no pretende reemplazar a los parches oficiales. Según ellos, sólo ofrecen una alternativa en un momento de crisis. El día 27 de septiembre, fuera de su ciclo oficial de actualizaciones, Microsoft publicaría el parche oficial para solucionar definitivamente la vulnerabilidad. __ Hispasec descubre y analiza un nuevo troyano bancario dirigido a entidades españolas y latinoamericanas, que combina la captura del teclado físico con una técnica optimizada para los teclados virtuales. Está diseñado específicamente contra los usuarios de diversas entidades de Argentina, Bolivia, Brasil, Cabo Verde, España, Estados Unidos, Paraguay, Portugal, Uruguay y Venezuela. __ Mischa Spiegelmock y Andrew Wbeelsoi muestran en la conferencia ToorCon una vulnerabilidad en Mozilla Firefox que puede permitir a un atacante remoto ejecutar código arbitrario en el contexto del usuario que ejecutase la aplicación, independientemente del sistema operativo sobre el que se asiente. No se publican más detalles técnicos sobre el problema, pero la revelación de los descubridores llama la atención de los medios. Poco después los propios responsables de la difusión del supuesto fallo confiesan que querían pasárselo bien y sin pruebas, afirmaron que podrían ejecutar código y que conocían muchas otras vulnerabilidades no reveladas. Pura fanfarronería. Snyder, jefa de seguridad de Mozilla, confirma que la denegación de servicio es reproducible en base a la información aportada por los dos bromistas, pero que no pueden confirmar la ejecución de código. Ocurre algo parecido a principios de agosto, cuando Jon “Johnny Cache” Ellch y David Maynor quisieron demostrar en una presentación en Black Hat cómo colarse en un Apple Macbook en 60 segundos a través de sus controladores “wireless”. Finalmente todo resulta una gran exageración y la demostración, aunque vistosa, no era del todo real. En resumen, usaron otros controladores vulnerables que no pertenecían a Apple. __ Microsoft retira el galardón MVP a un programador que distribuía software espía. MVP (Most Valued Professionals) es un reconocimiento anual que ofrece Microsoft a miembros destacados de comunidades que, de alguna forma, ayudan a mejorar productos Microsoft. Se basa en las contribuciones realizadas durante el año anterior y se nombran a través de un período de nominación. Tras reconocer que la aplicación por la que se le premiaba se distribuía junto con un programa espía, decide retirarle el premio a Cyril Paciullo (más conocido como Patchou) creador de Messenger Plus!. El programa viene integrado en su instalador con un “patrocinador” opcional que no es más que un simple malware espía. __ Oracle anuncia que mejora su sistema de notificación de alertas de seguridad, añadiendo más información a la descripción de las vulnerabilidades. Esto responde a una aclamada demanda por parte de administradores de sus bases de datos, que sufrían desde hace años un confuso sistema trimestral de parches y kilométricos boletines. Parece que Oracle acaba reconociendo que la forma en la que venía describiendo sus problemas de seguridad resultaba manifiestamente mejorable y decide rediseñar su sistema de boletines que hasta ahora venía siendo poco más que un jeroglífico. Para ello, se ayuda de CVSS (Common Vulnerability Scoring System), un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas. De esta forma los administradores conocerán de manera objetiva (a través de un número) la gravedad de los fallos. CVSS es un sistema ya usado por compañías como Cisco, Qualys, Nessus y Skype que basa el cálculo de rango de criticidad en tres puntuaciones: Base (a su vez calculada a través de siete factores), temporal (un valor calculado a partir de tres factores) y ambiental (a través de dos). De estos tres factores principales, los dos últimos (temporal y ambiental) pueden modificar y corregir el primero (la puntuación base) según las circunstancias volátiles de la vulnerabilidad. Un sistema riguroso y objetivo que espera convertirse en el estándar de calificación de vulnerabilidades.
Una al día. Once años de seguridad informática - 2006 -
199