CrossFire: complementos de Firefox pueden ser explotados malicionamente

Transcripción

1 CrossFire: complementos de Firefox pueden ser explotados malicionamente Expertos en seguridad dieron a conocer durante una conferencia en un Black Hat (hacker de sombrero negro), celebrado en Singapur,que algunos de los complementos mas populares para el navegador de Mozilla, firmados por la compañía, exponen a millones de usuarios ante una posible ejecución de código malicioso y así poder robar datos sensibles del equipo perjudicado, que además es difícilmente detectable a su ves, de acuerdo con el repote de Ars Technica. Los investigadores describen que el ataque se hace posible gracias a la falta de aislamiento en Firefox entre los varios complementos instalados por un usuario final, teniendo como producto explotar varias vulnerabilidades en complementos, hasta ahora se cuentan 9 de los 10 complementos de Firefox mas populares, entre ellos se puede contar Firebug, FlasGot Mass Down, NoScript, Video DownloadHelper y Greasemonkey. Personas con conocimientos suficientes pueden desarrollar un complemento capaz de explotar y reusar vulnerabilidades en otros para ejecutar código malisiono a través de ellos. En otras palabras, un complemento que sea desarrollado con fines maliciosos podrá manipular al resto explotando sus vulnerabilidades. Quizá a uno de ellos para abrir páginas web sin permiso, otro para descargar malware y uno más para acceder al sistema de archivos, gracias a que Firefox comparte su espacio JavaScript con los complementos Para que el atacante tenga éxito, el usuario debería tener instalado el complemento que sea sensible a las vulnerabilidades, más uno de los complementos afectados. Cabe mencionar que si el usuario no cuenta con alguno de ellos, el complemento malicioso evita cualquier intento de explotación y con ello ser detectado. Fuente:

2 Prueba de concepto (PoC) Los investigadores dieron a conocer que desarrollaron un Add on, llamado Validate ThisWebsite, que contiene un aproximado de 50 líneas de código. El Add on deberá analizar el código HTML de una página web determinada para que supuestamente determine si es compatible con las normas vigentes, pero en realidad el hace un llamado cruzado a la extensión de NoScript de Firefox para abrir una dirección Web de la elección de los investigadores. Mozilla está consiente de este problema y asegura que las siguientes versiones de Firefox lo solucionaras aislando el espacio de JavaSCript usado por las extensiones, aplicando el funcionamiento multiproceso al que ha bautizado como electrolysis, el cual conjugará con la tecnología WebExtensions. Los investigadores dijeron que la nueva forma de manejo de extensiones de Firefox, basado en JetPack, teóricamente proporciona el aislamiento necesario para evitar llamadas de extensión cruzadas. En la práctica, sin embargo, las extensiones JetPack a menudo contienen código heredado no aislado que puede hacerlos vulnerables. Los usuarios de Firefox se beneficiarían de las mejoras introducidas del proceso diseñado para detectar complementos maliciosos. Para ello, los investigadores han desarrollado una aplicación que se llama CrossFire que automatiza el proceso de encontrar las vulnerabilidades de cross extension y aseguran que apoyarán a Mozilla y su equipo de investigación para redoblar su esfuerzo contra la explotación de vulnerabilidades en los complementos. Mientras tanto, los usuarios del navegador tendrán que decidir si conservarlos o no, viendo cuan vulnerables pueden estar ante un escenario tan particular como este Fuente:

3 Adobe soluciona el 0 day y otras 23 vulnerabilidades en Flash Player La compañía de Adobe confirmó la existencia de una vulnerabilidad en Flash Player, la cual es considerada critica, afecta las versiones y anteriores para Windows, Macintosh, Linux y Chrome OS. Esta vulnerabilidad podría permitir a un atacante tomar control de los sistemas afectados. Para dicha vulnerabilidad detectada, la compañía Adobe ha publicado una nueva actualización para Adobe Flash Player que soluciona la misma, además de 23 vulnerabilidades que afectan al conocido reproductor. La mayoría de estas vulnerabilidades le podría permitir a un atacante tomar control de los sistemas afectados. A raíz de poder incluir la solución al 0 day que ya se comento, Adobe ha adelantado la publicación habitual de su boletín mensual para Flash, ademas confirmó informes de que una vulnerabilidad de confusión de tipos (con CVE ) se está explotando de forma activa en sistemas Windows 10 y anteriores, con Flash Player versión y anteriores. Todos los problemas que se corrigen en este boletín (APSB16 10) permitirían la ejecución de código arbitrario aprovechando cinco vulnerabilidades de uso de memoria después de liberarla, 13 de corrupción de memoria, un desbordamiento de búfer, una vulnerabilidad en la ruta de búsqueda de directorio empleada para encontrar recursos y dos de confusión de tipos. Esta actualización también soluciona un salto de restricciones de seguridad y se endurece una mitigación contra ataques JIT (Just In Time). Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial: Flash Player Desktop Runtime Flash Player Extended Support Release Flash Player para Linux Igualmente se ha publicado la versión de Flash Player para navegadores Internet Explorer, Edge y Chrome. Fuente:

4 Google publica Chrome 50 y corrige 20 vulnerabilidades La empresa Google anuncia una nueva versión de su navegar Google Chrome para las plataformas Windows, Mac y Linux, viene con nuevas funcionalidades y mejoras, además corrige 20 nuevas vulnerabilidades. Entre las novedades que posee esta nueva versión del navegar, cabe destacar que ya no soportara sistemas como Windows XP, Windows Vista, Mac OS x 10.6 Snow Leopard, Mac OS x10.7 Lion o Mac OS x 10.8 Mountain Lion. Además que se mejora el soporte a las notificaciones push. Google solo proporcionará información sobre los problemas solucionados que fueron reportados por investigadores externos o las consideradas de gran interés En esta ocasión se han solucionado 20 nuevas vulnerabilidades, pero la empresa Google solo facilitará información de ocho de ellas (dos de gravedad alta, cinco de importancia media y una baja). Se corrigen vulnerabilidades por un cross site scripting, una lectura fuera de límites en Pdfium al decodificar JPEG2000, escritura fuera de límites en V8, lectura de memoria sin inicializar en medios, uso de memoria después de liberar. En relación con extensiones, el salto de restricciones de ruta de descarga de archivos Android, falsificación de la barra de direcciones y fuga de información sensible por extensiones maliciosas. Se han asignado los CVE al CVE También por parte del equipo se seguridad interna se logran realizar varias correcciones a raíz de auditorías internas, pruebas automatizadas y otras iniciativas (CVE ). Según las políticas de la empresa, las vulnerabilidades anunciadas han supuesto un total de dolares en recompensas a los descubridores de las vulnerabilidades. Fuente:

5 Mozilla publica Firefox 46 y corrige 14 nuevas vulnerabilidades Mozilla publica la nueva versión 46 e Firefox en conjunto con 10 boletines de seguridad con el fin de publicar soluciones a 14 nuevas vulnerabilidades en el navegar. También se ha publicado Firefox ESR 45.1del cual hablan en 3 de los 10 boletines publicados. Hace tan solo un mes Mozilla publico la versión 45 del navegador Firefox. Ahora acaba de publicar la nueva versión donde se incorpora nuevas funcionalidades y mejoras, como también la mejora de la seguridad del compilador JavaScript en tiempo de ejecución. Además de esta nueva versión publicada, están los 10 boletines de seguridad del año (MSFA al MSFA ). Entre ellos solo uno es considerado critico, cuatro son de gravedad alta, los cinco restantes de nivel moderado. Eso da un total de 14 nuevas vulnerabilidades en Firefox que ya han sido corregidas. Las vulnerabilidades críticas residen en cuatro problemas (CVE al CVE ) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Las vulnerabilidades de gravedad alta residen en una escritura inválida por un desbordamiento a través del método JavaScript.watch() que podría permitir la ejecución arbitraria de código (CVE ). Un desbordamiento de búfer en la libería libstagefright por el tratamiento de offsets CENC (CVE ). Vulnerabilidades en Firefox para Android al usar datos de orientación y de los sensores de movimiento a través de JavaScript en el navegador del dispositivo, que podrían permitir comprometer la privacidad del usuario (incluso descubrir el código PIN y otras actividades del usuario) (CVE ). Una vulnerabilidad de uso después de liberar por un objeto ServiceWorkerInfo (CVE ) y un desbordamiento de búfer en ServiceWorkerManager (CVE ). Fuente: