Embed Size (px)
DESCRIPTION
Revista do Grupo de Resposta a Incidentes de Seguranca
Citation preview
Grupo de Resposta a Incidentes de Segurança – GRIS
O Grupo e sua Revista Digital
O que é o GRIS?
O GRIS (Grupo de Resposta a Incidentes de Segurança) é um grupo formado por alunos do
Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro.
Desde sua fundação, o Grupo compromete-se em fornecer suporte acadêmico aos alunos da
Instituição nas áreas relativas a Segurança da Informação, realizando processos seletivos
anuais para incorporação de novos membros, além de participar na realização de palestras
e organização de eventos relativos a esta área.
O Grupo tem como área de atuação o próprio Departamento e quaisquer unidades
solicitantes da Instituição, realizando uma vasta gama de tarefas, a saber:
• Auditorias de redes em busca de possíveis vulnerabilidades;
• Análise Forense de sistemas comprometidos, investigando-se causas, danos e
responsáveis;
• Aplicação de atualizações e correções de Segurança;
• Divulgação de práticas e recomendações de Segurança;
• Distribuição de uma revista digital de freqüência mensal;
• Elaboração de Artigos, Tutoriais e Ferramentas relativos à Segurança da Informação;
• Realização de Pesquisas relativas à área;
• Treinamento de Administradores de Sistemas;
• Registro e acompanhamento de ocorrências de incidentes de Segurança;
Para solicitar serviços ao Grupo, apresentar propostas ou obter maiores informações, pode-
se estabelecer contato através de e-mail, no endereço [email protected]. O GRIS dispõe
ainda de um site, que pode ser acessado em http://www.gris.dcc.ufrj.br.
Revista Digital do GRIS
O GRIS traz, desde março de 2008, sua revista digital, de freqüência mensal. A revista
digital traz uma compilação das principais vulnerabilidades e notícias do mês relacionadas a
Segurança da Informação, com objetivo de trazer ao conhecimento dos interessados :
• Casos de ataque publicados pela mídia;
• Lançamento de novas versões de ferramentas e aplicativos relacionados à área;
• Atualizações de segurança para correção de vulnerabilidades;
• Dicas relacionadas à área;
• Dentre outros.
A Revista está em constante crescimento, e configuram-se como planos a curto prazo:
• Inserção de tutoriais e pequenos artigos elaborados por membros do GRIS;
• Criação da área de leitores, onde serão adicionadas dúvidas (e suas respectivas
respostas), além de tutoriais elaborados pelos mesmos, com os devidos créditos aos
autores;
• Dentre outros;
O GRIS gostaria de convidar a todos para participar de sua comunidade de leitores,
inscrevendo-se para receber a revista no link: https://www.gris.dcc.ufrj.br/fnews.php, de
modo a ampliar seus conhecimentos e contribuir com possíveis críticas, sugestões e/ou
elogios, que devem ser enviados para o e-mail [email protected]. Seus e-mails são
muito importantes para nós.
Agradecemos a atenção dispensada,
Equipe GRIS
Atenção!
Anúncios GRIS e Avisos aos Leitores
Nova seção - Área dos Leitores:
A partir da próxima edição, a Revista Digital do GRIS trará uma área exclusiva para leitores.
Nesta área incluiremos tutoriais (com os devidos créditos aos autores) e dúvidas (com suas
respectivas respostas) enviados por nossos leitores. Deste modo, a Revista Digital do GRIS levará
até você ainda mais informações!
Há algumas regras quanto aos tutoriais enviados, tais como:
- Ter relação com a área de Segurança da Informação;
- Ser de autoria própria;
- Não conter vocabulário inadequado;
- Não conter qualquer tipo de discriminação;
Dúvidas e tutoriais devem ser enviados para: [email protected]
Lançamento de Tutorial de Hardening de Apache:
A Equipe GRIS gostaria de anunciar mais um tutorial, este falando sobre Hardening de
Apache. O tutorial de Hardening Apache mostra como configurar o Apache, de maneira que o
servidor apresente menos vulnerabilidades, e pode ser encontrado em:
http://www.gris.dcc.ufrj.br/tutoriais.php
Índice
(Para ir diretamente para a notícia/vulnerabilidade, clique sobre seu título ou página)
Notícias
SSHTest versão 2.0 lançada Página 09
Lançado Wireshark 1.0 Página 10
Copie qualquer cartão de crédito com habilitação por RFID por 8 dólares Página 11
RFID quebrado novamente Página 12
Top 20 de Vírus para Março de 2008 Página 14
Inseguro por Design Página 16
Kraken: Nova botnet supera a Storm Página 17
Fim do suporte ao Ubuntu 6.10 Página 20
Ataque massivo ao Web Site da Trend Micro Página 21
Lançamento do GNU PG 1.4.9 e 2.0.9 Página 22
Lançamento do Nmap 4.60 Página 23
GCC 4.3.0 expõe problema no kernel do Linux Página 24
Lançado Snort 2.8.1 Página 25
Dicas
Fazendo autenticação SSH por Chaves Página 26
Vulnerabilidades
Múltiplas Vulnerabilidades no Mozilla Thunderbird Página 29
Múltiplas Vulnerabilidades no Navegador Safari Página 31
Múltiplas Vulnerabilidades no Apple Quicktime Página 34
Vulnerabilidade de Integer Overflow no MPlayer Página 37
Múltiplas Vulnerabilidades no VLC Media Player Página 38
Múltiplas Vulnerabilidades no Kerberos Página 40
Múltiplas Vulnerabilidades de Buffer Overflow no CUPS Página 42
Vulnerabilidade nos programas Bzip2, WinRar e 7-Zip Página 44
Múltiplas Vulnerabilidades no Adobe Flash Player Página 45
Boletins Microsoft
Corrupção de memória em controle ActiveX do Microsoft Windows Página 49
Vulnerabilidade no Windows ao processar imagens GDI Página 52
Vulnerabilidade no Windows ao decodificar scripts Página 55
Vulnerabilidade no Internet Explorer Página 58
Vulnerabilidade no Microsoft Project Página 61
Vulnerabilidades no Microsoft Visio Página 62
Parceiros
Clavis Segurança da Informação
A Clavis (www.clavis.com.br) é uma empresa parceira do GRIS, especializada em soluções e cursos
de Segurança da Informação, com uma visão inovadora e abrangente, seguindo as últimas
tendências do mercado e as necessidades reais de seus clientes.
A parceria com o GRIS consiste em desenvolvimento de ferramentas, publicações e organização de
eventos relacionados com Segurança da Informação e Software Livre.
O setor de treinamento da Clavis, a Academia Clavis Segurança da Informação, tem o prazer de
anunciar toda sua programação para o primeiro semestre de 2008.
1)Curso Teste de Invasão:
Seguindo padrões internacionalmente utilizados, a Academia Clavis oferece o curso de Teste de
Invasão(ou Penetration Testing, ou apenas Pentesting), que capacita alunos a modelar cenários reais
de ataques a redes e sistemas computacionais, identificando pontos fracos na estrutura da empresa
ou organização sob sua responsabilidade para posterior remediação.
Informações Gerais:
Data : 05 a 09 de maio de 2008;
Carga Horária : 20 horas;
Horário : 18h às 22h;
Local: Rio de Janeiro;
Desconto para inscrições efetuadas até dia 11 de abril de 2008
Mais Informações sobre ementa, instrutores e outros favor acessar
http://www.clavis.com.br/curso-pen.htm
2)Curso Fundamentos da Segurança Computacional:
O curso de Fundamentos da Segurança Computacional aborda de forma prática conceitos básicos
e preparatórios sobre a teoria de redes TCP/IP, sistemas operacionais Unix e Windows,e segurança
da informação, preparando assim o aluno para este crescente nicho de mercado de trabalho. A
ementa busca capacitar o usuário para os demais cursos da Academia Clavis, dando suporte
necessário para o bom entendimento das matérias.
Informações Gerais:
Data : 14, 21 e 28 de junho de 2008(sábados);
Carga Horária : 18 horas;
Horário : 9h às 16h;
Local: Rio de Janeiro;
Mais Informações sobre ementa, instrutores e outros favor acessar
http://www.clavis.com.br/curso-fund.htm
3)Curso Proteção de Perímetro:
Visando a proteção efetiva da estrutura computacional de sua empresa/organização, a Academia
Clavis elaborou o curso de Proteção de Perímetro, para capacitar profissionais de TI para implantar
e manter controles efetivos dos ativos computacionais de sua empresa ou organização.
Informações Gerais:
Data : julho de 2008;
Carga Horária : 20 horas(5 dias consecutivos, no período noturno);
Horário : 18h às 22h;
Local: Rio de Janeiro;
Mais Informações sobre ementa, instrutores e outros favor acessar
http://www.clavis.com.br/curso-pp.htm
Para inscrição nos cursos da Academia Clavis entre em contato conosco através do endereço http://
www.clavis.com.br/contato.php ou pelo telefone (21)2590-3428 ramal: 248
Informações adicionais:
O pagamento pode ser feito em até 3 vezes sem juros;
Ex-alunos tem desconto adicional de 10%;
Site Oficial da Clavis Segurança da Informação: www.clavis.com.br
Notícias
SSHTest versão 2.0 lançadaGRIS lança nova versão da ferramenta de hardening de servidores
SSHTest é uma ferramenta de hardening de servidores OpenSSH. Ela analisa o arquivo de
configuração do daemon de ssh (tipicamente /etc/ssh/sshd_config) em busca de problemas
potenciais nas configurações.
A nova versão traz mais informaçãoo descritiva e um total de 12 testes disponíveis. Foi
completamente reescrita para fácil incorporação de novos testes, controle de erros e manutenção.
Configurações padrão não explicitamente incluidas no arquivo de configuração são agora tratadas
como erros, garantindo sua segurança mesmo que os padrões mudem em novas versões do
OpenSSH. Além disso, o arquivo original de configurações é sempre mantido, facilitando rollback
caso algo deixe de funcionar após a aplicação do hardening.
Soluções como o OpenSSH oferecem acesso 'shell' a sistemas remotos através de canais
criptografados. No entanto, dada a robustez e maleabilidade de tal programa - pronto para atender a
diferentes tipos de sistemas e administradores - diversas configurações podem ser ajustadas para
aumentar ainda mais a segurança de seu servidor. É isso que o SSHTest se propõe a fazer, revisando
todas as configurações disponíveis para o 'sshd' e garantindo que seu servidor está o mais seguro
possível.
Para fazer o download da ferramenta, acesse: http://www.gris.dcc.ufrj.br/ferramentas.php
Dúvidas, críticas, comentários, sugestões e eventuais bugs devem ser encaminhados para
Lançado Wireshark 1.0Famoso Sniffer de Pacotes disponível em nova versão
O Wireshark, programa cuja funcionalidade é a análise do tráfego de rede, chegou
finalmente a sua versão 1.0. Idealizado em 1997 por Gerald Combs, inicialmente devido a
necessidade de rastrear redes, e lançado em 1998 sob o nome de Ethereal, o aplicativo contou com
uma vasta comunidade de colaboradores, que aproximadamente 10 anos depois, possibilitaram, por
fim, o lançamento da atual versão.
A nova versão traz correções de bugs, um pacote experimental para o MacOS X, suporte aos
protocolos IEEE 802.15.4, Infiniband, Parallel Redundancy Protocol, RedBack Lawful Intercept e
Xcsl, além de atualizações no suporte a protocolos já previamente suportados, capacidade de leitura
de arquivos do Hilscher Analyzer, dentre outros.
O Wireshark é totalmente gratuito e seu download pode ser efetuado em seu próprio web
site, no endereço http://www.wireshark.org/.
Fonte: http://www.wireshark.org/news/20080331.html
Copie qualquer cartão de crédito com habilitação por RFID por 8 dólaresVulnerabilidade em RFID permite “roubo” de cartões com um simples leitor
Cartões de crédito que contém um chip RFID parecem oferecer um mundo de conveniência,
mas parece que eles são bem convenientes para hackers também. Não é necessário muito trabalho
para alguém roubar as informações do seu cartão de crédito. Tudo o que é necessário é um laptop e
um leitor de cartões RFID que custa US$ 8,00 no eBay.
Usando isso, uma pessoa mal-intencionada só precisa ativar o leitor perto de sua carteira e
então imediatamente tem tudo o que precisa do cartão de crédito, como nome do dono, número do
cartão e data de expiração. Com este método, não se consegue um cartão real (físico), mas nada
impede que o copiador comece uma sessão de compras online. Ainda não há certeza se o leitor é
capaz de roubar a identificação extra que algumas verificações requerem.
Isto significa que se você tem um cartão de crédito habilitado por RFID, deve ser de muito
interesse proteger o cartão com aço inoxidável, ou algo do tipo. Ou isso, ou você pode tentar evitar
os hackers que rondam por aí.
Fonte: http://www.mobilemag.com/content/100/102/C14871/
RFID quebrado novamenteMais uma quebra de RFID pode afetar mais de um bilhão de cartões
No que pode se tornar um duplo evento por ano, nessa semana foi vista ainda outra
afirmação pública de vulnerabilidade de RFID (Identificação por rádio-freqüência). Mais
especificamente, o governo holandês emitiu um aviso o qual dizia que os chips de RFID MIFARE
Classic do NXP podem ser quebrados de modo relativamente fácil. MIFARE é uma família de chips
que são usados em bilhetes de transporte público que não precisam de contato, algo como o RIO-
CARD, atualmente utilizado no Rio de Janeiro, assim como cartões de acesso à prédios, etc. Há
uma estimativa de um bilhão de cartões equipados com o chip MIFARE em circulação no mundo
inteiro.
A vulnerabilidade essencialmente permite que um hacker clone cartões baseados no
MIFARE Classic. Dois times de pesquisa independentes contribuíram para a descoberta, de acordo
com a PC WORLD (http://www.pcworld.com/article/id,143371-c,privacysecurity/article.html):
Pesquisadores alemães da Universidade da Virginia publicaram um artigo sobre como quebrar o
algoritmo de criptografia do chip, então um time holandês da Universidade de Radboud executou a
quebra. O time holandês publicou um site cronometrando o projeto, com um vídeo que dramatiza
um time de hackers clonando o cartão de identificação de um professor desatento.
Essa vulnerabilidade sobre o RFID parece mais ameaçadora do que outras, as quais eram
teóricas e sensacionalistas. O fato de que o governo holandês publicou e abordou a vulnerabilidade
é uma prova do quão sério esta está sendo levada. Uma melhor prova é o lançamento do MIFARE
Plus pela NXP, há aproximadamente um mês atrás., um novo chip que “oferece fáceis upgrades a
partir do MIFARE Classic” e “foi desenvolvido do zero para abordar as necessidades de segurança
e privacidade do século XXI. Enquanto a NXP não admite oficialmente a viabilidade dos ataques, o
rápido lançamento da nova versão de seu produto parece ser um reconhecimento implícito das
imperfeições do MIFARE Classic.
Existem dois motivos para o alarme: a quebra é relativamente fácil e rápida, e o quão
abrangente é o MIFARE Classic no mundo. De acordo com a equipe da Universidade de Radboud:
“Este tipo de cartão é usado pelo OV-chipkaart (o cartão de RFID para o transporte público por
toda a Holanda) e sistemas de transporte público em outros países (por exemplo, o metrô de
Londres e o de Hong Kong). Cartões MIFARE também são amplamente usados como cartões de
empresa para controlar o acesso à prédios e instalações. Tudo isso significa que a falha tem um
amplo impacto. Por alguns cartões poderem ser clonados é, em princípio, possível acessar prédios
e instalações com uma identificação roubada. Isso foi demonstrado em um sistema real.”
A medida provisória sendo aconselhada para administradores, os quais acreditam que seus
sistemas baseados no MIFARE podem ser vulneráveis, é que eles implementem uma segurança
suplementar no lugar.
O impacto a longo prazo desta vulnerabilidade, na percepção dos usuários de segurança
RFID é incerto. Dependerá, provavelmente, da media em que os hackers explorarem esta
vulnerabilidade.
Fonte: http://www.rfidupdate.com/articles/index.php?id=1563
Top 20 de Vírus para Março de 2008Kaspersky sugere que mês foi relativamente calmo
Posição Mudança na posição Nome Tipo Porcentagem
1 = 0 Email-Worm.Win32.NetSky.q Trojan.generic 37.39
2 + 9 Email-Worm.Win32.Mydoom.m Trojan.generic 9.75
3 + 1 Email-Worm.Win32.NetSky.d Trojan.generic 7.19
4 + 1 Trojan-Downloader.Win32.Small.hsl
<Não detectado>(downloader)
6.48
5 + 10 Net-Worm.Win32.Mytob.t Worm.P2P.generic 5.99
6 + 2 Email-Worm.Win32.Scano.gen Trojan.generic 5.80
7 - 5 Email-Worm.Win32.Bagle.gt Trojan.generic 4.35
8 - 1 Email-Worm.Win32.NetSky.aa Trojan.generic 4.08
9 + 4 Email-Worm.Win32.NetSky.y Trojan.generic 3.89
10 + 7 Email-Worm.Win32.Bagle.gen Trojan.generic 1.91
11 - 1 Email-Worm.Win32.Mydoom.l Worm.P2P.generic 1.82
12 - 3 Email-Worm.Win32.NetSky.x Trojan.generic 1.45
13 - 10 Email-Worm.Win32.Nyxem.e Trojan.generic 1.37
14 Retorno Email-Worm.Win32.Doombot.g Trojan.generic 1.10
15 + 4 Email-Worm.Win32.Scano.bn Trojan.generic 0.93
16 Retorno Email-Worm.Win32.NetSky.r Trojan.generic 0.88
17 + 3 Email-Worm.Win32.NetSky.c Trojan.generic 0.75
18 Retorno Email-Worm.Win32.NetSky.t Trojan.generic 0.73
19 Retorno Email-Worm.Win32.Scano.t Trojan.generic 0.44
20 Retorno Email-Worm.Win32.NetSky.b Trojan.generic 0.34
Outros Programas maliciosos
3.36
Março de 2008 provou ser de algum modo incomum em termos de códigos maliciosos em
tráfego de emails.
Primeiramente, não houveram novos programas maliciosos no top 20. Em segundo lugar,
novos programas que surgiram nos últimos meses também estiveram ausentes dos rankings. E
finalmente, a tabela deste mês contém um número maior de worms, os quais o kaspersky esteve
detectando por anos.
Então: vamos começar com os programas que estão faltando dos rankings. Uma ausência
agradável é a do Trojan-Downloader Diehard. Mais do que 150 modificações deste programa foram
detectadas no decorrer dos últimos cinco meses, incluindo cinco que entraram nos rankings do
kaspersky. Esta epidemia indica que alguém estava se preparando para criar uma botnet enorme.
Mas agora os emails do Diehard cessaram. A botnet foi criada? O mês que vem vai nos mostrar o
real estado das coisas.
Nosso velho amigo, o NetSky.q, continua a liderar os rankings este mês, e o Mydoom.m
subiu notáveis nove posições para chegar em segundo. A última vez que estes dois worms estiveram
competindo tão acirradamente foi em 2004. Mais impressionante ainda é o crescimento do Mytob.t
– outro dos worms que eram tão comuns em 2004 e 2005 – que subiu dez posições até a quinta
posição. O único programa que pode ser chamado de novo em todo o ranking é outro Trojan-
Downloader. Small.hsl surgiu um mês atrás e partiu diretamente para o quinto lugar. Em março,
subiu mais uma posição e deve subir ainda mais.
Todos os representantes das famílias Zhelatin (Storm Worm) e Warezof desapareceram dos
rankings. Nyxem.e caiu dez posições, e está agora em décimo terceiro lugar. Worms da família
NetSky vieram preencher o vazio criado pela ausência de novas epidemias, com três dos cinco
programas que retornaram aos rankings em março, pertencendo à esta familia.
De um modo geral, março foi o mês mais pacífico por algum tempo. Entretanto, como
sempre há o pensamento perturbador de que isto pode ser simplesmente a calmaria antes da
tempestade.
Outros programas maliciosos fizeram uma certa porcentagem (3.36%) de todos os códigos
maliciosos encontrados em tráfego de emails, indicando que um número de outros worms e Trojans
estão, atualmente, em circulação ativa.
Dentre os países que foram fonte de emails infectados, os Estados Unidos ficam em
primeiro, com 13.16% do total, mantendo sua posição do último ranking. O Brasil subiu uma
posição, ficando em oitavo, com 2.88% do total.
Fonte: http://www.kaspersky.com/news?id=207575624
Inseguro por designProduto da Cisco lançado com um backdoor
A Cisco relatou uma falha crítica de segurança no CiscoWorks Internetwork Performance
Monitor (IPM), o componente que monitora a disponibilidade de rede do CiscoWorks LAN
Management Solution (LMS). De acordo com o conselho, comandos podem ser executados
remotamente nos sistemas operacionais Solaris ou Windows, sem nenhuma autenticação.
A Cisco relata que o problema se dá ao fato de que o IPM inicia um processo que vincula
uma shell à uma porta TCP escolhida aleatoriamente. A shell executa os comandos entrados nela em
nível de privilégio de superusuário em ambos os sistemas. A versão 2.6 é afetada, porém, uma
atualização está disponível. A Cisco classificou a falha como crítica e aconselha todos os usuários a
instalar a atualização o mais cedo possível.
O conselho da Cisco não explica como essa vulnerabilidade incomum surgiu. O vendedor
diz que nenhuma exploração à falha foi reportada até agora.
Fonte:http://www.heise-online.co.uk/security/Insecure-by-design-Cisco-product-shipped-with-
backdoor--/news/110320
Kraken: Nova botnet supera a Storm
Com 400.000 bots, Kraken atinge o dobro do tamanho da Storm e usurpa o título de maior botnet do mundo.
Botnet é um termo utilizado para se referir à um conjunto de programas-robô, também
conhecidos por bots. Tais programas rodam automaticamente e são autônomos.
O termo botnet é geralmente usado referindo-se à um grupo de computadores infectados,
chamados de computadores-zumbis, por bots como worms, trojans ou backdoors, rodando sob uma
interface comum de comando e controle, que os opera remotamente.
Botnets são uma parte significante da internet, porém são muito escondidas. Estima-se que
um quarto dos computadores conectados à internet podem se tornar parte de uma botnet.
A RSA Conference 2007, em São Francisco, reportou que uma nova botnet, com duas vezes
o tamanho da Storm reuniu um exército de 400 mil bots, incluindo máquinas de empresas na
Fortune 500 (uma revista que publica um ranking das 500 maiores empresas públicas norte-
americanas), de acordo com os pesquisadores de botnets em Damballa.
A então chamada Kraken foi encontrada em
pelo menos 50 maquinas das empresas listadas
na Fortune 500 e é indetectável em mais de 80%
das máquinas rodando antivírus. A Kraken
parece estar se esquivando de detecções usando
uma combinação de técnicas inteligentes de
ofuscação, incluindo uma atualização regular de
seu código binário e estruturando o código de
tal maneira que dificulta qualquer análise
estática, diz Paul Royal, principal pesquisador
da Damballa.
“É fácil rastrear, mas lento para conseguir cobertura de antivírus. Isto parece implicar que
eles [os criadores] têm um bom entendimento de como as ferramentas antivírus operam e como
Ilustração fictícia de um polvo gigante (Kraken) atacando uma embarcação. Fonte: Wikipédia
evita-las”, diz Royal.
A bem-sucedida infiltração da Kraken em grandes empresas é um alerta de que bots não são
apenas um problema para consumidores. Damballa e outras empresas especialistas em botnets
notaram, nos últimos meses, um inquietante aumento nas infecções por bots em empresas.
Royal diz que como a Storm, a Kraken até agora está sendo usada principalmente para
espalhar os scams habituais – empréstimos interessantes, jogos de azar, produtos para uso
masculino, propagandas farmacêuticas, e relógios falsificados, por exemplo. “Mas devido ao fato de
que seu binário é atualizado, não há razão para que ele se atualize para um binário que faça outras
coisas”, Diz Royal. “Me pergunto aonde esta coisa vai parar.”
Damballa prevê que mesmo agora que a Kraken foi descoberta, ela vai continuar crescendo
pelo menos a curto prazo – para até pelo menos 600 mil novos bots pelo meio de Abril. Seus bots se
proliferam: A empresa viu bots únicos da Kraken enviando até 500 mil spams por dia.
Como a Kraken está infectando máquinas ainda não está claro, mas Royal diz que o malware
aparece como um arquivo de imagem para a vítima. Quando a vítima tenta ver a imagem, o
malware é carregado em sua máquina. “Nós sabemos que a figura termina com um .exe, o qual não
é mostrado para o usuário”, diz Royal.
Royal inicialmente não excluiu a possibilidade que a Kraken poderia ser algo que derivou da
Storm, porém mais tarde concluiu que análises recentes pela Damballa confirmam que as botnets
em questão não tem relação.
Os bots da Kraken e os servidores de Comando e Controle se comunicam por protocolos
personalizados baseados em TCP e UDP, diz ele, e a botnet tem características de redundância
integradas que geram novos nomes de domínio automaticamente se um servidor de Comando e
Controle é desligado ou é desabilitado. “E o verdadeiro conteúdo é criptografada”, diz Royal.
Damballa notou a Kraken pela primeira vez no final do ano passado, porém diz que
variantes mais novas da botnet apareceram no fim de 2006. Os servidores primários de Comando e
Controle são hospedados na França, Rússia e nos Estados Unidos, de acordo com Damballa.
A empresa esteve em negociações secretas com os servidores franceses, os quais
concordaram em se desativarem ao primeiro sinal de um sistema funcional de detecção do worm
por antivírus, que é um dos problemas que atrapalha a investigação neste momento. Os poucos
antivírus que atualmente detectam o Kraken o classificam genericamente como um “arquivo
suspeito”.
Isto, aliado às previsões da Damballa de crescimento da botnet, fazem o worm da Kraken
parecer sinistro -- mas existe a chance do monstro se afundar no mar. Há pouco tempo, ainda em
2008, o worm Mega-D entrou em cena, rapidamente excedendo o tamanho original da Storm, e
então caiu num tempo curtíssimo, graças a um desligamento de dez dias dos servidores de Comando
e Controle da botnet. A Kraken pode virar o novo terror dos mares da internet, ou simplesmente
desaparecer, como a Mega-D.
Vale lembrar que a Damballa está nos negócios de prover soluções anti-botnet, mas isto não
significa que a Kraken não deve ser considerada uma ameaça em potencial.
Fonte:
http://www.darkreading.com/document.asp?doc_id=150292
http://arstechnica.com/news.ars/post/20080408-new-kraken-worm-evading-harpoons-of-antivirus-
programs.html
Fim do Suporte ao Ubuntu 6.10Após 18 meses, versão chega ao fim de sua vida
O Ubuntu anunciou o lançamento da versão 6.10 no dia 26 de outubro de 2006. Tal como
acontece com as versões anteriores, durante 18 meses o Ubuntu ficou empenhado em produzir
continuamente correções críticas e de segurança. Porém, o período de suporte está próximo ao seu
final, e o Ubuntu 6.10 atingirá o fim de sua vida no dia 25 de Abril de 2008. A partir dessa data, as
notícias de segurança do Ubuntu já não irão mais incluir informações ou atualizações de pacote para
esta versão.
O modo suportado pelo Ubuntu para futuras atualizações do 6.10, é atualizando o sistema
para a versão 7.04. As instruções e advertências para a atualização podem ser encontradas em
https://help.ubuntu.com/community/FeistyUpgrades. É importante ressaltar que as atualizações para
a versão 7.10 e posteriores são suportadas somente em várias etapas, através da atualização
primeiramente para a versão 7.04 e em seguida para 7.10. Tanto o Ubuntu 7.04 e o Ubuntu 7.10
continuam ativamente a receber suporte com atualizações de segurança e correções de erros de alto
impacto.
Todos os anúncios oficiais de atualizações de segurança para as versões do Ubuntu são
enviadas para a lista ubuntu-security-announce, informações sobre a mesma podem ser encontradas
em https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce.
Desde o seu lançamento em Outubro de 2004 o Ubuntu tornou-se uma das distribuições
Linux mais consideradas, tendo milhões de usuários em casas, escolas, empresas e governos em
todo o mundo. Ubuntu é um software de código aberto, ou seja, o download não é pago e os
usuários têm total liberdade para personalizar ou alterar o seu software de forma a satisfazer as suas
necessidades. Vale lembrar que enquanto a versão 6.10 se despede, a versão 8.04 já se encontra em
fase beta.
Outra distro que se despede é o Mandriva Linux 2007.0, cujo suporte chega ao fim no dia 13
de abril. Contudo, foi anunciado no dia 9 de abril o lançamento do Mandriva Linux 2008.1.
Fonte: http://lwn.net/Articles/274910/
Ataque massivo ao Web Site da Trend MicroEmpresa retira páginas do ar para tomar ação corretiva
A Trend Micro, empresa que presta serviços de proteção contra códigos maliciosos em
desktops e servidores, teve parte de seu domínio na web atacado. Suas páginas foram infectadas
com códigos maliciosos que tentavam instalar, nas máquinas dos visitantes, softwares cuja função
era roubar senhas. As páginas infectadas foram tiradas do ar na madrugada do dia 11 de março, e
medidas corretivas foram aplicadas imediatamente.
Pesquisadores ainda não estão certos de como os atacantes conseguiram tal feito. Há
suposições acerca da tecnologia Active Server Page (ASP), da Microsoft, largamente utilizada na
criação de páginas HTML dinâmicas. Um bug nesta tecnologia é tudo o que um atacante precisa
para instalar códigos maliciosos.
De acordo com a McAfee, a Trend Micro foi apenas uma das mais de 20000 vítimas deste
mesmo ataque. A maioria destas páginas são tidas como bastante confiáveis, mas os atacantes
acrescentaram um pequeno código de JavaScript que redireciona o navegador a um ataque invisível,
partindo de servidores na China. O código aproveita-se de bugs geralmente já corrigidos, então,
usuários com sistema totalmente atualizado não correm grande risco.
Vale lembrar que alguns dos exploits são para programas relativamente obscuros, como
controles ActiveX para jogos online, os quais os usuários raramente pensam na hipótese de
atualizar. Se o código obtiver sucesso, pode instalar um software com intuito de roubar senhas de
uma diversa gama de jogos online, como por exemplo Senhor dos Anéis (Lord of The Rings).
Pode ser um tanto quanto embaraçoso quando empresas que se propõem a proteger seus
clientes de códigos maliciosos acabam infectados por um. Porém, a Trend Micro não é a única
empresa do ramo a ter seu site infectado nos últimos meses. No início de janeiro, o web site da CA
sofreu um ataque bastante similar a este.
Fonte: http://www.infoworld.com/article/08/03/14/Trend-Micro-hit-by-massive-Web-hack_1.html
Lançamento do GnuPG 1.4.9 e 2.0.9Nova versão do programa de criptografia
No dia 26 de Março tivemos o lançamento de novas versões do programa de criptografia
GNU Privacy Guard, ou apenas GnuPG, referentes às duas linhas de desenvolvimento 1.x e 2.x.
Na versão 1.4.9, as principais mudanças foram: o aumento de mais de 20% na velocidade de
codificação quando utilizado o algorítimo AES e um pequeno aumento na decodificação também;
Correção de uma possível corrupção de memória no GnuPG 1.4.8 ao importar chaves do OpenPGP
(CVE-2008-1530).
Na versão 2.0.9 as principais mudanças foram: Diversas melhorias para o GnuPG do
Windows; Extensão do PKITS framework; Correção de um bug na detecção de nomes ambíguos;
Correção de uma possível corrupção de memória no GnuPG 2.0.8 ao importar chaves do OpenPGP
(CVE-2008-1530).
Para realizar o download de novas versões, visite:
http://www.gnupg.org/download/
Fonte:
Lista de anúncios do GnuPG:
http://lists.gnupg.org/pipermail/gnupg-announce/2008q1/000271.html
http://lists.gnupg.org/pipermail/gnupg-announce/2008q1/000272.html
Lançamento do Nmap 4.60Famoso scanner de redes em versão atualizada
Uma nova versão do famoso scanner de redes Nmap foi lançada, a 4.6.0. Agora o Nmap
conta com 1.304 identificações de 478 sistemas diferentes. Um acréscimo de mais de 20% em
relação a versão anterior. Entre as novas identificações temos o Mac OS X Tiger, FreeBSD 7.0,
Linux 2.6.4, Windows 2008, Windows Vista, OpenBSD 4.2 e até identificação para o iPhone. Além
de identificações para roteadores de banda larga, telefones VoIP e impressoras.
Mais de 100 assinaturas de serviços adicionadas, para um total de 4.645 assinaturas de 457
serviços diferentes.
Além disso diversos bugs foram corrigidos no Nmap e na interface gráfica Zenmap. Alem de
algumas melhorias no Nmap, no Zenmap e NSE (Nmap Scripting Engine).
Para a lista completa de mudanças, visite:
http://nmap.org/changelog.html
O download da ferramenta pode ser realizado em: http://nmap.org/download.html
Fonte: http://seclists.org/nmap-dev/2008/q1/0442.html
GCC 4.3.0 expõe problema no kernel do LinuxAlterações no Compilador tornam sistema vulnerável
Uma alteração no código da ultima versão do GCC, 4.3.0, junto com um problema no kernel
criou uma estranha situação, que pode trazer problemas de segurança. O GCC alterou algumas
definições em relação as flags dos processadores da arquitetura Intel x86, para entrar em
conformidade com os padrões ABI.
Entre estas mudanças, uma delas em relação a flag de direção, que determina em qual
direção as operações de memória são realizadas. Segundo os padrões da ABI, esta flag deveria
sempre estar "resetada" no ponto de entrada de todas as funções. Ao contrario do manipulador de
sinais do Linux que são chamados, incorretamente, com a flag em qualquer estado (setada ou não)
que estava no momento em que o sinal ocorreu.
Antes da versão 4.3, o GCC iria emitir um sinal cld (clear direction) ao processador sempre
antes de executar alguma operação de memoria. Na versão 4.3, para seguir os padrões ABI, o GCC
presume que o kernel definirá a flag de direção de acordo com suas necessidades, ao chamar o
manipulador de sinais. Porém como isso não ocorre, a memória pode ser escrita na direção reversa
ao que se esperava.
Uma possível seqüência de eventos que pode disparar a falha:
• Um programa em userspace realiza uma operação em memória (memmove(), por exemplo ),
ativa a flag de direção.
• Um sinal é disparado a partir de outro processo.
• O kernel chama o manipulador de sinais.
• O manipulador de sinais realiza um memmove() pensando estar escrevendo em uma direção.
• A memória quando copiada, é escrita na direção reversa.
É difícil determinar o quanto uma brecha de segurança pode ser obtida a partir desta falha,
mas seria um erro assumir que não é possível. Outros bugs no kernel, como o recente do vmsplice(),
que levou a uma grave falha de segurança, pareciam apenas de corrupção de memória, mas foi
observado depois que era possível muito mais do que isso.
A versão 2.6.24.4, lançada no dia 24 de Março, contem a correção para este problema.Fonte: http://lwn.net/Articles/272048/
Lançado Snort 2.8.1Sistema de detecção de intrusão em nova versão
No dia 31 de Março foi lançada a versão 2.8.1 do Snort, um sistema de detecção de intrusão.
O Snort agora conta com o suporte ao encapsulamento GRE tanto para IPv4 quanto para
IPv6, suporte a tunelamento de IP sobre IP tanto para IPv4 quanto para IPv6, possibilidade de ler
diversos PCAPs a partir da linha de comando, suporte a nova regra de detecção por CVE, um
preprocessador de SSL que permite que trafego criptografado não seja analisado, novas opções de
detecção na regra CVS.
Além de contar com melhorias na inspeção de HTTP, ao suporte de IPv6, correções na
plataforma Sparc, ele impõe um controle mais rígido sobre versões de objetos compartilhados
(Shared Objects) para evitar conflitos de APIs.
O download da ferramenta pode ser realizado em: http://www.snort.org/dl/.
Fonte: http://www.snort.org/
Dicas
Fazendo Autenticação SSH Por Chaves
Por: Guilherme Alves Cardoso Penha – Diretor de RSS – GRIS
O SSH é um protocolo bastante utilizado hoje em dia para tarefas de comunicação segura entre 2
máquinas. Para isso normalmente, usa-se senhas fortes e proteções para garantir quais usuários
podem acessar o sistema remotamente. Porém esse processo de utilizar senhas nem sempre é uma
boa opção. Para isso, estamos escrevendo esta dica para facilitar a autenticação. Utilizaremos aqui
um par de chaves: uma pública e outra privada.
1) Na máquina cliente, digite:
usuario@cliente:~$ ssh-keygen
Será solicitado que digite uma senha de autenticação, lembre-se de escolher uma senha forte. Ele
vai gerar um par de chaves de acordo com o protocolo especificado (ou rsa, caso não especificado).
Indique um diretório e nome de arquivo para a chave privada. A chave pública correspondente será
criada no mesmo diretório, com o sufixo ".pub".
ex: "id_rsa" e "id_rsa.pub"
obs1: Para evitar que terceiros leiam a sua chave privada, modifique a sua permissão com o
seguinte comando:
usuario@cliente:~$ chmod 0600 ~/.ssh/id_rsa
2) Adicione a sua nova chave pública (id_rsa.pub), que possui apenas uma linha, no arquivo
$HOME/.ssh/authorized_keys localizado no servidor ao qual deseja se conectar.
obs2: Caso o arquivo e a pasta acima não existam, estes devem ser criados da seguinte maneira:
Dentro do home do usuário, digite "mkdir .ssh" e dentro da pasta criada "touch authorized_keys"
obs3: Para facilitar a inclusão do conteúdo da chave, podemos utilizar o seguinte comando:
usuario@servidor:~$ cat id_rsa.pub > $HOME/.ssh/authorized_keys
3) De volta ao cliente, adicione a autenticação da chave ao seu usuário:
usuario@cliente:~$ ssh-add CAMINHO_DA_CHAVE_PRIVADA
4) Pronto, agora basta conectar-se no servidor desejado, que a autenticaçãoserá efetuada através das
chaves. Bom proveito!!
Para mais dicas, acesse:
http://www.gris.dcc.ufrj.br/dicas.php
Vulnerabilidades
Para melhor compreensão desta sessão, gostaríamos de explicar brevemente a estruturação
da sessão. Cada vulnerabilidade terá um cabeçalho, como o que apresentamos a seguir:
Nível: CVE ID's:Publicada em: Fonte:
Nível:
Neste campo, é indicado o nível de criticidade da vulnerabilidade em questão, cujos
possíveis rankings são: Baixo Risco, Risco Moderado, Alto Risco e Critico.
CVE ID's:
Faz-se válido explicar primeiramente o que é CVE. Common Vulnerabilities and Exposures
(ou CVE) é um dicionário de informações sobre vulnerabilidades de segurança já
publicadas, mantido pela MITRE Corporation (http://cve.mitre.org/). Portanto, entenda-se
por CVE ID uma sequência única de números que designa uma vulnerabilidade.
Publicada em:
Como sugere o próprio nome, indica a data de publicação da vulnerabilidade.
Fonte:
Tão sugestivo quanto a anterior, indica a fonte da qual foram retiradas as informações sobre
a vulnerabilidade.
Adicionamos, inclusive, antes da descrição da vulnerabilidade, um tópico: “Para entender
melhor”. Este tópico traz definições necessárias ao entendimento básico da vulnerabilidade
em questão.
Múltiplas Vulnerabilidades no Mozilla Thunderbird permitem
Execução de código e ataques de Cross Site Scripting
Nível: Critico CVE ID's: 2008-1233 | 2008-1234 | 2008-1235
2008-1236 | 2008-1237
Publicada em: 26/03/2008 Fonte: FrSIRT
Foram encontradas algumas vulnerabilidades no Mozilla Thunderbird, que podem ser
exploradas por indivíduos maliciosos de modo a executar um script arbitrário, burlar restrições de
segurança, causar um ataque de negação de serviço ou tomar total controle do sistema afetado.
Detalhes:
A primeira falha de segurança é causada por um erro ao lidar com o “XPCNativeWrappers”,
que pode ser explorada por atacantes para executar código arbitrário através da chamada
setTimeout();
A segunda vulnerabilidade é causada por erros de validação de entrada ao lidar com
JavaScript, que podem ser exploradas por atacantes para executar scripts arbitrários.
A terceira falha de segurança é causada por erros de corrupção de memória nos mecanismos
de layout e JavaScript ao processar dados malformados, que podem ser explorados por atacantes
para travar aplicativos vulneráveis ou executar código arbitrário.
Para entender melhor:
- Mozilla Thunderbird: Leitor de e-mails, desenvolvido pela Mozilla Foundation.
- Cross-site scripting: Também chamado de XXS, este ataque permite a injeção de código malicioso
por usuários maliciosos dentro de páginas acessadas por outros usuários, sendo possível, assim,
conseguir informações ou acessos restritos.
- Ataque de negação de serviço: Também conhecido como Denial of Service (DoS), trata-se de um
ataque que visa tornar os recursos de um sistema indisponíveis para seus utilizadores, através da
sobrecarga dos recursos deste sistema (memória, processamento, etc.), de forma a força-lo a
reinicializar ou impedi-lo de dispor de recursos para fornecer seus serviços. O ataque não se
qualifica como uma invasão, mas sim como uma invalidação por sobrecarga.
Produtos afetados:
As vulnerabilidades fazem-se presentes em todas as versões anteriores a versão 2.0.0.13
Solução:
As falhas de segurança serão corrigidas em breve, na versão 2.0.0.13. Aguarde seu
lançamento e atualize seu Thunderbird para esta versão, através do link http://www.mozilla.com/en-
US/thunderbird/all.html.
Para maiores informações, acesse:
http://www.frsirt.com/english/advisories/2008/0999
Múltiplas Vulnerabilidades no Navegador Safari
Nível: Crítico CVE ID's: 2008-1002 | 2008-1003 |2008-1004 | 2008-1005 |
2008-1006 | 2008-1007 | 2008-1008 | 2008-1009 | 2008-1010 |
2008-1011
Publicada em: 19/03/2008 Fonte: Secunia
Foram encontradas múltiplas vulnerabilidades no Apple Safari, que podem ser exploradas
por indivíduos maliciosos de modo a conduzir um ataque de Cross Site Scripting, burlar restrições
de segurança ou comprometer um sistema vulnerável.
Detalhes:
Para entender melhor:
- Apple Safari: Navegador desenvolvido pela Apple, incluso no Mac OS X.
- Cross-site scripting: Também chamado de XXS, este ataque permite a injeção de código malicioso
por usuários maliciosos dentro de páginas acessadas por outros usuários, sendo possível, assim,
conseguir informações ou acessos restritos.
- document.domain: Propriedade de JavaScript que permite o compartilhamento de propriedades de
scripts e permissões de segurança entre frames e páginas.
- Web Inspector: Ferramenta de filtragem de conteúdo web presente no Navegador Safari.
- Kotoeri: Método utilizado pelo Safari para inserir caracteres em Japonês em um computador.
- Java Applets: Aplicativos desenvolvidos na linguagem de programação Java, que se utilizam da
JVM (Java Virtual Machine), embutida no navegador do cliente ou existente em sua máquina, para
interpretar seu bytecode (forma “intermediária” de código para o qual o Java compila códigos
escritos nessa linguagem).
- Buffer Overflow: Quando o tamanho de um buffer ultrapassa a capacidade máxima de
armazenamento, este excesso de dados pode acabar sendo armazenado em áreas de memória
próximas, corrompendo dados, travando o programa ou até mesmo sendo executado, o que cria a
possibilidade de inserção de código malicioso, o que caracteriza um ataque de buffer overflow.
A primeira vulnerabilidade refere-se a um erro ao processar URL's “javascript:”, que pode
ser explorado de modo a permitir a execução de código HTML e scripts arbitrários no contexto de
outras páginas, através de uma página especialmente projetada para tal.
Uma segunda vulnerabilidade faz-se presente ao lidar com páginas web que possuem a
propriedade document.domain ativada. Isto pode ser explorado para conduzir ataques de Cross Site
Scripting em sites que possuem a já citada propriedade ativada ou entre sites HTTP e HTTPS com a
mesma document.domain.
Uma terceira vulnerabilidade refere-se a um erro no Web Inspector, que pode ser explorado
de modo a permitir a injeção de script que vai rodar em outros domínios, e pode ler o sistema de
arquivos do usuário caso seja inspecionada uma pagina web especialmente projetada.
A quarta vulnerabilidade existe no método de entrada Kotoeri, que pode resultar na
exposição do campo de password na tela quando uma conexão reversa é solicitada.
A quinta vulnerabilidade refere-se a um erro ao lidar com a função “window.open()” pode
ser utilizado para mudar o contexto de segurança de uma página para o contexto de quem chamou-
a. Isto pode ser utilizado para permitir a execução de script arbitrário no contexto de segurança do
usuário através de uma página web especialmente projetada.
Uma sexta vulnerabilidade refere-se ao fato de que a política de navegação por frames não é
reforçada para applets Java. Isto pode ser explorado para conduzir um ataque de Cross Site
Scripting utilizando Java e para adquirir privilégios elevados ao incitar um usuário a abrir uma
página web especialmente projetada.
A sétima vulnerabilidade refere-se a um erro não-especificado ao lidar com a propriedade
document.domain, que pode ser explorado para conduzir ataques de Cross Site Scripting quando um
usuário visitar uma página web especialmente projetada.
A oitava vulnerabilidade faz-se presente ao lidar com o objeto ?. Isto pode ser explorado
para injeção de código JavaScript, que vai rodar no contexto de outros frames.
A nona vulnerabilidade refere-se a um erro de fronteira existente ao lidar com expressões
regulares de JavaScript, que pode ser explorado para causar um Buffer Overflow através de uma
página web especialmente projetada. O sucesso na exploração desta falha permite a execução de
código arbitrário.
A décima vulnerabilidade refere-se a um erro no WebKit, que permite que instâncias de
métodos de um frame sejam chamados no contexto de outros frames. Isto pode ser explorado para
conduzir ataques de Cross Site Scripting.
Produtos afetados:
As vulnerabilidades fazem-se presentes em todas as versões anteriores a versão 3.1.
Solução:
Atualize seu Safari para a versão 3.1, através do link http://www.apple.com/safari/download.
Para maiores informações, acesse:
http://secunia.com/advisories/29393/
Múltiplas Vulnerabilidades no Apple Quicktime
Nível: Alto Risco CVE ID's: 2008-1013 | 2008-1014 | 2008-1015
2008-1016 | 2008-1017| 2008-1018 | 2008-1019|
2008-1020| 2008-1021| 2008-1022 | 2008-1023|
Publicada em: 04/03/2008 Fonte: Secunia
Algumas vulnerabilidades foram reportadas no Apple QuickTime, as quais podem ser
exploradas por pessoas maliciosas para obter informações sensíveis ou comprometer um sistema
vulnerável.
Detalhes:
Para entender melhor:
- Apple Quicktime: Software multimídia desenvolvido pela Apple.
- Serialização em Java: Quando se usa serialização em Java, o atual estado do programa em
execução é salvo em disco, assim como todos os objetos que usa. Quando é feita a deserialização de
um programa previamente gravado em disco, este volta à execução do exato ponto onde foi
realizada sua serialização.
- Atom: Um arquivo de vídeo do QuickTime é formado por um conjunto de pequenos pedaços de
dados que contém os dados necessários para a reprodução do vídeo. Esses conjuntos de dados são
chamados de atoms.
- Erro de verificação de fronteira: Ocorre quando um programa não verifica o tamanho máximo que
um dado pode possuir quando o lê. Deste modo, se o dado lido é maior que o espaço reservado para
tal, deste modo endereços de memória adjacentes podem ser reescritos e assim haver inserção de
código.
- Opcode: Pedaço de código de maquina que descreve uma operação a ser executada pelo
procesador.
- Buffer Overflow: Quando o tamanho de um buffer ultrapassa a capacidade máxima de
armazenamento, este excesso de dados pode acabar sendo armazenado em áreas de memória
próximas, corrompendo dados, travando o programa ou até mesmo sendo executado, o que cria a
possibilidade de inserção de código malicioso, o que caracteriza um ataque de buffer overflow.
A primeira vulnerabilidade se deve a um erro de implementação no QuickTime for Java, que
permite que aplicativos Java não-confiáveis deserializem objetos providos pelo QTJava. Isto pode
ser explorado para roubar informações sensíveis ou executar código arbitrário quando um usuário
visita uma pagina maliciosa de algum site, por exemplo.
A segunda vulnerabilidade é um erro não especificado no tratamento de endereços com
arquivos de vídeo embutidos, que pode levar à exposição de informação.
A terceira é um erro de validação de entrada, quando o programa lida com dados que se
referenciam à atoms, nos arquivos de vídeo, que pode ser explorado para causar um buffer overflow
quando um filme especialmente produzido é aberto pelo programa.
Uma quarta vulnerabilidade é um erro não especificado quando se lida com as faixas de
mídia de um vídeo que pode ser explorado para causar corrupção de memória quando um vídeo
especialmente projetado é reproduzido.
A quinta é um erro de verificação de fronteira na biblioteca quickTime.qts. O erro ocorre
quando o programa processa atoms “crgn” e pode ser explorado para causar um heap-based buffer
overflow quando um vídeo especialmente produzido é tocado
A sexta é outro erro de verificação de fronteira, porém desta vez o erro ocorre no
processamento de atom “chan” que pode causar um heap-based buffer overflow quando um vídeo
especialmente projetado é reproduzido.
A sétima é novamente um erro de verificação de fronteira na biblioteca quickTime.qts
quando o programa processa arquivos PICT. O erro pode ser explorado para causar um heap-based
buffer overflow quando um arquivo PICT malicioso é lido.
Novamente, a oitava vulnerabilidade é um erro de verificação de fronteira na biblioteca
quickTime.qts, quando o programa processa imagens codificadas Kodak, que pode causar um heap-
based buffer overflow. Esta vulnerabilidade não afeta sistemas Mac OS X.
A nona é outro erro de verificação de fronteira, que não afeta sistemas Mac OS X. Tal erro
ocorre quando se trata o codec Animation e pode ser explorado para causar um heap-based buffer
overflow quando um arquivo de filme especialmente projetado é reproduzido.
A décima é um erro de verificação de fronteira, quando processando atoms “obji” que pode
ser explorado para causar um buffer overflow baseado em pilha por um arquivo de vídeo
QuickTime VR, onde o tamanho dos atoms é configurado para 0.
Por último, mais um erro de verificação de fronteira no processamento do opcode de um
Clip, que pode ser explorado para causar um heap-based buffer overflow quando uma imagem PICT
especialmente produzida é carregada no programa.
A exploração de todas as falhas listadas acima, torna possível a execução de código
arbitrário.
Solução:
A solução para se proteger de tais falhas é atualizar o QuickTime para a versão 7.4.5. Os
links para esta versão do programa seguem abaixo:
QuickTime 7.4.5 para Windows:
http://www.apple.com/support/downloads/quicktime745forwindows.html
QuickTime 7.4.5 para Leopard:
http://www.apple.com/support/downloads/quicktime745forleopard.html
QuickTime 7.4.5 para Panther:
http://www.apple.com/support/downloads/quicktime745forpanther.html
QuickTime 7.4.5 para Tiger:
http://www.apple.com/support/downloads/quicktime745fortiger.html
Para maiores informações, acesse:
http://secunia.com/advisories/29650/
Vulnerabilidade de Integer Overflow no MPlayer
Nível: Alto Risco CVE ID's: 2008-1558Publicada em: 26/03/2008 Fonte: Secunia
Foi descoberta uma vulnerabilidade no MPlayer, que pode potencialmente ser explorada por
um usuário malicioso para comprometer um sistema do usuário.
Detalhes:
A falha acontece devido a um erro que causa um Integer Overflow na função
“sdpplin_parse()” do arquivo “stream/realrtsp/sdpplin.c”. Esta falha pode ser explorada para sobre-
escrever uma determinada região de memória, através de um parâmetro “StreamCount” do SDP
arbitrariamente grande.
A exploração bem sucedida pode resultar na execução de código arbitrário.
A falha foi confirmada na versão 1.0rc2. Outras versões talvez sejam afetadas também.
Solução:
Não abra streams RTSP desconhecidos.
Para mais informações, acesse:
http://secunia.com/advisories/29515/
Para entender melhor:
- MPlayer: Player de mídia open-source.
- Integer Overflow: Um Integer Overflow ocorre quando uma operação aritmética tenta criar um
valor numérico maior do que pode ser representado pelo espaço reservado em memória.
- SDP: Protocolo de Descrição de Sessão (Session Description Protocol) é um formato para
descrever os parâmetros de inicialização de um stream de mídia.
- RTSP: O Procotolo de Streaming em Tempo Real (Real Time Streaming Protocol) é um protocolo
para uso em sistemas de streaming de mídia, que permite um cliente controlar remotamente o
servidor de streaming, enviando comandos como "tocar" e "pausar", e permitindo acesso baseado
na hora aos arquivos no servidor.
Múltiplas Vulnerabilidades no VLC Media Player
Nível: Alto Risco CVE ID's: 2008-0057 | 2008-1489Publicada em: 25/03/2008 Fonte: Secunia
Algumas falhas foram reportadas no VLC Media Player, que podem ser exploradas por
usuários maliciosos para comprometer um sistema do usuário.
Detalhes:
A primeira falha é causado por um erro que resulta em um Integer Overflow na função
“MP4_ReadBox_rdrf()” do arquivo “modules/demux/mp4/libmp4.c”. Esta falha pode ser explorada
para causar um Buffer Overflow na região da Heap.
A segunda falha ocorre por causa de um erro na checagem de limites, feita pela função
“sdpplin_parse()” do arquivo “modules/access/rtsp/real_sdpplin.c”. Esta falha pode ser explorada
para sobre-escrever determinadas regiões de memória.
A terceira falha se deve a 2 erros que resultam em Integer Overflow, na função
“cinepak_decode_frame()” do arquivo “modules/codec/cinepak.c”. Esta falha pode ser explorada
para causar um Buffer Overflow na região da Heap.
Para entender melhor:
- VLC Media Player: Player de mídia de código aberto.
- Buffer Overflow: Quando o tamanho de um buffer ultrapassa a capacidade máxima de
armazenamento, este excesso de dados pode acabar sendo armazenado em áreas de memória
próximas, corrompendo dados, travando o programa ou até mesmo sendo executado, o que cria a
possibilidade de inserção de código malicioso, o que caracteriza um ataque de buffer overflow.
- Integer Overflow: Um Integer Overflow ocorre quando uma operação aritmética tenta criar um
valor numérico maior do que pode ser representado pelo espaço reservado em memória.
- Heap: É a área de memória usada durante alocações dinâmicas de memória por um programa.
Caso a exploração das falhas seja bem sucedida pode ser possível a execução de código arbitrário.
As falhas foram reportadas na versão 0.8.6e. Outras versões também podem ser afetadas.
Solução:
Atualizar para a versão 0.8.6f, através do link http://www.videolan.org/vlc/
Para mais informações, acesse:
http://secunia.com/advisories/29503/
Múltiplas Vulnerabilidades no Kerberos
Nível: Alto Risco CVE ID's: 2008-0062 | 2008-0063
2008-0947 | 2008-0948Publicada em: 19/03/2008 Fonte: Secunia
Algumas vulnerabilidades foram reportadas no Kerberos, que podem ser exploradas por
usuários maliciosos com a intenção de obter informações sensíveis, causar um estado de Negação
de Serviço ou comprometer um sistema vulnerável.
Detalhes:
A primeira falha ocorre porque o KDC utiliza apenas uma variável global para todas as
requisições krb4 que estão sendo recebidas, porem define esta variável somente para algumas
Para entender melhor:
- Kerberos: É um protocolo de transporte de rede, que permite comunicações individuais seguras e
identificadas, em uma rede insegura. Para isso o Massachusetts Institute of Technology (MIT)
disponibiliza um pacote de aplicativos que implementam esse protocolo.
- KDC: Em sistemas de criptografia, um Centro de Distribuição de chaves (Key Distribuition
Center) tem o objetivo de reduzir os riscos inerentes no processo de troca de chaves entre os
participantes.
- Krb4: Versão 4 do protocolo Kerberos.
- RPC: A Chamada de Procedimento Remoto (Remote Procedure Call) é o tipo de protocolo para
chamada remota de procedimentos em qualquer lugar da rede ou uma chamada de função para o
método de transferência de controle de parte de um processo para outra, permite a divisão de um
software em várias partes, compartilhamento de arquivos e diretórios.
- Ataque de negação de serviço: Também conhecido como Denial of Service (DoS), trata-se de um
ataque que visa tornar os recursos de um sistema indisponíveis para seus utilizadores, através da
sobrecarga dos recursos deste sistema (memória, processamento, etc.), de forma a força-lo a
reinicializar ou impedi-lo de dispor de recursos para fornecer seus serviços. O ataque não se
qualifica como uma invasão, mas sim como uma invalidação por sobrecarga.
requisições. Isto pode ser explorado para travar um servidor afetado e potencialmente executar
código arbitrário ou ler dados sensíveis que estejam na memória.
A segunda falha ocorre devido a um erro no KDC, no envio de respostas a requisições krb4.
Através de uma requisição especialmente criada, pode-se obter informações sensíveis que estejam
na área de memória de pilha do aplicativo.
Para que ocorra a exploração destas duas vulnerabilidades é necessário que o KDC esteja
com o suporte a krb4 ativado. O suporte ao krb4 vem desativados por padrão nas versões mais
novas do Kerberos.
A terceira falha se deve a 2 erros na biblioteca RPC do Kerberos, na manipulação de
descritores de arquivos abertos, que pode ser explorada para causar corrupção de memória, através
de um número arbitrariamente grande de conexões RPC.
A exploração bem sucedida desta vulnerabilidade pode permitir a execução de código
arbitrário, mas requer que o sistema operacional permita um número arbitrariamente grande de
descritores de arquivos abertos e que "FD_SETSIZE" não esteja nos cabeçalhos do sistema para as
versões anteriores a 1.3.
As duas primeiras falhas foram reportadas do Kerberos 5, versões 1.6.3 e anteriores. A
terceira falha foi reportada no Kerberos 5 nas versões 1.2.2 até a 1.3 e na 1.4 até a 1.6.3.
Solução:
Aplicar as correções liberadas pelo fabricante:
http://web.mit.edu/kerberos/advisories/2008-001-patch.txt
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2008-002.txt
Para maiores informações, acesse:
http://secunia.com/advisories/29428/
Múltiplas Vulnerabilidades de Buffer Overflow no CUPS
Nível: Risco Moderado CVE ID's: 2008-0047 | 2008-1373Publicada em: 19/03/2008 Fonte: Secunia
Algumas vulnerabilidades foram reportadas no CUPS, que podem ser exploradas por
usuários maliciosos para causar uma Negação de Serviço ou potencialmente comprometer um
sistema vulnerável.
Detalhes:
A primeira falha é causada por um erro na checagem de limites, feita pela função
“cgiCompileSearch()” do arquivo “cgi-bin/search.c”. Esta falha pode ser explorada para causar um
Buffer Overflow na área de Heap, a partir de um uma requisição IPP especialmente criada.
A exploração bem sucedida desta falha pode permitir a execução de código arbitrário, porem
Para entender melhor:
- CUPS: O Common Unix Printing System é um sistema de impressão modular para sistemas
operacionais unix-like, que permite que um computador atue como um servidor de impressão.
- IPP: O Internet Printing Protocol é um protocolo padrão de rede para impressão remota e para o
gerenciamento de trabalhos de impressão, tamanho da media a ser impressa, resolução, etc.
- Buffer Overflow: Quando o tamanho de um buffer ultrapassa a capacidade máxima de
armazenamento, este excesso de dados pode acabar sendo armazenado em áreas de memória
próximas, corrompendo dados, travando o programa ou até mesmo sendo executado, o que cria a
possibilidade de inserção de código malicioso, o que caracteriza um ataque de buffer overflow.
- Integer Overflow: Um Integer Overflow ocorre quando uma operação aritmética tenta criar um
valor numérico maior do que pode ser representado pelo espaço reservado na memória.
- Ataque de negação de serviço: Também conhecido como Denial of Service (DoS), trata-se de um
ataque que visa tornar os recursos de um sistema indisponíveis para seus utilizadores, através da
sobrecarga dos recursos deste sistema (memória, processamento, etc.), de forma a força-lo a
reinicializar ou impedi-lo de dispor de recursos para fornecer seus serviços. O ataque não se
qualifica como uma invasão, mas sim como uma invalidação por sobrecarga.
requer que o sistema vulnerável esteja compartilhando impressoras na rede. Se o compartilhamento
de impressoras estiver desabilitado, a vulnerabilidade não poderá ser explorada remotamente,
apenas localmente.
A segunda falha ocorre por um erro na checagem de limites, feita pela função
“gif_read_image()” do arquivo “filter/image-gif.c”. Esta falha pode ser explorada para causar um
Buffer Overflow, a partir de um valor arbitrariamente grande para o campo “code_size” de arquivos
de imagem GIF.
A exploração bem sucedida pode permitir a execução de código arbitrário.
As falhas foram reportadas na versão 1.3.6. Outras versões podem ser afetadas.
Solução:
Atualizar para a versão 1.3.7
Para mais informações:
http://secunia.com/advisories/29431/
Vulnerabilidade de Execução de código e Negação de Serviço nos programas
Bzip2, WinRar e 7-Zip
Nível: Risco Baixo | Moderado | Moderado CVE ID's: 2008-0915 | 2008-0916 | 2008-0914Publicada em: 18/03/2008 Fonte: FrSIRT
Vulnerabilidades comuns aos três compactadores de arquivos foram reportadas. Todas elas
se devem à execução de arquivos corrompidos que causam corrupção de memória. Nos três
programas, as vulnerabilidades pode levar ao travamento do programa e podem ser exploradas para
causar ataques de negação de serviço. Porém as conseqüências se contém à este ponto apenas para o
Bzip2
As conseqüências mais graves se dão no Winrar e no 7-Zip, onde é possível execução de
código arbitrário, e por este meio, é provável que um atacante possa tomar controle de sistemas
afetados.
As soluções se resumem à atualizações dos programas.
Winrar 3.71: http://www.rarlab.com/download.htm.
Bzip2 1.0.5: http://www.bzip.org/downloads.html
7-Zip 4.5.7: http://downloads.sourceforge.net/sevenzip/7z457.exe
Para saber mais: http://www.frsirt.com/english/advisories/2008/0916 http://www.frsirt.com/english/advisories/2008/0915 http://www.frsirt.com/english/advisories/2008/0914
Para entender melhor:
- Bzip2: Programa de compressão de dados, open source, desenvolvido por Julian Seward.
- WinRar: Compactador de dados de licença Shareware, desenvolvido por Alexander Roshal
- 7-Zip:Compactador de arquivos, open source, desenvolvido por Igor Pavlov.
- Ataque de negação de serviço: Também conhecido como Denial of Service (DoS), trata-se de um
ataque que visa tornar os recursos de um sistema indisponíveis para seus utilizadores, através da
sobrecarga dos recursos deste sistema (memória, processamento, etc.), de forma a força-lo a
reinicializar ou impedi-lo de dispor de recursos para fornecer seus serviços. O ataque não se
qualifica como uma invasão, mas sim como uma invalidação por sobrecarga.
Multiplas vulnerabilidades no Adobe Flash Player
Nível: Crítico CVE ID's: 2007-0071 | 2007-5275 | 2007-6019
2007-6243 | 2007-6637| 2008-1654 | 2008-1655
Publicada em: 25/03/2008 Fonte: Secunia
Algumas vulnerabilidades foram reportadas no Adobe Flash Player, as quais podem ser
exploradas por pessoas maliciosas para burlar algumas restrições de segurança, conduzir à ataques
cross-site scripting ou potencialmente comprometer o sistema de um usuário.
A primeira vulnerabilidade é um erro de verificação de fronteira, quando processando tags
“Declaro Function (V7)”. Isso pode ser explorado para causar um heap-based buffer overflow por
flags especialmente produzidas.
Para entender melhor:
- Erro de verificação de fronteira: Ocorre quando um programa não verifica o tamanho máximo
que um dado pode possuir quando o lê. Deste modo, se o dado lido é maior que o espaço
reservado para tal, deste modo endereços de memória adjacentes podem ser reescritos e assim
haver inserção de código.
- Buffer Overflow: <Quando o tamanho de um buffer ultrapassa a capacidade máxima de
armazenamento, este excesso de dados pode acabar sendo armazenado em áreas de memória
próximas, corrompendo dados, travando o programa ou até mesmo sendo executado, o que cria
a possibilidade de inserção de código malicioso, o que caracteriza um ataque de buffer
overflow.
- DNS rebinding: Um ataque que consiste em mudar o ip o qual um hostname se refere.
Geralmente é usado para acessar códigos maliciosos a partir de hostnames considerados
confiáveis pelo sistema e/ou browser.
- URI: Uniform Resource Identifier, é um conjunto de caracteres usados para identificar um
recurso. Um endereço de uma página web, por exemplo é um URI.
A segunda, é um overflow de dado do tipo inteiro, que ocorre ao processar arquivos de
multimídia que pode ser explorado para causar buffer overflow e assim, executar código arbitrário.
A terceira são erros quando fixando um hostname em um endereço IP, que pode ser
explorado para conduzir à ataques do tipo DNS rebinding.
A quarta vulnerabilidade é um erro quando enviando cabeçalhos HTTP, que pode ser
explorado para burlar arquivos de política inter-domínio.
A quinta consiste em um erro quando se impõem arquivos de política inter-domínio. Isto
pode ser explorado para burlar certas restrições de segurança em servidores web que hospedam
arquivos de política inter-domínio.
A sexta, se relaciona com a entrada passada para parâmetros não-especificados quando
tratando, por exemplo, do protocolo “asfunction”, que não é devidamente tratado antes de ser
retornado ao usuário. Isto pode ser explorado para injeção de códigos HTML e scripts em uma
sessão do browser do usuário no contexto de um site infectado.
Uma sétima vulnerabilidade decorre de um erro ao processar expressões regulares
maliciosamente produzidas que pode ser explorado para causar um heap-based buffer overflow.
A oitava é um erro no processamento de imagens JPG embutidas em arquivos SWF, que
pode ser explorado para corromper o heap por densidades X e Y especialmente produzidas, que são
especificadas no cabeçalho do arquivo JPG.
A nona é um erro no processamento da função “navigateToURL”, que pode ser explorado
para executar códigos arbitrários em contexto de segurança de outro dominio, através de uma URI
“javascript:” especialmente projetada. Esta vulnerabilidade afeta apenas o Flash Player ActiveX
Control para o Internet Explorer.
A décima é um erro na implementação das classes Action Script Socket ou XMLSocket, que
podem ser exploradas para checar se uma porta em um host remoto está aberta ou fechada.
A décima primeira é um erro na configuração de permissões de memória no Adobe Flash
Player para Linux, que pode ser explorado por usuários locais para ganhar privilégios de sistema.
A décima segunda é um erro não-especificado no Adobe Flash Player e no Opera para Mac
OS X.
A solução para as vulnerabilidades listadas acima, é fazer atualização para a versão
9.0.115.0.
Flash Player 9.0.48.0:
http://www.stage.adobe.com/go/getflash
Flash Player 9.0.48.0 e mais novos - network distribution:
http://www.stage.adobe.com/licensing/distribution
Flash CS3 Professional:
http://www.adobe.com/support/flash/downloads.html
Flex 2.0:
http://www.stage.adobe.com/support/flashplayer/downloads.html#fp9
Para maiores informações:
http://secunia.com/advisories/28083/
http://secunia.com/advisories/28161/
Boletins Microsoft
A Microsoft libera, nas segundas terças-feiras de cada mês, um boletim com vulnerabilidades reportadas de seus produtos. De modo que são muitos os usuários de programas Microsoft, consideramos de exímia importância a publicação das principais vulnerabilidades divulgadas pela empresa.
O cabeçalho segue similar ao das outras vulnerabilidades.
Portanto, nesta sessão, você confere as principais vulnerabilidades divulgadas pela microsoft neste mês de abril.
Corrupção de memória no controle ActiveX hxvz.dll do Microsoft Windows
Nível: Risco Baixo | Moderado | Moderado CVE ID's: 2008-1086Publicada em: 09/04/2008 Fonte: Secunia
Uma vulnerabilidade foi reportada no Microsoft Windows, da qual indivíduos maliciosos
podem se aproveitar para comprometer o sistema de um usuário. A vulnerabilidade é causada por
um erro no Controle ActiveX hxvz.dll, e pode ser explorado para causar uma corrupção de memória
quando um usuário, por exemplo, é induzido a visitar um website malicioso. Caso a vulnerabilidade
seja explorada com sucesso, permite a execução de código arbitrário.
Sistemas afetados:
– Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Server
- Microsoft Windows Server 2003 Datacenter Edition
- Microsoft Windows Server 2003 Enterprise Edition
- Microsoft Windows Server 2003 Standard Edition
- Microsoft Windows Server 2003 Web Edition
- Microsoft Windows Server 2008
- Microsoft Windows Vista
- Microsoft Windows XP Home Edition
- Microsoft Windows XP Professional
Para entender melhor:
- ActiveX: - Controle ActiveX: Aplicativo ActiveX que roda diretamente de páginas Web.
Solução:
Aplique os Patches.
Windows 2000 SP4 with Internet Explorer 5.01 SP4:
http://www.microsoft.com/downloads/de...=0395451F-B719-4F71-A7B4-403D0C7E8FCC
Windows 2000 SP4 with Internet Explorer 6 SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0395451F-B719-4F71-
A7B4-403D0C7E8FCC
Windows XP SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9DBF002F-FE53-4CC7-
A430-35F45C520D10
Windows XP Professional x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/details.aspx?FamilyId=01400970-DF68-4DAF-
AA39-2FC4F969974C
Windows Server 2003 SP1/SP2:
http://www.microsoft.com/downloads/details.aspx?
FamilyId=AD384FEA-53BE-4BE3-8ACB-1CD23A7F5405
Windows Server 2003 x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/details.aspx?FamilyId=FFC5C893-CB24-4875-
B0A7-6D5C7AA4D642
Windows Server 2003 with SP1/SP2 for Itanium-based systems:
http://www.microsoft.com/downloads/details.aspx?FamilyId=94CF78D3-
B6C3-41BC-993E-3AF3BE0D70F1
Windows Vista (optionally with SP1):
http://www.microsoft.com/downloads/details.aspx?FamilyId=D7F14001-7F42-4CA0-9193-
CDF061179B59
Windows Vista x64 Edition (optionally with SP1):
http://www.microsoft.com/downloads/details.aspx?FamilyId=D33462B6-7391-482D-BABE-
FB4CD0BEAA21
Windows Server 2008 for 32-bit Systems:
http://www.microsoft.com/downloads/details.aspx?
FamilyId=95691924-2813-4A86-9E11-99D853F8E606
Windows Server 2008 for x64-based Systems:
http://www.microsoft.com/downloads/details.aspx?FamilyId=920AE29B-19D0-4089-AC79-
F2DA824A2256
Windows Server 2008 for Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?FamilyId=66DF79AC-8364-4922-9688-
EBC7EC76D89F
Para maiores informações, acesse:
http://secunia.com/advisories/29714/
Vulnerabilidade de Buffer Overflow no Windows ao Processar Imagens GDI
Nível: Alto Risco CVE ID's: 2008-1083 | 2008-1087Publicada em: 09/04/2008 Fonte: Secunia
Duas vulnerabilidades foram reportadas no Microsoft Windows, que podem ser exploradas
por usuários maliciosos para compromenter um sistema vulnerável.
1) Um erro na maneira como o GDI lida com cálculos com inteiros ao processar cabeçalhos de
arquivos de imagem pode ser explorado para causar um Buffer Overflow na área de Heap
através de uma imagem EMF ou WMF, com valores de cabeçalho especialmente projetados
para tal.
2) Um erro de fronteira quando o GDI lida com parâmetros de nome de arquivos em arquivos
EMF pode ser explorado para causar um Buffer Overflow na área de Pilha através de um
arquivo EMF especialmente projetado para tal.
O sucesso na exploração das vulnerabilidades podem permitir a execução de código
arbitrário.
Para entender melhor:
- GDI: Graphics Device Interface (Interface de Dispositivos Gráficos).
- Arquivos WMF e EMF: WMF (Windows Metafile Format) e EMF (Windows Enhanced Metafile
Format) são formatos nativos do Windows usados basicamente para gráficos vetoriais (como
cliparts) compartilhados entre aplicativos do Windows.
- Buffer Overflow: Quando o tamanho de um buffer ultrapassa a capacidade máxima de
armazenamento, este excesso de dados pode acabar sendo armazenado em áreas de memória
próximas, corrompendo dados, travando o programa ou até mesmo sendo executado, o que cria a
possibilidade de inserção de código malicioso, o que caracteriza um ataque de buffer overflow.
- Heap: É a área de memória usada durante alocações dinâmicas de memória por um programa.
Sistemas afetados:
– Microsoft Windows 2000 Advanced Server
– Microsoft Windows 2000 Datacenter Server
– Microsoft Windows 2000 Professional
– Microsoft Windows 2000 Server
– Microsoft Windows Server 2003 Datacenter Edition
– Microsoft Windows Server 2003 Enterprise Edition
– Microsoft Windows Server 2003 Standard Edition
– Microsoft Windows Server 2003 Web Edition
– Microsoft Windows Server 2008
– Microsoft Windows Storage Server 2003
– Microsoft Windows Vista
– Microsoft Windows XP Home Edition
– Microsoft Windows XP Professional
Solução:
Aplique os patches.
Windows 2000 SP4:
http://www.microsoft.com/downloads/details.aspx?familyid=caac000a-22b6-48cb-
aa00-1a0bfe886de2
Windows XP SP2:
http://www.microsoft.com/downloads/details.aspx?familyid=c2763dd8-a03e-4a48-aa86-
a7ec00250a7a
Windows XP Professional x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/details.aspx?familyid=166f2ab5-913c-47a9-86fe-
b814797b751e
Windows Server 2003 SP1/SP2:
http://www.microsoft.com/downloads/details.aspx?familyidbee91d80-d49a-4d3d-82d6-
d5aa63f54979
Windows Server 2003 x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/details.aspx?familyid=e3dde449-e062-4ce0-
a9f4-433bff23e224
Windows Server 2003 with SP1/SP2 for Itanium-based systems:
http://www.microsoft.com/downloads/details.aspx?familyid=7886a802-f2b5-489c-
b14b-631f4c4c0742
Windows Vista (optionally with SP1):
http://www.microsoft.com/downloads/details.aspx?
familyid=9b51deb8-3873-4146-977f-7e3d0840a4c5
Windows Vista x64 Edition (optionally with SP1):
http://www.microsoft.com/downloads/details.aspx?familyid=4ad6dcd1-6ea5-43bf-8bee-
a5f507beadc6
Windows Server 2008 for 32-bit systems:
http://www.microsoft.com/downloads/details.aspx?
familyid=006d5c47-53e6-4ee1-932c-497611804938
Windows Server 2008 for x64-based systems:
http://www.microsoft.com/downloads/details.aspx?familyid=8909f144-655b-4f07-916f-
fd967f1efb2b
Windows Server 2008 for Itanium-based systems:
http://www.microsoft.com/downloads/details.aspx?familyid=b7771a4a-4e4f-48d1-8551-
bb8b778ca5a7
Vulnerabilidade de Buffer Overflow no Windows ao Decodificar Scripts
Microsoft VBScript/JScript
Nível: Alto Risco CVE ID's: 2008-0083Publicada em: 08/04/2008 Fonte: Secunia
Uma vulnerabilidade foi reportada no Microsoft Windows que pode ser explorada por
indivíduos maliciosos de modo a comprometer o sistema de um usuário. A vulnerabilidade deve-se
a um erro de fronteira nos mecanismos de scripting do VBScript e do Jscript, ao decodificar scripts
em páginas web. Isto pode ser explorado para causar um buffer overflow através de, por exemplo,
websites contendo scripts especialmente projetados para tal.
O sucesso na exploração dessa vulnerabilidade permite a execução de código arbitrário.
Obs.: Esta vulnerabilidade não afeta sistemas com o Internet Explorer 7.
Sistemas afetados:
– Microsoft Windows 2000 Advanced Server
– Microsoft Windows 2000 Datacenter Server
– Microsoft Windows 2000 Professional
– Microsoft Windows 2000 Server
– Microsoft Windows Server 2003 Datacenter Edition
– Microsoft Windows Server 2003 Enterprise Edition
Para entender melhor:
- Buffer Overflow: Quando o tamanho de um buffer ultrapassa a capacidade máxima de
armazenamento, este excesso de dados pode acabar sendo armazenado em áreas de memória
próximas, corrompendo dados, travando o programa ou até mesmo sendo executado, o que cria a
possibilidade de inserção de código malicioso, o que caracteriza um ataque de buffer overflow.
– Microsoft Windows Server 2003 Standard Edition
– Microsoft Windows Server 2003 Web Edition
– Microsoft Windows Storage Server 2003
– Microsoft Windows XP Home Edition
– Microsoft Windows XP Professional
Solução:
Aplique os patches.
-- VBScript 5.1 and JScript 5.1 --
Windows 2000 SP4:
http://www.microsoft.com/downloads/details.aspx?
FamilyId=8e3ff44f-145b-4a68-9ad4-4a55d74b216e
-- VBScript 5.6 and JScript 5.6 --
Windows 2000 SP4:
http://www.microsoft.com/downloads/details.aspx?
FamilyId=8e3ff44f-145b-4a68-9ad4-4a55d74b216e
Windows XP SP2:
http://www.microsoft.com/downloads/details.aspx?
FamilyId=c0124698-3b94-4474-9473-22a2f39a4a56
Windows XP Professional x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/details.aspx?FamilyId=87b80ae3-e299-4d15-
a135-3b1bcf943652
Windows Server 2003 SP1/SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=88518aa6-e334-4529-
aa63-0bf2ef417ce3
Windows Server 2003 x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/details.aspx?FamilyId=12cefefc-8553-4dca-9850-
c653371de61e
Windows Server 2003 with SP1/SP2 for Itanium-based systems:
http://www.microsoft.com/downloads/details.aspx?FamilyId=fe22a828-cca4-4b51-
bbd5-995c65fead21
Vulnerabilidade de manipulação de stream de dados no Internet Explorer
Nível: Crítico CVE ID's: 2008-1085Publicada em: 08/04/2008 Fonte: Secunia
A vulnerabilidade é causada por um erro quando processando streams de dados e pode ser
explorado para ativar uma condição de use-depois-de-liberar por retornar um stream de dados
especialmente projetado de, por exemplo, um MIME-type inesperado pelo qual nenhum
manipulador está registrado.
A exploração bem-sucedida possibilita execução de código arbitrário quando um usuário
visita um site malicioso.
A solução é aplicar o patch adequado. Seguem os links:
Windows 2000 SP4 with Internet Explorer 5.01 SP4:
http://www.microsoft.com/downloads/de...=B051AE04-FE81-440D-9136-D6B239CA954E
Windows 2000 SP4 with Internet Explorer 6 SP1:
http://www.microsoft.com/downloads/de...=75D2DC78-E3A4-4FF6-9E2D-BF1935003E8E
Windows XP SP2 with Internet Explorer 6:
http://www.microsoft.com/downloads/de...=36C641AD-953F-4B09-BA1C-9C383295E180
Para entender melhor:
- Internet Explorer: Navegador Web desenvolvido pela Microsoft.
- Stream: sucessão de dados disponíveis em determinados intervalos de tempo.
- MIME-type: Multipurpose Internet Mail Extensions. Padrão utilizado na internet para emails,
que permite, entre outros, suporte para pacotes de caracteres como UTF e anexos que não sejam
texto.
Windows XP Professional x64 Edition (optionally with SP2) and Internet Explorer 6:
http://www.microsoft.com/downloads/de...=85BEACC0-8CA2-4DED-9C24-23348D05C735
Windows Server 2003 SP1/SP2 with Internet Explorer 6:
http://www.microsoft.com/downloads/de...=0444B76E-93FA-43C2-B1BC-A5C054529EB5
Windows Server 2003 x64 Edition (optionally with SP1) and Internet Explorer 6:
http://www.microsoft.com/downloads/de...=5EBB5EF9-615F-4CAB-BAC5-6F45F1B94952
Windows Server 2003 with SP1/SP2 for Itanium-based systems and Internet Explorer 6:
http://www.microsoft.com/downloads/de...=63DA8040-FDA2-42C7-8543-26AD6F9811F2
Windows XP SP2 with Internet Explorer 7:
http://www.microsoft.com/downloads/de...=E771EFE8-8881-4F23-B5B0-15651A390BA9
Windows XP Professional x64 Edition (optionally with SP2) and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=9364BF81-6505-4788-958D-A4BD29DC98AD
Windows Server 2003 SP1/SP2 with Internet Explorer 7:
http://www.microsoft.com/downloads/de...=9ACD2A03-5530-49C8-9EA1-0BFAF259700D
Windows Server 2003 x64 Edition (optionally with SP2) and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=A9E406AA-33E2-49B8-AB54-4A7328E46147
Windows Server 2003 with SP1/SP2 for Itanium-based systems and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=75A05D3A-92A0-4A00-95D4-E2B2F6755180
Windows Vista (optionally with SP1) and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=D4E24966-6530-463A-9EE2-F6A9D000F998
Windows Vista x64 Edition (optionally with SP1) and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=295CF8F2-265E-4570-B708-21033337FE05
Windows Server 2008 for 32-bit Systems and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=E57B4D94-19AD-4818-8311-A3F94BE01A4B
Windows Server 2008 for x64-based Systems and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=93E9F52A-C7D0-4033-9C12-740665A219AF
Windows Server 2008 for Itanium-based Systems and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=ACF948E8-C4A9-40DA-B282-F5E584E77B05
Para maiores informações, acesse:
http://secunia.com/advisories/27707/
Vulnerabilidade não-especificada de execução de código no Microsoft Project
Nível: Crítico CVE ID's: 2008-1088Publicada em: 08/04/2008 Fonte: Secunia
Uma vulnerabilidade foi reportada no Microsoft Project, a qual pode ser explorada por
pessoas maliciosas para comprometer um sistema de usuário.
A vulnerabilidade é causada devido à um erro não-especificado que pode ser explorado
quando abrindo um arquivo de Projeto especialmente produzido.
A exploração bem-sucedida pode permitir execução arbitrária de codigo.
Para solucionar o problema, aplique as atualizações:
Microsoft Project 2000 SR1:
http://www.microsoft.com/downloads/de...=fbe46241-b9da-40c6-803d-42eb6234be77
Microsoft Project 2002 SP1:
http://www.microsoft.com/downloads/de...=07a90718-6597-426d-9dca-a336d60c01b8
Microsoft Project 2003 SP2:
http://www.microsoft.com/downloads/de...=aaba07d6-e972-4e85-bccd-406aa2c4a4f4
Para maiores informações, acesse:
http://secunia.com/advisories/29690
Para entender melhor:
- Microsoft Project: Software de gestão de projetos, desenvolvido pela Microsoft.
Duas vulnerabilidades em processamento de arquivos no Microsoft Visio
Nível: Crítico CVE ID's: 2008-1089 | 2008-1090Publicada em: 08/04/2008 Fonte: Secunia
Duas vulnerabilidades foram reportadas no Microsoft Visio, as quais podem ser explorardas
por pessoas maliciosas para comprometer um sistema de usuário.
A primeira é um erro quando processando o cabeçalho de um dado de objeto, que pode ser
explorada por meio de um arquivo Visio especialmente produzido.
A segunda se deve a um erro enquanto o programa valida alocações de memória quando
carrega arquivos de desenho AutoCAD, que pode ser explorado por meio de um arquivo .DXF
especialmente produzido.
A exploração bem-sucedida das vulnerabilidades pode levar à execução de código arbitrário.
A solução é aplicar os patches de acordo com a sua versão do programa. Seguem os links.
Microsoft Visio 2002 SP2:
http://www.microsoft.com/downloads/de...=0056a936-def5-40fa-bcfc-0ab0dd5c3964
Microsoft Visio 2003 SP2:
http://www.microsoft.com/downloads/de...=18af0ce6-99a0-4471-8d26-9700a8a8e631
Para entender melhor:
- Microsoft Visio: Aplicativo desenvolvido pela Microsoft que visa auxiliar programadores na
modelagem de programas e banco de dados.
- Arquivo .DXF: Arquivo de intercâmbio para modelos de CAD.
Microsoft Visio 2003 SP3:
http://www.microsoft.com/downloads/de...=18af0ce6-99a0-4471-8d26-9700a8a8e631
Microsoft Visio 2007:
http://www.microsoft.com/downloads/de...=0510a1bb-b464-452c-900f-7f4e58ed9c7e
Microsoft Visio 2007 SP1:
http://www.microsoft.com/downloads/de...=0510a1bb-b464-452c-900f-7f4e58ed9c7e
Para maiores informações, acesse:
http://secunia.com/advisories/29691/
Nota Final
Chegamos, então, ao fim de nossa segunda edição.
O Grupo gostaria de agradecer aos que têm divulgado, elogiado, criticado e/ou dado
sugestões para o crescimento da revista. A repercussão da primeira edição foi muito além do
esperado.
Esperamos que a repercussão só aumente, e que possamos levar a vocês, leitores, cada vez
mais informações. E agora, com a abertura da sessão exclusiva dos leitores, vocês poderão
colaborar ainda mais.
Pedimos, então, que continuem enviando dúvidas, tutoriais, sugestões, elogios, críticas e o
que mais for pertinente para o e-mail: [email protected]
Finalmente, e mais uma vez, fique com nossos sinceros agradecimentos.
Saudações,
Equipe GRIS.
