clics fraudulentos haciéndolos parecer tráfico de búsqueda de publicidad legítimo.

La firma ha bautizado la red de “ordenadores zombi” con el nombre de Bahama porque inicialmente redirigía el tráfico a través de dominios web de las Bahamas, aunque en la actualidad utiliza sitios de Amsterdam, Reino Unido y Silicon Valley.

El fraude de clics es un fenómeno que afecta a los vendedores que invierten en publicidad basada en pago por clic (PPC) sobre motores de búsqueda y páginas web, y se produce cuando una persona o una máquina pincha sobre un anuncio PPC con intenciones maliciosas –por ejemplo, un competidor del anunciante para aumentar el gasto de éste y perjudicarlo así económicamente- o por error, sin estar realmente interesada en el contenido.

En el caso de Bahama, enmascara la fuente de sus clics para que los filtros antifraude los interpreten como provenientes de fuentes legítimas de alto nivel, como librerías y escuelas de Estados Unidos. Además, altera el intervalo y la amplitud de los ataques lanzados desde los PC comprometidos.

Click Forensics asegura que, en los peores casos detectados hasta el momento, hasta el 30% de la inversión mensual en publicidad de algunas empresas se ha desperdiciado en clics realizados desde Bahama.

Fuente: http://www.csospain.es

El primero de los problemas permitiría a un atacante remoto enviar datos específicamente manipulados para consumir todos los recursos del sistema atacado. La segunda vulnerabilidad permitiría a un atacante remoto subir al servidor atacado DLLs arbitrarias, las cuales podrían ser posteriormente ejecutadas.

Adobe ha publicado la versión 3.5.3 que corrige estos problemas disponible desde:
http://www.adobe.com/support/flashmediaserver/downloads_updaters.html

Más Información:

Security update available for Flash Media Server
http://www.adobe.com/support/security/bulletins/apsb09-18.html

Antonio Ropero
antonior@hispasec.com

Se trata de un juego de preguntas y respuestas sobre riesgos en Internet, dirigido a menores de un amplio rango de edades (entre 9 y 15 años principalmente). TriviRal combina un triple objetivo de carácter didáctico (que los niños identifiquen algunos de los riesgos a los que se enfrentan en el uso de Internet), lúdico (aprender jugando sobre medidas preventivas a adoptar) e informativo (dar a conocer la existencia de recursos y servicios de ayuda y respuesta así como sensibilización sobre la seguridad y la econfianza en el uso de las TIC por los menores). Los temas tratados son el código malicioso o malware (virus, troyanos y espías), el ciberbullying (acoso entre menores) y el grooming (acoso sexual por adultos).

TriviRal está diseñado para que resulte un material educativo adecuado, tanto para uso en el ámbito doméstico, como para su empleo en el contexto escolar. Dispone de un sistema de cómputo y estadísticas que permite analizar los resultados para cada jugador (a elegir entre 1 y 4) y por cada área temática, de manera que ofrece a padres y educadores un método para medir el grado de conocimiento y aprendizaje de los menores.

Web de TriviRal:
http://www.navegacionsegura.es/

Fuente:
http://vtroger.blogspot.com/2009/10/juego-online-de-preguntas-y-respuestas.html
http://blog.segu-info.com.ar/2009/12/juego-online-de-preguntas-y-respuestas.html

Cada vez son más las ventajas que encontramos a la hora de optar por Internet para realizar nuestras compras, como la comodidad de no tener que moverse del sofá de casa, los precios competitivos o la gran variedad de artículos disponibles. Sin embargo, hay que tomar una serie de precauciones para que las compras no nos acaben saliendo realmente caras.

Bitdefender ofrece una serie de consejos que nos permitirán comprar de forma segura al tiempo que protegemos la información personal y la salud del PC del usuario:

- Saber dónde se está comprando y leer la letra pequeña. No todos los sitios web y tiendas online son seguros ni fiables. Muchos cibercriminales son muy hábiles y convincentes a la hora de crear páginas web de compras online con apariencia legítima. Hay que tener mucho cuidado para saber a quién se le está comprando.

- Desconfiar de cualquier promoción online que pida información que no sea nuestro nombre y dirección de correo electrónico. Una táctica común de phishing dirigida a los compradores online utiliza promociones y compras online para instar a que el posible comprador facilite información personal con la excusa de remitirle en el futuro cupones de descuento u otros obsequios. La mayor parte de tiendas online fiables únicamente requieren un nombre y una dirección de correo electrónico. para ofrecer cupones o muestras.

- Realizar la compra siempre desde un PC seguro con una buena suite de seguridad instalada.

- En la medida de lo posible, realizar las gestiones en sitios web conocidos y de confianza.

- Tener cuidado con los correos electrónicos desconocidos que ofrecen un “gran regalo” u “oferta especial”: lo más probable es que sean falsos y, por tanto, deben omitirse.

- Utilizar tarjetas de crédito en lugar de tarjetas de débito. Las tarjetas de débito ofrecen una menor responsabilidad en caso de ser víctimas de fraude.

- Comprobar los sellos de seguridad de todos los sitios web de compras.

- Asegurarse de que la conexión a la web es una http. Pese a que esto no garantiza la seguridad al 100%, en la mayoría de los casos los sitios suelen ser seguros.

- Considerar la posibilidad de pagar mediante formas alternativas, por ejemplo contra reembolso.

Fuente: BitDefender

Alfredo Ortega y Anibal Sacco de Core Security Technologies explicaron que el ataque es posible contra casi todos los sistemas comunes de Bios en uso actualmente.

Los investigadores idearon un script Python de 100 líneas que puede ser grabado en la memoria flash del Bios para instalar un rootkit. Debido a que el programa del Bios se activa antes que cualquier otro programa en una computadora cuando esta se incia, los programas normales de anti-virus serían incapaces de detectarlo.

“Probamos el sistema en la mayoría de los tipos comunes de Bios”, dijo Ortega. “Existe la posibilidad que los nuevos tipos de Bios de Interface Extensible de Firmware (*EFI BIOS) puedan ser resistentes al ataque, pero se requieren más pruebas.”

El ataque solo es posible si el atacante ya tiene control administrativo completo de la PC objetivo, pero esto es posible mediante una infeccion estándar de virus. Una vez conseguido eso, el operador del malware sería capaz de grabar un rootkit directamente en el Bios.

Incluso si el virus inicial fuera detectado y eliminado, la computadora seguiría aun bajo control remoto. Una limpeza complerta del disco duro y resintalacion completa del sistema operativo no lo eliminaría, advirtieron los investigadores.

Si un rootkit sofisticado fuera colocado en el Bios sería aún mas difícil para un administrador poder rastrearlo en el sistema, según Ivan Arce, gerente de Tecnología de Core Security.

“Necesitaría regrabar la memoria flash del Bios con un sistema que uno sepa que no ha sido manipulado”, dijo. “Pero si el rootkit es suficientemente sofisticado sería necesario eliminar y reemplazar físicamente el chip de Bios.”

El vector de ataque también es utilizable contra sistemas virtuales, dicen lso investigadores. El Bios en VMware está integrado como un módulo en el ejecutable principal de VMware, y por lo tanto podría ser alterado.

Sin embargo, es posible protegerse consta este ataque cerrando el chip del Bios a las actualizaciones, ya sea físicamente o mediante protegiendo por contraseña los cambios no autorizados del sistema.

“El mejor enfoque es impedir que los virus graben en la Bios,” dijo Sacco. “Necesita impedir la grabacion de la Bios, incluso si esto significa sacar un jumper en la placa madre.”

Autor: Iain Thomson
Traducción: Raúl Batista – Segu-info
http://blog.segu-info.com.ar/2009/11/nuevo-ataque-al-bios-hace-inservible-al.html

HP Openview Network Node Manager (NNM) es la herramienta que dio origen a la familia productos HP Openview. Se trata de un conjunto de herramientas para la administración de redes, posee funciones de monitorización de dispositivos, recolección, almacenamiento y tratamiento de información SNMP.

El problema reside en un error en el motor de base de datos (ovdbrun.exe) cuando procesa paquetes con un código de campo no válido enviados al puerto 2690/TCP. Un atacante remoto podría aprovechar esta vulnerabilidad para provocar la caída del servicio afectado lo que causaría la condición de denegación de servicio.

Se recomienda aplicar la actualización disponible desde el boletín de seguridad de HP:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01926980

Más Información:

HPSBMA02477 SSRT090177 rev.2 – HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS)
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01926980

Antonio Ropero
antonior@hispasec.com