De las 13 actualizaciones, dos eran “críticas”, nueve “importantes” y dos “moderadas”. Aunque el “Ping de la Muerte” suena como algo terrible, no es quizás la actualización más importante del grupo. La actualización “MS11-064″ es la encargada de reparar este problema, descubierto a principios de la década de 1990. El asunto es el siguiente: si alguien envía un requerimiento ping específico a un equipo, éste causaba que el PC con Windows se fuera a pantalla azul y luego se reiniciara.

Hace años, el Ping de la Muerte se usó para botar PCs con Windows de manera remota, muchas veces para demostrar la inestabilidad del sistema operativo. La vulnerabilidad que se parcha ahora parece ser una versión algo distinta del Ping de la Muerte de los 90′s. Microsoft señaló que existe en Windows Vista, Server 2008, Windows 7, pero no en XP o Server 2003.

Sin embargo, usar el Ping de la Muerte hoy en día es algo muy raro, ya que hay maneras menos complicadas de atacar equipos. Además, esta vulnerabilidad no sirve para controlar el equipo o robar datos.

Más allá de este problema, se parcharon también siete vulnerabilidades en Internet Explorer, incluyendo una que permitiría a una web maliciosa tomar control del PC, de modo que ésta sí es una actualización urgente.

La actualización aparecerá de forma automática en Microsoft Update.

Link: Microsoft patches 1990s-era ‘Ping of Death’ (ComputerWorld)

Se trata de 17 actualizaciones en total (que Microsoft llama “boletines”), número que empata el último récord de parches de la empresa, logrado en diciembre pasado.

De los 17, 9 han sido calificados como “críticos”, que es el nivel más alto de riesgo en la escala de Microsoft, mientras que los otros 8 fueron marcados como “importantes”.

Los parches repararán algunos problemas que ya han causado fallas de seguridad en empresas. Las actualizaciones saldrán el próximo 12 de abril, así que ya están advertidos para que se vayan preparando.

Link: Microsoft sets mammoth Patch Tuesday, will fix 64 flaws (Computerworld)

La falla estaba presente en Flash Player, Acrobat y Reader en todos los sistemas operativos. Curiosamente, para arreglar el problema Adobe lanzó un parche para Acrobat que arregla el problema en Flash. Como sea, quienes usen este software mejor procedan a actualizar, para estar seguros.

Link: Adobe

Los atacantes están explotando una vulnerabilidad integrando archivos maliciosos de Flash en documentos de Excel, enviados por e-mail. Según Adobe, la vulnerabilidad puede causar caídas y potencialmente permitir que el atacante tome control del sistema afectado.

Hasta ahora, el ataque se ha visto limitado a un “pequeño número de organizaciones”, aunque la falla está presente en Flash Player, Reader y Acrobat en Windows, Mac, Linux, Solaris y Android.

Link: Security advisory for Adobe Flash Player, Adobe Reader and Acrobat (Adobe vía The Register)

En noviembre del año pasado un parche de 233 líneas del desarrollador Mike Galbrait demostró que podría  acelerar notablemente la experiencia del escritorio en Linux, reduciendo la latencia hasta en 60 veces. En esta versión de Linux, el parche cambia la forma en que el planificador  asigna tiempo de CPU a cada proceso para que el sistema pueda agrupar todos los procesos con el mismo identificador de sesión.

Por otro lado, los cambios en el sistema virtual de archivos (VFS) no solo hacen que las cargas de trabajo multi-hilo sean escalables, sino que también hace que algunas cargas con procesos únicos sean mucho más rápidos. En esencia, el dcache VFS (directorio de caché) y los mecanismo de búsqueda de ruta se han revisado a fin de ser más escalables.

La memoria permitida para procesar aumentará de tamaño de 4KB a 2 MB gracias a las “Transparent Huge Pages”, que reducen el número de asignaciones de memoria y aprovechan el mayor rendimiento del hardware. Según Tim Burke, vicepresidente de Ingeniería Linux de Red Hat, el impacto de la inclusión de las THP en Linux 2.6.38 es que ofrecen un mejor desempeño en las cargas de trabajo que requiere una gran cantidad de memoria, tales como servidores de JVM y base de datos.

Adiciones importantes a Linux 2.6.38:

• Compresión LZO y snapshots de sólo lectura en Btrfs: Btrfs añade soporte para el algoritmo de compresión LZO, como alternativa a zlib. También se añade soporte para marcar un snapshot como sólo lectura y la característica “force mounting” (forzar montaje) que hará que el código base sea más tolerante a fallos.
• Transparent huge pages - Esta alternativa al API basado en el sistema de archivos aprovecha de las ventajas de rendimiento de los procesadores modernos con mayor cache. El código de Transparent huge pages ahora se utiliza por defecto cuando sea aplicable, pero puede ser configurado para ser utilizado siempre o sólo cuando se solicite. El aumento será especialmente notable con el incremento en cargas de trabajo intensivas de datos, como bases de datos o sesiones KVM, que con frecuencia accesan a direcciones virtuales.
• Protocolo de malla B.A.T.M.A.N. – Better Approach To Mobile Ad-hoc Networking es un protocolo de ruteo proactivo para Redes Mesh Ad-hoc Inalámbricas [PDF], incluyendo las redes ad-hoc móviles (en inglés MANETs). El protocolo mantiene proactivamente información sobre la existencia de todos los nodos en la malla, que son accesibles a través de enlaces de comunicación de uno o múltiples saltos. La estrategia de B.A.T.M.A.N. es determinar para cada destino en la malla un vecino de un salto, el cual puede ser utilizado como mejor gateway para comunicarse con el nodo de destino. En estas redes, cada nodo de enrutamiento participa en los datos de reenvío para otros nodos de forma dinámica y se dice que es útil para situaciones de emergencia como desastres naturales.
• Soporte para AMD Fusion – Esta versión incluye el soporte para los nuevos APUs Fusión basados en una o más instancias del núcleo “Bobcat”.
• Límites de memoria sucia – Esta función controla los límites de Dirty Pages (Buffer de páginas que contienen modificaciones que no se han escrito en el disco) de cada controlador de memoria cgroups.

Linux 2.6.38  también ofrece una variedad habitual variedad de ajustes, adiciones y correcciones de errores, incluyendo mejoras en el núcleo, el planificador (scheduler), gestión de memoria, manejo de bloques, sistemas de archivos, creación de redes, criptografía, virtualización, seguridad y trazado.

Links:
- Linux 2.6.38 speeds group scheduling, VFS (Linux for Devices)
- What’s new in Linux 2.6.38 (H-Online)
- Linux Kernel 2.6.38 arrives with desktop ‘wonder patch’ (TechWord)

La compañía señaló que algunos de estos bugs podrían ser explotados para ejecutar código en la máquina, lo que podría posibilitar hackeos y control a distancia de Macs vulnerables. Apple no detalló cuántas de las vulnerabilidades son las críticas.

Leopard (OS X 10.5) recibió 16 parches para Java SE 6 y 11 para Java SE 5. Snow Leopard (OS X 10.6) en tanto, recibió 16 parches para bugs en Java SE 6.

Se trata del primer parche para Java lanzado por Apple desde octubre de 2010. Poco antes de eso, Apple había criticado amargamente a Java y amenazado con quitarlo de Mac OS X, aunque prometió seguir dando soporte para Leopard y Snow Leopard. Esto ha hecho suponer que Java estará ausente de Lion, algo que todavía está por verse. No está muy claro si su ausencia ayudará o no a la seguridad de los Macs.

Para quienes tengan uno de los dos sistemas operativos mencionados, pueden descargar los parches desde el sitio de soporte de Apple.

Link: Apple patches critical Mac bugs with Java updates (Computerworld)

La compañía recomendó fijarse en la prioridad que tienen los parches para que no te sientas sobrepasado haciendo todas las actualizaciones de una sola vez.

De los 34 problemas, Microsoft indicó que 14 son “críticos”, el nivel más alto en la escala de riesgo que usa la empresa, 17 se calificaron como “importantes” y tres como “moderados”. Se trata de vulnerabilidades que pueden ser explotadas para obtener información o control sobre la máquina.

Para tratar estos problemas, la compañía lanzó un paquete de 14 parches, 8 “críticos” y 6 “importantes”.

El tradicional “martes de parches” mensual de Microsoft se puede descargar e instalar a través del servicio de actualización de Windows (Windows Update).

Links:
- Microsoft delivers monster patch batch (ComputerWorld)
- Microsoft Security Bulletin MS10-049 – Critical (Microsoft)

Microsoft ha confirmado la existencia de una vulnerabilidad que permite a un atacante ejecutar código arbitrario en la máquina objetivo. El vector utilizado es nada menos que un acceso directo, de extensión lnk.

Sucede que la manera como están construidos los accesos directos en Windows, en particular la forma que el sistema operativo tiene para buscar, identificar y desplegar el ícono asociado a ellos, permite ejecutar ciertos comandos por el simple hecho de aparecer en una ventana del explorador de archivos. Esto último es particularmente grave: aunque cualquier persona con sentido común sabe que no debe ejecutar adjuntos, en este caso no hace falta que lo ejecutes, basta que lo veas en un directorio y cuando Windows busca el ícono se infecta.

Hasta ahora han descubierto que se está usando esa vulnerabilidad para distribuir cierto rootkit a través de pendrives, pero ese es sólo uno de los múltiples usos que se le puede dar. Piensen solamente que bastaría dejarlo en una carpeta de red para que una corporación entera se contagiara al navegar en ella.

El agujero de seguridad afecta a múltiples sistemas operativos incluyendo Windows 7. Microsoft no ha dicho cuándo piensa liberar un parche y hasta ahora sólo ha recomendado desactivar la reproducción automática o incluso desactivar el uso de íconos en accesos directos, lo cual empeora en extremo la apariencia del sistema.

Adicionalmente, en el listado de sistemas vulnerables no se incluye Windows 2000 ni Windows XP SP2. No es porque sean seguros, sino porque se terminó el soporte y simplemente no van a liberar los respectivos parches.

Link: New Windows Shortcut zero-day exploit confirmed (Ars Technica)

El parche fue lanzado el 29 de junio pasado con la finalidad de “resolver” un problema detectado hace tres meses, pero Le Manh Tung (especialista en seguridad) descubrió que incluso una vez aplicado el parche la vulnerabilidad seguía existiendo.

Según Tung basta con modificar el ataque original para lograr ejecutar código en el computador, por lo que en realidad el parche sólo soluciona la forma, pero no el fondo de la vulnerabilidad.

Ahora tendremos que esperar hasta que Adobe se digne a resolver el problema de manera definitiva, esperemos que esto sea así y no nos llenemos de parches que en realidad no solucionan nada.

Link: Adobe fix still allows “Escape from PDF” (Vía CHW)

La actualización está disponible para Windows, Mac y Linux. En total, se repararon 32 bugs, lo que es un número bastante grande para este tipo de actualizaciones. Adobe lanzó ayer también Flash 10.1, que está inmunizado contra la falla crítica.

Según los reportes, Adobe estaría pensando parchar sus aplicaciones más frecuentemente, para aumentar la seguridad de sus programas. Según Adobe, más de un 95% de los PC del mundo tienen instalado Flash, lo que hace que este programa en particular sea un punto de interés para los crackers y repartidores de malware.

Link: After attacks, Adobe fixes Flash bug (Computerworld)

La alerta explicaba que la vulnerabilidad permite que personas potencialmente puedan explotarla y hacer caer sistemas o bien tomar control de la máquina afectada – preocupante si se piensa que todo el mundo tiene alguno de los tres programas.

“Estamos en proceso de finalizar el arreglo para este problema, y esperamos proveer una actualización para Flash Player 10.x para Windows, Macintosh y Linux para el 10 de junio de 2010″.

Quedará pendiente el parche para Solaris. Adobe también descubrió otras vulnerabilidades menos críticas, pero estas no serán parchadas hasta el 29 de junio como una “actualización acelerada” de la que correspondería hacer a mediados de julio. Esto significa que en julio no van a haber arreglos para descargar.

Esta falla significa un autogol para Adobe, que lleva meses peleando con Apple tratando de asegurar que ellos no son “bugueros” ni causan inestabilidad en el sistema, como dice Apple.

Link: Adobe to fix Flash flaw (IT PRO – gracias Searcher)

“Esta actualización de seguridad incluye un detector que impide la instalación de la actualización de seguridad, si existen ciertas condiciones anormales en los sistemas de 32 bits… Estas condiciones en el sistema podrían ser el resultado de una infección con un virus que modifica algunos archivos del sistema operativo, haciendo que el ordenador infectado sea incompatible con la actualización del kernel“

Por lo tanto, Microsoft exhorta a descargar su herramienta de detección de software malintencionado (Malicious Software Removal) que elimina una serie de vulnerabilidades comunes (incluyendo el rootkit Alureon) y ejecutar el parche tan pronto como sea posible.

Win32/Alureon es una familia de troyanos que roban datos. Estos troyanos permiten a un atacante para interceptar el tráfico de Internet con el fin de obtener información confidencial como nombres de usuario, contraseñas y datos de tarjetas de crédito. Permite que un atacante transmita datos maliciosos a la computadora infectada. El troyano puede modificar la configuración de DNS en el equipo host para permitir que el atacante realice estas tareas. Por lo que podría ser necesaria la reconfiguración de su DNS después de que elimine el troyano.

Al parecer el bug que había estado por 17 años en el kernel de todas las versiones de 32 bits de Windows no será fácil de corregir mientras Alureon interactué con los parches de actualización.

Link: Infected XP owners left unpatched (BBC News)

Cinco de las actualizaciones han sido catalogadas como “críticas”, siete como “importantes” y el resto “moderadas”, y al menos 10 de los 13 parches requerirán que se reinicie el equipo.

Los sistemas operativos afectados son Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

Usuarios de Windows, prepárense para el martes, que viene una sesión masiva de parchado.

Link: Microsoft Patch Tuesday for February 2010: 13 bulletins (Ars Technica)

De algo sirvió el reciente hackeo de Google con Internet Explorer, y no me refiero a las recomendaciones de Microsoft para actualizar a Internet Explorer 8, ni tampoco al tema Google versus China. La realidad es que Microsoft ha lanzado una actualización importante para su navegador que arregla las vulnerabilidades que se usaron en el reciente ataque a Google.

La actualización está disponible a través de Windows Update, Microsoft Update y de los servicios de actualización de Windows. Este parche sirve para todas las versiones de Internet Explorer, con excepción de IE 6 de Windows Server 2003. Es decir, funciona para IE6, IE7 e IE8 corriendo en Windows 2000, XP, Server 2003 (menos la excepción ya mencionada), Server 2008, Vista y Windows 7.

Según Microsoft, esta actualización estaba programada para febrero, pero los recientes hechos aceleraron el proceso, lanzándola fuera de calendario. Como sea, es algo bueno, especialmente para la gran mayoría que usa este navegador web; que siguen siendo millones a pesar de que existen mejores alternativas.

Link: Microsoft’s IE Patch Plugs Aurora Hole, Seven Others (PCMag)

Así que si el jueves piensas cambiarte al nuevo sistema operativo de Microsoft, ya necesitarás bajar la primera actualización de seguridad.

Microsoft descubrió 34 fallas que afectaban a Windows XP, Vista y la versión final de Windows 7, que intentó arreglar rápidamente. Pese a que Windows 7 presentó problemas, la cantidad de fallas es menor a lo que registraron XP (24 de 34, con 18 de ellas marcadas como críticas) y Vista (19 de 34, 11 críticas).

De acuerdo a los expertos, la presencia de fallas en Windows 7 se debería al uso de código reciclado heredado de sus antecesores. Por lo menos éstas ya están solucionadas, aunque no se descarta que una vez que aparezca, se descubran otras más.

Link: Microsoft issues first Windows 7 patches (ComputerWorld)

Hace ya siete años que se detectó una importante vulnerabilidad en el protocolo de red SMB, que utiliza Microsoft en sus Sistemas Operativos y que acaba de ser resuelto por medio de un parche publicado por la empresa.

La vulnerabilidad permitía que un atacante tomara el control de la máquina en la que el protocolo SMB estuviera activado, con el objeto de compartir recursos al interior de una red.

Esta vulnerabilidad había sido descrita en la conferencia Defcon realizada en el año 2000 y de alguna manera se había comprobado en el año 2001, siendo considerada una de las vulnerabilidades sin solución más importantes y que afectaba a los Sistemas Operativos Windows 2000, XP, Vista, Server 2003 y 2008.

Más vale tarde que nunca Dicen™ algunos.

Link: MS08-068: SMB credential reflection defense (Security Vulnerability Research & Defense)