Un mundo libre

Tavis Ormandy ha publicado, en la lista de Full Disclosure, los detalles
y prueba de concepto de una vulnerabilidad sin parche que permite
ejecutar comandos arbitrarios a través de una URL. El fallo descubierto
se halla en Microsoft Windows Help Centre, la aplicación para acceder a
la documentación de ayuda.

Dicha aplicación registra un manejador de protocolo con el esquema
“hcp://” para acceder a la documentación a través de URLs. Cuando se
accede a través de una URL a la documentación, el manejador del nombrado
esquema “hcp”, añade el parámetro de línea de comandos “/fromhcp” para
indicarle a la aplicación del centro de ayuda que el recurso ha sido
solicitado desde una URL; restringiendo el uso de parámetros y
permitiendo sólo un conjunto de documentos que se encuentran en una
lista blanca.

Ormandy ha encontrado un método para evadir esta lista blanca, basado en
un error en la implementación de la función que comprueba las URL.

El fallo reside en la función “MPC::HTML::UrlUnescapeW”, usada para la
normalización y filtrado de la URL antes de ser validada. Dicha función
usa a su vez la función “MPC::HexToNum” para convertir los caracteres
escapados (p.ej %20 al valor de espacio en blanco) a su correspondiente
valor numérico.

Sin entrar en detalles técnicos, básicamente, la función
“MPC::HTML::UrlUnescapeW” omite el chequeo del valor de retorno de
“MPC::HexToNum”, permitiendo envenenar la cadena final y evadir la
restricción de lista blanca.

Para proseguir con la explotación Ormandy necesitaba una página de la
documentación que cumpliese con varias condiciones, poder ser invocado
directamente desde una URL y con un fallo de cross-site scripting que le
permitiese incluir una cadena manipulada.

Pudo localizar la página de documentación e identificar el XSS, pero
curiosamente no pudo explotarlo (Ormandy no es especialista en Web). Así
que tuvo que echar mano de su compañero en Google y experto en seguridad
web y navegadores Michal Zalewski, muy nombrado últimamente por su
escáner de seguridad web Skipfish.

Con la ayuda de Zalewski y de una propiedad exclusiva de Internet
Explorer el XSS pudo ser explotado. En ese momento se disponía de un
método para evadir la lista blanca, una página de documentación de ayuda
instalada por defecto y con un XSS explotable. Al ejecutarse la página
en una zona privilegiada tan solo bastaba incluir un comando en la
cadena para provocar su ejecución.

¿Acabó aquí?

Hasta ahora está claro que con una URL con el manejador “hcp://” y
apropiadamente manipulada se pueden inyectar comandos, pero cuando se
invoca a través del navegador el usuario es advertido y aunque es
conocida la incapacidad retentiva de la mayoría para hacer click en
aceptar, a Ormandy no le pareció una forma elegante de finalizar con su
investigación.

Consiguió un método para evitar la atención del usuario mediante el uso
de archivos ASX (Advanced Stream Redirector). Windows Media Player 9 usa
estos archivos, con estructura XML, para almacenar listas de
reproducción. El navegador invoca el reproductor cuando abre un archivo
con extensión “.asx”. Entre los valores a incluir en dicho archivo uso
el elemento “HTMLView” y le dio como valor una URL hacia una página HTML
que contiene, ahora si, la URL maliciosa.

No deja de resultar curioso, en este caso en particular, el
encadenamiento de explotaciones y descubrimientos que llevan al
investigador desde un punto de intuición hasta la consecución de sus
objetivos.

Son vulnerables los sistemas Windows XP y Windows Server 2003.

Mike Reavey, director del MSRC de Microsoft ha publicado una respuesta
en el blog del MSRC, en la que ofrece una contramedida y explica el poco
tiempo que el investigador les ha otorgado, para solucionar el fallo,
antes de hacer públicos los detalles.

Fuente: Hispasec

http://www.nuevastecnologias.com.ar

No contenta con haber lanzado el esperado Flash 10.1, Adobe ha lanzado la versión 2 de AIR el mismo día. Los desarrolladores tienen acceso al kit de desarrollo de aplicaciones en CS5, aunque si desean instalarlo de forma independiente aún tendrán que esperar al 15 de Junio.

El framework para aplicaciones de escritorio de Adobe, que permite correr la misma aplicación sobre Windows, Mac OS y Linux, contiene las novedades que ya os comentamos durante su presentación: más velocidad, mayor estabilidad, y más eficiencia, en especial en cuanto a consumo de memoria se refiere, donde prometen una reducción del 30 por ciento de lo que las aplicaciones necesitaban con la versión anterior de AIR.

Teniendo en cuenta que la aplicación típica de AIR (una interfaz para Twitter) consumía del orden de 100 megabytes como mínimo, reducir un 30 por ciento sigue pareciendo insuficiente, pero algo es algo.

Curiosamente, y supongo que como gancho, Adobe presume de aplicaciones basadas en AIR. Entre ellas están desde Graphic.ly, un lector de cómics del que tengo pendiente una reseña, la hemeroteca de National Geographic, hasta ‘The Simpsons Unleashed’.

Otro aspecto del que farda Adobe es que al actualizar a AIR 2, las aplicaciones que tengamos instaladas se beneficiarán de las mejoras en rendimiento y consumo de memoria, sin necesidad de actualizarlas. Es lo que tiene que el rendimiento de tu aplicación dependa de la plataforma de un tercero…

Dentro del kit de desarrollo, encontramos nuevas capacidades al alcance de nuestras aplicaciones, como soporte multitáctil, más opciones para implementar aplicaciones multiusuario (o multijugador), mejoras en el soporte de acceso al sistema de archivos, soporte para aplicaciones generadas sólo mediante HTML/CSS, soporte parcial de CSS3 y HTML5, instaladores y ejecución en código nativo… Han actualizado el motor JavaScript, y lo venden diciendo que ahora es dos veces más rápido.

Lo dicho, AIR es interesante, pero ha llegado tarde al mercado. Cuando todo empieza a que el escritorio sea una interfaz hacia la nube, AIR está demasiado centrado en bajar las aplicaciones al escritorio. Y si tu primera versión era una fagocitadora de recursos, no es demasiado complicado reducir su consumo en el tipo de cifras que les gusta a los del departamento de márketing. ¿Qué tal le irá a AIR a partir de ahora?

Fuente

http://www.nuevastecnologias.com.ar

Señor empresario, para abordar con un exitoso fracaso un proyecto de migración a OpenOffice.org siga detalladamente los pasos siguientes:

1. no decida migrar hasta que no reciba un comunicado de Microsoft instándole a pagar tropecientos mil euros por renovación de licencias.
2. considere que ese ahorro es la única motivación importante para decidir la migración.
3. no comunique a sus empleados que se les va a cambiar el sistema ni emprenda ninguna campaña de sensibilización.
4. no haga ningún estudio previo de los inconvenientes que puedan surgir con el cambio, ni planifique los tiempos.
5. no imparta formación a su personal (sobre todo en España, donde le podría salir casi gratuita, mediante las bonificaciones a cargo de las cuotas de formación de la Seguridad Social).
6. encargue a su departamento de sistemas que instalen OpenOffice.org a los empleados y quíteles Microsoft Office sin más.
7. espere a que sus empleados comiencen a quejarse para buscar quién le puede ayudar a resolver los problemas.
8. no busque al mejor experto, simplemente confíe en su proveedor informático de outsourcing, quien ya se encargará de subcontratar a alguien que subcontratará al experto.
9. regatee al mejor estilo de un zoco turco la dedicación y coste del experto (al fin y al cabo acabará pagando mucho, pues hay dos subcontratistas intermedios).
10. cuando el experto aparezca por la empresa, que nadie le informe del contexto, ¡para eso él es el experto!

Tiene usted un fracaso de migración asegurado. ¡Con dos cojones!

Y aún así, igual hasta le sale bien y todo… si el experto es lo suficientemente talentoso.

Y lo que no se imagina es lo agradecido que le quedará el experto por haber podido disfrutar de una experiencia enriquecedora que lo preparará para labores aún más arduas.

Fuente

http://www.nuevastecnologias.com.ar