CSIRTCV Centro de Seguridad TIC de la Comunitat Valenciana Generalitat Valenciana


    Boletines CSIRTCV  12-02-2010

    Esta semana Microsoft ha liberado las actualizaciones correspondientes al mes de febrero con trece boletines de seguridad (del MS10-003 al MS10-015) cubriendo un total de 26 vulnerabilidades. Los boletines críticos corresponden a las vulnerabilidades detectadas en el cliente de red SMB (MS10-006), el manejador de la Shell de Windows (MS10-007), varios controles ActiveX (MS10-008) y el relativo a DirectShow (MS10-013). El boletín MS10-015 resuelve el problema de escalada de privilegios a través de la máquina virtual DOS que se introdujo hace 17 años. Recientemente ya se han detectado  exploits que aprovechan esta vulnerabilidad. Según aparece en un blog de Microsoft, esta actualización (KB977165) está originando, en algunos casos, un pantallazo azul (BSOD). El problema parece estar en la interacción con un programa externo no determinado. De momento es recomendable utilizar el fix de Microsoft que elimina la posibilidad de utilizar esta vulnerabilidad.

    Recientemente publicamos un alerta que afectaba a Internet Explorer por la que se podía acceder a ficheros en el disco local del cliente. Se ven afectadas todas las versiones del navegador, desde la 5.1 a la 8, aunque en el caso de los sistemas Windows XP Home y Windows Vista, 7, 2003, 2008 (con DEP activado en estos últimos) no se puede explotar. Esta vulnerabilidad no se ha solucionado este mes, aunque han publicado una herramienta que deshabilita el protocolo de acceso a ficheros de Internet Explorer.
    También quedan sin solucionar las vulnerabilidades que afectan al cliente SMB de Windows 7 y Windows 2008 R2 además de la que afecta al servidor web Internet Information Server 6.0 (IIS) cuando valida nombres de ficheros con comillas.

    Se ha publicado en el B.O.E. el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad  (Real Decreto 3/2010 y 4/2010). El primero tiene por objetivo establecer la política de seguridad en la utilización de los medios electrónicos en el ámbito de la ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (11/2007); está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Estos dos esquemas, son de obligado cumplimiento para toda administración pública.
     
    Como siempre, en San Valentín, mucho cuidado con las postales electrónicas animadas y las páginas de compras por Internet. Ya se han detectado varias estafas sobre el nuevo iPAD de Apple.

    Actualizaciones de programas:

    Se han reportado algunas vulnerabilidades en Cisco IronPort, las cuales pueden ser explotadas por personas malintencionadas para descubrir información sensible o comprometer un sistema vulnerable.

    Se ha liberado una actualización que soluciona una vulnerabilidad de denegación de servicio en Squid. 

    Una vulnerabilidad en Samba proporciona acceso a archivos fuera de la ruta.

    Las distribuciones Linux Ubuntu y RedHat actualizan su kernel.

    Una vulnerabilidad en WebLogic Server Node Manager ha forzado a Oracle a publicar una actualización fuera de ciclo.
     
    El navegador Chrome, en su versión para Windows, corrige varias vulnerabilidades con una nueva actualización.
     
    Una vulnerabilidad crítica ha sido identificada en Adobe Flash Player.
     
    Los complementos de Apache, mod_proxy y mod_security  tienen actualizaciones importantes.

    Recordaros que hoy en día el descubrimiento de vulnerabilidades se recompensa.




Clave PGP en http://www.csirtcv.es/keys/SuscripcionesCSIRTCV2009.asc

Puede darse de baja de esta lista accediendo a este enlace
 
© 2010 CSIRTCV