La Comunidad DragonJAR

Después de ser anunciado por 3 años consecutivos como el navegador mas seguro en el famoso Pwn2Own, Google Chrome ha caído, los responsables de esta hazaña han sido investigadores de la empresa VUPEN Security, quienes lograron saltar todas las medidas de seguridad implementadas por el navegador. Leer más…

Offensive Security, empresa detrás del desarrollo del famoso BackTrack, constantemente nos comparte publicaciones en video sobre fallos o técnicas de seguridad desde su canal vimeo, en esta ocacion les comparto el ultimo video que han publicado sobre un fallo 0Day en Internet Explorer para Windows 7 usando las hojas de estilo.

En concreto se trata de un 0Day programado en Ruby, que permite a un atacante mal intencionado la ejecución de código en nuestra maquina,  saltandose incluso las protecciones DEP (Data Execution Prevention) y ASLR (Address space layout randomization) implementadas para mejorar la seguridad de los entornos Microsoft Windows. Leer más…

Una de las charlas que mas causaba expectativas en la EKO Party, era la del Vietnamita Thai Duong y el argentino Juliano Rizzo titulada “Padding Oracles Everywhere”, ya que no solo nos enseñarían como funciona este ataque, sino que nos mostrarían un nuevo fallo de seguridad que afectaria por lo menos a un 25% de los sitios web activos en la red.

Todo lo que esperábamos de estos 2 personajes se cumplió, no solo nos explicaron claramente el funcionamiento de los ataques “Padding Oracle”, sino que nos mostraron como utilizaron este ataque para descubrir un fallo en el Frameork de ASP.NET y hasta hicieron llover 0days en la EKO.

Afortunadamente para quienes no asistieron a la EKO, sus organizadores han publicado en la cuenta oficial del evento, el vídeo de esta excelente charla, para que todos puedan disfrutar de ella y en La Comunidad DragonJAR, lo compartimos con todos ustedes.

Alguna información adicional sobre el fallo y como mitigarlo:

• Security Advisory 2416728, lanzado por Microsoft
• Consejos para mitigar el fallo, por pentonizer.com
• Understanding the ASP.NET Vulnerability
• Important: ASP.NET Security Vulnerability

Recientemente fue descubierto un fallo grave de seguridad en la versión de desarrollo de PHP 6, el lenguaje de programación mas utilizado para realizar aplicaciones web.

El problema se encuentra en la funcion str_transliterate() que permite “traducir” un texto de un lenguaje a otro, pero a su vez no valida adecuadamente los parámetros de entrada y permite la ejecución de código por medio de un buffer overflow. Leer más…

Microsoft no ha empezado el año bien con respecto a la seguridad de sus productos, mientras muchos todavía esperamos los parches oficiales para el 0-Day en el  Internet Explorer que se anuncio hace poco, hoy sale a la luz publica otro 0-Day que afecta a todas las versiones del sistema operativo Microsoft Windows.

Este fallo descubierto por el investigador Tavis Ormandy (miembro del equipo de seguridad de google), se aprovecha del soporte heredado de aplicaciones de 16 bits que Windows viene heredando desde su versión “NT” y permite a un atacante obtener privilegios de SYSTEM (máximo privilegio en el sistema) en un sistema vulnerable. Leer más…