INFORME DE VULNERABILIDADES

1er SEMESTRE 2012

1er Semestre 2012

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

La presente publicacin pertenece al Instituto Nacional de Tecnologa de la Comunicacin (INTECO) y esta bajo licencia Reconocimiento-No comercial 3.0 Espaa de Creative Commons, y por ello estar permitido copiar, distribuir y comunicar pblicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podr en ningn caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.

http://creativecommons.org/licenses/by-nc-sa/3.0/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). As, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina

http://www.inteco.es

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

INDICE NDICE DE ILUSTRACIONES 1. 2. INTRODUCCIN VULNERABILIDADES 2.1. 2.2. 2.3. 2.4. Nivel de severidad de las vulnerabilidades Productos ms afectados Fabricantes ms afectados Vulnerabilidades ms comunes segn su tipo 2.4.1. Use After Free (CWE-416) Encuadre de la vulnerabilidad Efectos Consecuencias de su explotacin Fases implicadas y mitigacin 2.4.1.1. 2.4.1.2. 2.4.1.3. 2.4.1.4. 2.5. 2.6. 3. 6 9 10 10 11 12 13 14 14 15 15 16 17 18

Vulnerabilidades segn el sistema operativo en pc Vulnerabilidades por navegadores

BUENAS PRCTICAS. ACTUALIZACIN DE ALGUNOS PRODUCTOS DE ADOBE SYSTEMS 19 3.1. Adobe Reader 3.1.1. 3.1.2. Actualizacin Adobe Reader Versin instalada. Windows XP. Windows Vista Windows 7 19 20 22 22 22 24 26 26 27 28 30 30 32 34 36 36 38

3.1.2.1. 3.1.2.2. 3.1.2.3. 3.2. 3.2.1.

Adobe Flash Player. Actualizacin de Flash Player Desde Windows XP Desde Windows Vista y 7 Windows XP Windows Vista. Windows 7 3.2.1.1. 3.2.1.2. 3.2.2. 3.2.2.1. 3.2.2.2. 3.2.2.3.

Versin instalada

3.3.

Adobe Shockwave. 3.3.1. 3.3.2. Actualizacin ShockWave Versin instalada.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

3.4.

Adobe AIR 3.4.1. 3.4.2. Actualizacin AIR Versin instalada En Windows XP En Windows Vista En Windows 7

39 39 39 39 40 43

3.4.2.1. 3.4.2.2. 3.4.2.3.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

NDICE DE ILUSTRACIONES Ilustracin 1. Vulnerabilidades por nivel de riesgo ................................................................10 Ilustracin 2. Productos ms afectados por las ltimas vulnerabilidades ..............................11 Ilustracin 3. Fabricantes ms afectados por las ltimas vulnerabilidades ...........................12 Ilustracin 4. Vulnerabilidades ms comunes por tipo. .........................................................13 Ilustracin 5. Estructura del tipo de vulnerabilidad Use After Free .......................................14 Ilustracin 6. Vulnerabilidades por sistema operativo para PC .............................................17 Ilustracin 7. Vulnerabilidades por navegador ......................................................................18 Ilustracin 8 : Logotipo de Adobe Systems ...........................................................................19 Ilustracin 9 Logotipo de Adobe Reader X ..........................................................................19 Ilustracin 10 Men de configuracin de actualizaciones en Adobe Reader X ....................20 Ilustracin 11 Descarga de Adobe Reader ...........................................................................21 Ilustracin 12 Bsqueda de actualizaciones desde Adobe Reader X ...................................21 Ilustracin 13 Versin de Adobe Reader instalada ...............................................................22 Ilustracin 14 Versin de Adobe Reader desde Agregar o quitar programas en XP......22 Ilustracin 15 Acceso al men Programas desde Windows Vista .....................................23 Ilustracin 16 Acceso a la opcin Programas y caractersticas desde Windows Vista ......23 Ilustracin 17. Comprobacin de la versin de un programa instalado .................................23 Ilustracin 18. Configuracin de columnas a visualizar en Programas y caractersticas ...24 Ilustracin 19. Columnas a visualizar en vista Detalles .....................................................24 Ilustracin 20. Acceso a Programas y caractersticas en Windows 7................................24 Ilustracin 21. Comprobacin de la versin de los programas instalados en Windows 7 ......25

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

Ilustracin 22. Configuracin de columnas visibles en Programas y caractersticas .........25 Ilustracin 23. Comprobacin de la versin en una vista que no sea Detalles ..................25 Ilustracin 24. Logotipo de Flash Player ...............................................................................26 Ilustracin 25. Seleccin del tipo de actualizacin en Flash Player ......................................26 Ilustracin 26. Acceso a la configuracin de Flash Player en Windows XP ..........................27 Ilustracin 27. Opcin de actualizacin de Flash Player en Windows XP .............................27 Ilustracin 28. Acceso a la configuracin de Flash Player desde Windows Vista..................28 Ilustracin 29. Otra forma de acceso a la configuracin de Flash desde Vista .....................28 Ilustracin 30. Configuracin de las actualizaciones de Flash Player en Windows Vista ......29 Ilustracin 31. Descarga de Flash Player .............................................................................29 Ilustracin 32. Comprobacin Web de la versin de Flash Player instalada .........................30 Ilustracin 33. Icono de configuracin de Flash Player desde el Panel de control ................31 Ilustracin 34. Pestaa Avanzado de la configuracin de Flash en XP .............................31 Ilustracin 35. Versin Flash instalada desde la lista de programas en XP ..........................32 Ilustracin 36. Icono de configuracin de Flash Player desde el Panel de control ................32 Ilustracin 37. Pestaa Avanzado de la configuracin de Flash en Vista..........................33 Ilustracin 38. Versin Flash instalada desde la lista de programas en Vista .......................33 Ilustracin 39. Mostrar la columna versin en la lista de programas en Vista .......................33 Ilustracin 40. Listado de columnas a visualizar ...................................................................34 Ilustracin 41. Versiones de Flash en Programas y caractersticas ..................................34 Ilustracin 42. Versin de Flash instalada desde la opcin seguridad del panel de control ..34 Ilustracin 43. Versin de Flash Player instalada desde una vista que no es Detalles......35 Ilustracin 44. Logotipo de Shockwave player ......................................................................36
CERT_INF_Vulnerabilidades_2012_semestre_1.doc 7

Ilustracin 45. Descarga de Shockwave Player ....................................................................37 Ilustracin 46. Descargar Shockwave Player para otras plataformas ...................................37 Ilustracin 47. Peticin de instalacin de un complemento, firmado digitalmente .................37 Ilustracin 48. Comprobacin Web de la versin instalada ...................................................38 Ilustracin 49. Versin de Shockwave desde Programas y caractersticas .......................38 Ilustracin 50. Versin de Shockwave instalada en Windows 7 y Vista ................................38 Ilustracin 51. Logotipo de AIR.............................................................................................39 Ilustracin 52. Descarga de Adobe AIR ................................................................................39 Ilustracin 53. Versin instalada de AIR desde Agregar o quitar p en XP .....................40 Ilustracin 54. Versin de Adobe AIR desde el directorio de instalacin en XP ....................40 Ilustracin 55. Accediendo al men programas en Windows Vista .......................................41 Ilustracin 56. Accediendo a programas y caractersticas en Windows Vista .......................41 Ilustracin 57. Versin de los programas desde vista Detalles en Vista............................41 Ilustracin 58. Configuracin de columnas visibles en vista Detalles en Vista ..................42 Ilustracin 59. Seleccin de columnas visibles para la vista Detalles ...............................42 Ilustracin 60. Versin Adobe AIR desde la carpeta de instalacin en el disco duro ............42 Ilustracin 61. Barra de direccin que mostrar la ruta de AIR .............................................43 Ilustracin 62. Acceso a programas y caractersticas en Windows 7 ....................................43 Ilustracin 63. Configuracin de las columnas visibles en vista Detalles en 7 ..................43 Ilustracin 64. Versin de Adobe AIR instalada desde otra vista distinta a Detalles .........44 Ilustracin 65. Propiedades del fichero de instalacin de AIR instalada (Windows 7) ...........44 Ilustracin 66. Versin del fichero de instalacin de Adobe AIR ...........................................45

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

1.

INTRODUCCIN

Fruto del acuerdo de colaboracin con el NIST (National Institute of Standards and Technology), INTECO cuenta con un completo repositorio de ms de 51.000 vulnerabilidades traducidas al castellano, cuyo fin es informar y advertir a los usuarios sobre los fallos de Seguridad existentes en los sistemas operativos, hardware y otro tipo de aplicaciones. Con este informe, se pretende mostrar un resumen de informacin de carcter general sobre las vulnerabilidades aparecidas en el primer semestre de 2012, expresado en grficas, para ofrecer una visin global de la actividad generada durante el periodo de tiempo mencionado. Tambin, es objetivo de este informe concienciar de la importancia de las actualizaciones de seguridad en los sistemas para minimizar los riesgos provocados por las vulnerabilidades, como vectores de ataque del software malicioso actual. Desde INTECO-CERT, se tata de fomentar una cultura de seguridad siguiendo unas instrucciones bsicas, que sern las que deban fundamentar esa seguridad, adems de crear en el usuario usa serie de hbitos para que, de forma natural, los utilice y mejore su experiencia en Internet. En cada informe, se pretende resaltar los aspectos que se consideran oportunos con el fin de aportar un valor especial al mismo. Adems, se trata de difundir una serie de datos y de interpretarlos as como de proporcionar los conocimientos necesarios acerca de esos aspectos, siempre desde el objetivo de la prevencin. Los datos originales procesados en INTECO-CERT se obtienen de su buscador de vulnerabilidades, que es la traduccin al espaol de las vulnerabilidades que se publican en el NIST.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

2.

VULNERABILIDADES
NIVEL DE SEVERIDAD DE LAS VULNERABILIDADES

2.1.

La siguiente grfica muestra el nmero de vulnerabilidades documentadas en http://cert.inteco.es y su nivel de severidad a lo largo del semestre, periodo durante el cual se emitieron un total de 2112. Los niveles de severidad de las vulnerabilidades publicadas aparecen en la siguiente figura.

Ilustracin 1. Vulnerabilidades por nivel de riesgo

Segn el grfico anterior es posible observar que, durante todo el periodo analizado, las vulnerabilidades que ms aparecen son las correspondientes al nivel de gravedad alta y media, en lnea con informes anteriores. Se puede hacer una lectura un poco pesimista desde el punto de vista de que, si el mayor nmero de vulnerabilidades tienen un nivel de riesgo alto o medio, su explotacin por parte de atacantes podra provocar efectos graves. Tambin es un indicador de la importancia de las actualizaciones de seguridad, como mecanismo de proteccin.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

10

2.2.

PRODUCTOS MS AFECTADOS

La siguiente figura muestra los productos ms afectados por las vulnerabilidades del semestre. Hay que destacar que slo aparecen aquellos productos afectados por el mayor nmero de nuevas vulnerabilidades.

Ilustracin 2. Productos ms afectados por las ltimas vulnerabilidades

En este semestre, repite Google Chrome en el primer puesto destacado, aunque con menos diferencia respecto a los dems productos que en el semestre anterior. Hay que destacar la subida de sistemas operativos, Linux e IOS, lo que implica que hay que replantearse el mito de que hay sistemas operativos que son ms seguros y, en todos los casos, utilizar las actualizaciones. Tambin hay que sealar que se ha colocado en el tercer puesto las vulnerabilidades de un sistema operativo para dispositivos mviles de Apple. No parece tan importante el hecho de que sea de Apple, sino que es un sistema operativo de dispositivos mviles, lo que puede ir dando pistas sobre qu productos se est profundizando en su investigacin. Tambin, implica que se ha de cuidar la seguridad de estos dispositivos (no slo de Apple, tambin Android, Windows Mobile y dems dispositivos mviles), ya que los cibercriminales estn escribiendo malware para este tipo de dispositivos, motivado por el aumento de estos, adems de por el aumento de lneas de datos o tendencias como BYOD. Al igual que en el anterior semestre, los navegadores tambin estn arriba y eso, unido a que la mayor parte son multiplataforma, hace que sean un objetivo de primera para los ciberdelincuentes.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

11

2.3.

FABRICANTES MS AFECTADOS

La figura muestra los diez fabricantes ms afectados por las vulnerabilidades detectadas durante el trimestre.

Ilustracin 3. Fabricantes ms afectados por las ltimas vulnerabilidades

Aunque en el primer puesto este semestre aparece Cisco, hay que resaltar que, de 10 fabricantes, 8 repiten en el Top Ten. Los primeros fabricantes son los que ms productos tienen en el mercado. De esta forma es normal que por el nmero de vulnerabilidades totales, figuren en los primeros puestos. Tambin hay que hacer notar la importancia de que en el ranking aparece un fabricante no habitual, Siemens. El motivo es simple, actualmente se est poniendo un foco de atencin muy importante sobre la proteccin de infraestructuras crticas y Siemens fabrica componentes electrnicos para sistemas de automatizacin, estando muy implicado en este tema. Estos productos, que ahora mismo estn controlados por ordenadores y conectados a lneas de comunicacin, estn expuestos a intentos de intrusin y ataques a travs de Internet. Por ese motivo, se est investigando su seguridad de forma ms profunda, lo que implica que podran continuar apareciendo ms vulnerabilidades en este tipo de sistemas.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

12

2.4.

VULNERABILIDADES MS COMUNES SEGN SU TIPO

El siguiente grfico muestra los tipos de vulnerabilidades ms comunes registradas en el semestre y la proporcin que, cada uno de ellos, representa sobre el total de vulnerabilidades registradas.

Ilustracin 4. Vulnerabilidades ms comunes por tipo.

El igual que en el caso de los fabricantes, los tipos de vulnerabilidad repiten respecto del informe pasado, aunque hay alguna variacin de puesto, no hay ninguna muy llamativa. Tambin son prcticamente iguales los porcentajes de tipos de vulnerabilidad. Siguen teniendo una gran importancia las vulnerabilidades relacionadas con la navegacin por Internet y la gestin de la memoria, que en porcentaje son la mayora de las presentes en el grfico. Como conclusin hay que darle a la navegacin por Internet la importancia que tiene, esto implica navegadores actualizados y alguna herramienta de control de las pginas web por las que se navega.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

13

2.4.1.

Use After Free (CWE-416)

2.4.1.1. Encuadre de la vulnerabilidad

Ilustracin 5. Estructura del tipo de vulnerabilidad Use After Free

En la estructura de CWE, esta vulnerabilidad se encuadrada dentro del grupo de Localizacin, Cdigo, Cdigo fuente, Indicadores de calidad del cdigo pobre, Errores de gestin de recursos (de la memoria), Uso despus de la liberacin. Esto implica que se le considera un problema de gestin de recursos, en este caso la memoria, lo que indica que el cdigo fuente no tiene la calidad necesaria, para poder desarrollar su trabajo utilizando un nivel de seguridad suficientemente alto. Este problema est agravado por la dificultad de detectarlo, incluso utilizando herramientas de anlisis y validacin de cdigo. La vulnerabilidad surge de la posibilidad de reutilizar una direccin de memoria, despus de haber sido liberada. Esto podra ocurrir, por ejemplo, si declaramos un puntero P1, se reserva memoria para l, se usa y posteriormente se libera esa direccin de memoria. Si a continuacin, se declara otro puntero P2, que se le asigne la misma memoria que a P1, P2
CERT_INF_Vulnerabilidades_2012_semestre_1.doc 14

podra acceder al contenido de P1, si no se ha borrado (inicializado o asignado). Tambin, se puede dar el caso de que P2 tome valores y, por volver a utilizar P1, se pueda acceder al valor de P2, e incluso modificarlo. Los lenguajes ms implicados en este tipo de problema son C y C++. 2.4.1.2. Efectos

La posibilidad de usar memoria que se ha liberado previamente puede tener varias consecuencias adversas, desde la corrupcin de datos correctos hasta la ejecucin de cdigo arbitrario, dependiendo de la creacin de instancias y del instante del fallo. La forma ms sencilla para daar datos puede ocurrir cuando el sistema reutiliza la memoria previamente liberada. Los errores de "Uso despus de liberacin" normalmente provienen de dos causas, que se pueden simultanear: a) Condiciones de error y otras circunstancias excepcionales b) confusin sobre que parte del programa es responsable de liberar memoria En este escenario, la memoria en cuestin es apuntada por otro puntero vlido, despus de haber sido liberada, se vuelve a usar el puntero original y apunta a algn sitio con la nueva asignacin. Como se cambian los datos, se corrompe la memoria vlida usada, lo que induce a un comportamiento indefinido del proceso. Si los nuevos datos asignados tratan de mantener una clase, en C++ por ejemplo, varios punteros a funciones pueden estar dispersos en la memoria dinmica, si uno de esos punteros se sobrescribe, con una direccin vlida a una shellcode, se podra ejecutar cdigo en esta mquina. 2.4.1.3. Consecuencias de su explotacin

Las consecuencias ms comunes son: Problemas de integridad. Debido a una modificacin de la memoria, se podran corromper datos vlidos. Problemas de disponibilidad. Este tipo de problema puede desembocar en una Denegacin de Servicio (DoS, Denial of Service), salida o reinicio de la aplicacin cuando se usa un fragmento de datos previamente liberado y que se ha manipulado. Problemas de integridad, confidencialidad y disponibilidad. Si se introduce un valor, antes de la consolidacin del fragmento, es posible aprovechar una vulnerabilidad "write-what-where" (escribir algo -por ejemplo cdigo- en alguna posicin de memoria) para ejecutar cdigo.

Tambin, se han observado otras consecuencias como: Cerrado de conexin durante una transmisin

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

15

Descarga de un objeto al que se est accediendo mediante otra funcionalidad Documentos HTML con las etiquetas mal anidadas Problemas en objetos ActiveX, por enviarle un argumento errneo a un mtodo realloc genera nuevos bferes y punteros, pero los punteros previos an se mantienen, permitiendo el acceso Condicin de carrera por una gestin no adecuada de la transicin de pgina en un cliente web mientras un applet se est cargando Desreferencia a puntero nulo Desbordamiento de entero que provoca una use-after-free Problema en un servidor de correo al gestionar cabeceras largas Asignaciones de valores errneos a ciertas propiedades producidos por use-afterfree Hilo que ha accedido a memoria cuando otro la ha liberado Problemas en navegador web, debido a no inicializar la memoria 2.4.1.4. Fases implicadas y mitigacin

Este tipo de vulnerabilidad afecta a dos etapas del desarrollo, por una parte a la de Arquitectura y diseo y por otra a la de Implementacin. La forma de evitar este tipo de vulnerabilidad es, en funcin de la fase en la que use: - Arquitectura y diseo. Usar lenguajes que gestionen de forma automtica la memoria. - Implementacin. Inicializar siempre los punteros, as como tambin, en el momento que se liberen, fijar su valor a NULL. Tambin, el uso de elementos de datos complejos disminuye la utilidad de esta vulnerabilidad. Tambin, se deben inicializar los punteros inmediatamente despus de una deslocalizacin, adems de no permitir el acceso a memoria liberada.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

16

2.5.

VULNERABILIDADES SEGN EL SISTEMA OPERATIVO EN PC

El siguiente grfico muestra los datos correspondientes a los sistemas operativos, monitorizados por el elevado nmero de equipos que los utilizan.

Ilustracin 6. Vulnerabilidades por sistema operativo para PC

Igual que el semestre anterior, el ranking de vulnerabilidades por sistema operativo lo encabeza Linux, seguido por Windows y por ltimo Mac. Al igual que se coment en el apartado de vulnerabilidades por fabricante, segn estos datos, no se puede hablar de sistemas operativos que sean seguros. Debemos hablar de sistemas que, este semestre, han presentado menos vulnerabilidades, pero todos tienen, y si hay vulnerabilidades, hay posibilidad de que sean usadas por malware programado para aprovecharlas. El nmero de vulnerabilidades de sistemas operativos, no es grande comparado con el total de vulnerabilidades y, adems, ha disminuido el nmero de ellas comparando con el semestre anterior.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

17

2.6.

VULNERABILIDADES POR NAVEGADORES

El siguiente grfico muestra los datos correspondientes a las vulnerabilidades reportadas para cada navegador monitorizado.

Ilustracin 7. Vulnerabilidades por navegador

En cabeza sigue Google Chrome, claramente destacado del resto, seguido de Mozilla Firefox, Opera e Internet Explorer (Microsoft), que tienen un nmero de vulnerabilidades muy parecido. La diferencia entre navegadores es muy importante, siendo bastante destacado que Chrome presente ms vulnerabilidades que el resto de navegadores juntos. Esperemos que en el siguiente informe estos valores vuelvan a ser de un orden similar y que sigan disminuyendo, en la medida que lo han hecho el resto, ya que, de la salud del navegador depende en buena medida la salud del sistema.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

18

3.

BUENAS PRCTICAS. ACTUALIZACIN PRODUCTOS DE ADOBE SYSTEMS

DE

ALGUNOS

Con este informe de vulnerabilidades, no slo se pretende informar sobre cuntas se han reportado y mostrar algunas clasificaciones, sino que tambin se pretende concienciar sobre las medidas que debemos utilizar para mejorar la seguridad de los sistemas. Dentro de las consignas de seguridad de INTECO-CERT, se tienen como base de trabajo los siguientes tres conceptos: actualizar proteger prevenir

En este informe concreto le ha tocado al primero, ACTUALIZAR, y se explicar como actualizar algunos productos de Adobe Systems.

Ilustracin 8 : Logotipo de Adobe Systems

Adobe Systems es una empresa desarrolladora de software que tiene en el mercado varios productos gratuitos que son punteros en su rea.

3.1.

ADOBE READER

Ilustracin 9 Logotipo de Adobe Reader X

Por un lado es la compaa que desarrollo el Adobe Reader, software lder para leer ficheros PDF (ISO 19005-1:2005). ste es un formato compuesto (imagen vectorial, mapa de bits y texto) de intercambio de documentos. Es multiplataforma y es el formato ms usado para visualizar e imprimir documentos, independientemente de la plataforma con la que se visualice o imprima.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

19

Este formato, es capaz de almacenar tambin contenidos multimedia, enlaces, formularios y miniaturas de pginas. Esto implica que al formato le pueden afectar vulnerabilidades de los componentes que permite incluir. Tambin, permite la inclusin de firmas digitales (PaDES, PDF Advance Electrnic Signature), lo que le ofrece un grado de seguridad adecuado para el intercambio de documentacin entre empresas, o entre empresas y la administracin. Hay que sealar que se pueden generar ficheros PDF utilizando software que son simuladores de impresoras, as que cualquier contenido que se pueda tener en papel se puede tener en este formato. Por estos motivos, es el formato de intercambio de ficheros ms usado en Internet y, sta difusin en todas las plataformas, tipos de usuario y usos, hace que sea un objetivo prioritario de los cibercriminales, por lo que la bsqueda de nuevas vulnerabilidades que se puedan explotar, para realizar acciones maliciosas en el equipo, est a la orden del da.

3.1.1.

Actualizacin Adobe Reader

As pues, es muy importante disponer de la ltima versin de este software para asegurarse de que no se pueda explotar una vulnerabilidad que ya ha sido solucionada. Para actualizar este software, Adobe incorpor la posibilidad, desde la versin 9 del producto, de que se actualizara de forma automtica. En la versin 9.3.2, publicada en Abril de 2010 (Aviso de seguridad de INTECO-CERT: Actualizacin de Adobe Reader y Acrobat), Adobe incorpor en sus programas Adobe Reader y Adobe Acrobat las actualizaciones automticas, permitiendo configurar esta opcin. Salvo alguna excepcin, estas actualizaciones deben estar configuradas para hacerse de forma automtica. Para ello, y desde el programa Adobe Reader, en el men principal se selecciona Edicin y a continuacin Preferencias. A continuacin, de las opciones de la columna izquierda se selecciona la opcin Actualizador y en la parte de la derecha aparecern las posibles opciones.

Ilustracin 10 Men de configuracin de actualizaciones en Adobe Reader X

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

20

Instalar automticamente las actualizaciones. Es la opcin que deberamos tener seleccionada, de forma que cuando se detecte una actualizacin de seguridad, se descargar, actualizando el programa de forma automtica. Descargar automticamente las actualizaciones, pero permitir al usuario elegir el momento de su instalacin. Esta opcin busca si hay actualizaciones y, en caso afirmativo, la descarga de forma automtica, pero no la instala. Avisa al usuario de que est disponible y muestra un icono en la lista de tareas que permite instalarla en el momento que nosotros determinemos. No descargar ni instalar de forma automtica las actualizaciones. Esta opcin, es muy arriesgada y solo se aconseja en casos muy concretos, por ejemplo en sistemas donde la instalacin de software se hace de forma centralizada.

En ordenadores de uso particular, en equipos profesionales no sujetos a polticas de instalacin de software, debera estar seleccionada la primera opcin para que se instale, en el momento que haya una actualizacin de seguridad, minimizando el riesgo de infeccin. Tambin, se puede actualizar de forma manual desde la pgina Web de Adobe http://www.adobe.com/es, desde el enlace Descargas, haciendo clic en el enlace al producto ADOBE READER.

Ilustracin 11 Descarga de Adobe Reader

Tambin, se puede actualizar el producto desde la propia aplicacin, desde el men principal, seleccionando la opcin Ayuda>>Buscar actualizaciones.

Ilustracin 12 Bsqueda de actualizaciones desde Adobe Reader X

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

21

3.1.2.

Versin instalada.

Para saber la versin que est instalada en el sistema, hay varias posibilidades. Desde la propia aplicacin, en el men principal se selecciona: Ayuda y Acerca de Adobe y aparece la versin instalada. Esta opcin es vlida en todos los sistemas.

Ilustracin 13 Versin de Adobe Reader instalada

Otra forma es desde el panel de control, accediendo a la lista de programas instalados, tal y como se detalla a continuacin para cada sistema operativo: 3.1.2.1. Windows XP.

Mediante el Botn de inicio >> Panel de control y despus en Agregar o quitar programas. En la aplicacin, aparece la versin a continuacin del nombre.

Ilustracin 14 Versin de Adobe Reader desde Agregar o quitar programas en XP

3.1.2.2.

Windows Vista

Al igual que desde Windows XP, se puede mostrar desde la lista de programas instalados. Para ello, acceder a Men principal>>Panel de control y despus a la opcin Programas:

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

22

Ilustracin 15 Acceso al men Programas desde Windows Vista

Se selecciona la opcin Programas y caractersticas

Ilustracin 16 Acceso a la opcin Programas y caractersticas desde Windows Vista

En la pantalla que aparece, en la vista Detalles, est la columna versin, donde aparecen las versiones de los programas instalados. Tambin, aparece la versin en el nombre de esta aplicacin en concreto.

Ilustracin 17. Comprobacin de la versin de un programa instalado

En caso de no aparecer esta columna, se puede obtener haciendo clic derecho en la lista de programas, y seleccionando en el men contextual la opcin Ordenar por o Agrupar por (cualquiera de las dos sirve) y, del segundo men, se selecciona la opcin Mas..

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

23

Ilustracin 18. Configuracin de columnas a visualizar en Programas y caractersticas

Aparece la lista de columnas que se pueden mostrar, al menos se seleccionar Versin

Ilustracin 19. Columnas a visualizar en vista Detalles

3.1.2.3.

Windows 7

Desde el Men principal, Panel de control, Programas, Programas y caractersticas, aparece la lista de programas instalados, si estamos en la vista Detalle y tenemos visible la columna Versin nos la mostrar.

Ilustracin 20. Acceso a Programas y caractersticas en Windows 7

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

24

Aparece la lista de programas instalados, si se est en modo de vista Detalles, una columna es Versin

Ilustracin 21. Comprobacin de la versin de los programas instalados en Windows 7

Al igual que en Windows Vista, en caso de no aparecer esta columna, se puede configurar para que la muestre, estando en modo vista Detalle, se hace clic derecho sobre la lista de programas, y del men contextual, se selecciona Ordenar por o Agrupar por (una de las dos) y del segundo men se selecciona la opcin Ms

Ilustracin 22. Configuracin de columnas visibles en Programas y caractersticas

En otras vistas, si se selecciona un programa, en la parte inferior aparece informacin sobre ese programa, entre esa informacin aparece la versin.

Ilustracin 23. Comprobacin de la versin en una vista que no sea Detalles

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

25

3.2.

ADOBE FLASH PLAYER.

Ilustracin 24. Logotipo de Flash Player

Aunque coloquialmente se conoce como Flash, hay que distinguir entre el software de creacin/edicin de este tipo de fichero (productos de pago), el fichero creado (ficheros con la extensin .SWF) y el reproductor (gratuito). En este informe, nos referimos exclusivamente al reproductor del formato SWF (Small Web Format o anteriormente ShockWave Flash). El reproductor Flash Player se utiliza para reproducir ficheros con formato SWF que pueden contener animaciones vectoriales 2D y audio, adems de contar con posibilidades de interaccin. Incorpora soporte al lenguaje de programacin ActionScript, lo que aumenta sus capacidades Web de forma notable. Este tipo de contenido, es usado de forma muy amplia en Internet, por lo que muchos sistemas operativos y dispositivos lo incorporan, y aunque est en declive, el nmero es sustancialmente grande, por lo que, al igual que el visor Adobe Reader, es un objetivo potencial para los cibercriminales.

3.2.1.

Actualizacin de Flash Player

Desde la actualizacin a la versin 11.2 del Flash Player, Adobe incorpor la posibilidad de establecer las actualizaciones automticas para este reproductor. Anteriormente, buscaba actualizaciones y cuando encontraba alguna, avisa al usuario de su existencia, dando la posibilidad de instalarla. Desde esta actualizacin, ya se puede hacer de forma automtica.

Ilustracin 25. Seleccin del tipo de actualizacin en Flash Player

Las tres opciones que presentaba ese men son las mismas que para el Adobe Reader: Instalar las actualizaciones automticamente Notificar cuando haya actualizaciones No buscar actualizaciones nunca

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

26

En caso de no haber marcado la opcin de Instalar las actualizaciones de automticamente, para poder configurarlas ahora, hay que abrir en el programa (desde el panel de control), y en la ficha Avanzado, dentro del apartado Actualizaciones aparecen las tres opciones anteriormente citadas, podemos activar la que consideremos ms adecuada, y al igual que el Adobe Reader, se aconseja la primera de ellas (automtica) a menos que nuestro equipo est en una red en la que haya polticas de distribucin de software. 3.2.1.1. Desde Windows XP

Si cuando se hizo esa actualizacin no se configur de forma adecuada, para modificar esa configuracin, desde XP hay que abrir el programa Flash Player desde Inicio, Panel de control, se hace doble clic en el icono del reproductor (Flash player).

Ilustracin 26. Acceso a la configuracin de Flash Player en Windows XP

Y en funcin de la necesidad se selecciona la opcin adecuada, segn el criterio aconsejado desde INTECO-CERT, y salvo el caso de sistemas con actualizaciones centralizadas, la automtica (la primera).

Ilustracin 27. Opcin de actualizacin de Flash Player en Windows XP

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

27

3.2.1.2.

Desde Windows Vista y 7

El proceso es similar, pero en el Panel de control hay que seleccionar la opcin Seguridad para acceder al icono de configuracin de Flash Player.

Ilustracin 28. Acceso a la configuracin de Flash Player desde Windows Vista

En caso de que la visualizacin de nuestro panel de control en Windows Vista est en modo Vista clsica aparecer el icono para acceder a la configuracin de Flash Player directamente.

Ilustracin 29. Otra forma de acceso a la configuracin de Flash desde Vista

Se selecciona la pestaa Avanzado, si es necesario modificar el proceso de actualizaciones, solo hay que modificarlo.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

28

Ilustracin 30. Configuracin de las actualizaciones de Flash Player en Windows Vista

Otra forma, de actualizar la aplicacin, es descargarla directamente desde la pgina Web de Adobe http://www.adobe.com/es, se selecciona el enlace Descargas y a continuacin se selecciona el enlace a ADOBE FLASH PLAYER

Ilustracin 31. Descarga de Flash Player

Otra forma, de actualizar el programa, es hacerlo de forma manual desde la lnea de comandos. Hay que tener presente las dos versiones del complemento que hay, una para Internet Explorer (ActiveX) y para el resto de navegadores (plugin), en funcin de los navegadores instalados en el sistema habr que actualizar uno o los dos, para ello, lo primero que hemos de comprobar que los existen los ficheros que indicamos (los valores numricos corresponden a la plataforma: 32 para 32 bits y 64 para 64 bits, y los siguientes a la versin instalada separada por guin bajo _), en caso de estar en otra ruta, habra que adaptar el comando a nuestro sistema: C:\Windows \system32\Macromed\Flash\Flashutil32_11_3_300_262_ActiveX.exe C:\Windows \system32\Macromed\Flash\Flashutil32_11_3_300_262_Plugin.exe

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

29

Una vez que estn comprobados estos valores, solo tenemos que saber la plataforma (32 o 64) y la versin (V, valores numricos separados por _) que se quiere instalar, para ello hay que ejecutar los comandos (Windows XP, Vista y 7): C:\Windows \system32\Macromed\Flash\FlashutilXX_V_ActiveX.exe -update plugin C:\Windows \system32\Macromed\Flash\FlashutilXX_V_Plugin.exe -update plugin

3.2.2.

Versin instalada

Esta comprobacin se puede hacer de varias formas, la primera es a travs de la pgina Web (http://helpx.adobe.com/es/flash-player.html), donde aparecer un cuadro que muestra la versin instalada, y nuestro sistema operativo y navegador, y en la parte inferior muestra una tabla donde aparece la versin ltima del producto por cada plataforma.

Ilustracin 32. Comprobacin Web de la versin de Flash Player instalada

Otra forma, es directamente desde la lista de Programas y caractersticas, el dato aparece en la columna Versin. Para llegar a esta pantalla, Men principal, Panel de control, Programas, Programas y caractersticas, en vista Detalles, si est configurada para mostrar la columna versin, aparece directamente. 3.2.2.1. Windows XP

Para comprobar la versin instalada en Windows XP se puede hacer desde Men Inicio, Panel de control, y se hace doble clic en el icono de Flash Player.
CERT_INF_Vulnerabilidades_2012_semestre_1.doc 30

Ilustracin 33. Icono de configuracin de Flash Player desde el Panel de control

Se selecciona la pestaa Avanzado, dentro de la informacin que muestra est la versin adems de un botn para comprobar que est actualizado.

Ilustracin 34. Pestaa Avanzado de la configuracin de Flash en XP

Otra forma es desde la lista de programas instalados, Men Inicio, Panel de control, Agregar o quitar p y en la lista aparecer Adobe Flash Player ActiveX (Internet explorer) y/o Adobe Flash Player Plugin (Mozilla Firefox), si seleccionamos uno de ellos, bajo su nombre aparece un enlace para obtener ms informacin, dentro de esta informacin aparece la versin instalada.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

31

Ilustracin 35. Versin Flash instalada desde la lista de programas en XP

Ambas versiones, la del control ActiveX y la del Plugin, no tienen porqu ser iguales. 3.2.2.2. Windows Vista.

Desde Men principal, Panel de control, se activa la opcin Vista clsica, y aparece el icono del programa Flash Player, se abre con doble clic.

Ilustracin 36. Icono de configuracin de Flash Player desde el Panel de control

Aparece la ventana de propiedades de la aplicacin, si se selecciona la pestaa Avanzado, y muestra las versiones de flash instalado, adems de mostrar un botn para comprobar si est actualizado.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

32

Ilustracin 37. Pestaa Avanzado de la configuracin de Flash en Vista

Otra forma es desde Men principal, Panel de control, Programas, Programas y caractersticas, y estando en modo vista Detalles, una de las columnas que se puede mostrar es versin.

Ilustracin 38. Versin Flash instalada desde la lista de programas en Vista

En caso de no estar visible esta columna, se hace clic derecho en la lista de programas, Ordenar por o agrupar por (es igual) se selecciona la opcin Mas y se marca la columna Versin

Ilustracin 39. Mostrar la columna versin en la lista de programas en Vista

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

33

Ilustracin 40. Listado de columnas a visualizar

Ilustracin 41. Versiones de Flash en Programas y caractersticas

Otra forma, es desde Men de inicio, Panel de control, Seguridad, Flash Player, se selecciona la pestaa Avanzado y muestra las versiones de Flash instalado, as como un botn para comprobar la versin.

Ilustracin 42. Versin de Flash instalada desde la opcin seguridad del panel de control

3.2.2.3.

Windows 7

Adems de hacerlo como en Windows Vista, excepto el modo Vista clsica del Panel de control, que en Windows 7 se ha suprimido, desde la opcin de Programas y caractersticas, en cualquier vista, si seleccionamos una aplicacin, en la parte de abajo

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

34

aparece la informacin correspondiente a esa aplicacin y, entre esa informacin, aparece la versin.

Ilustracin 43. Versin de Flash Player instalada desde una vista que no es Detalles

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

35

3.3.

ADOBE SHOCKWAVE.

Ilustracin 44. Logotipo de Shockwave player

Este programa realmente es un complemento para navegadores que reproduce ficheros con formato DCR (multimedia), creados con Adobe Director, con funcionalidades similares a Flash (de hecho un fichero SWF se puede reproducir en ShockWave, pero un fichero ShockWave no se puede reproducir en Flash Player). La diferencia entre Shockware y Flash es la mayor capacidad del primero, en cuanto a procesamiento grfico, como un motor de renderizado ms rpido, aceleracin grfica por hardware, acceso directo a pixel en imgenes de mapas de bits, distintos modos de filtrado para composiciones en capa de grficos, as como soporte para protocolos de red (por ejemplo IRC). Aunque en menor medida que los anteriores productos analizados, ShockWave est instalado en un porcentaje bastante alto de equipos y las posibilidades de que los ciberdelincuentes, exploten vulnerabilidades del programa, son altas. Tambin hay que pensar que, al poder reproducir Flash, en algunos casos hay vulnerabilidades de Flash que podran afectarle. Por eso, es importante tener en cuenta el actualizar esta herramienta.

3.3.1.

Actualizacin ShockWave

Esta herramienta no tiene actualizacin automtica, por lo que se debe hacer de forma manual. Adems, hay que tener en cuenta que existen dos versiones del producto, una completa y otra ms liviana, y para Windows hay dos posibilidades no excluyentes, una para Internet Explorer y otra para los dems navegadores. En Mac OS X solo hay versin para Safari. Para actualizar Adobe ShockWave, se debe hacer desde la pgina Web de Adobe (http://www.adobe.com/es), seccin Descargas y se selecciona el enlace Get ADOBE SHOCKWAVE PLAYER

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

36

Ilustracin 45. Descarga de Shockwave Player

En funcin del sistema operativo con el que visitemos la pgina, nos ofrecer una versin u otra para descargar, pudiendo seleccionar otra distinta.

Ilustracin 46. Descargar Shockwave Player para otras plataformas

A veces, se necesita instalar algn complemento de otras empresas y en ese caso ShockWave muestra una ventana de aviso, en la cual aparece tambin un certificado del desarrollador, que se puede verificar para instalarlo o no, la imagen a continuacin es de un complemento (baMoveCursor de Magic Modules Pty Ltd), que en este caso est validado por Verisign.

Ilustracin 47. Peticin de instalacin de un complemento, firmado digitalmente

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

37

3.3.2.

Versin instalada.

Se puede comprobar desde la pgina de test del producto (http://www.adobe.com/shockwave/welcome/), en la cual se muestra la versin instalada

Ilustracin 48. Comprobacin Web de la versin instalada

Otra forma de visualizar esta informacin, es desde Men Principal, Panel de control, programas, Programas y caractersticas, desde la vista en modo Detalle y configurado para mostrar la columna Versin

Ilustracin 49. Versin de Shockwave desde Programas y caractersticas

En otros tipos de vista, al seleccionar la aplicacin, en la parte inferior aparece la informacin sobre esa aplicacin, entre esa informacin aparece la versin.

Ilustracin 50. Versin de Shockwave instalada en Windows 7 y Vista

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

38

3.4.

ADOBE AIR

Ilustracin 51. Logotipo de AIR

Es un entorno de ejecucin de aplicaciones multiplataforma, para la construccin de aplicaciones RIA (Rich Internet Applications), en el cual se puede utilizar Adobe Flash, Action Script, Adobe Flex, HTML y AJAX, de forma que esta aplicacin se pueda utilizar como aplicacin de escritorio, y no sea necesario utilizar un navegador para ejecutarlo.

3.4.1.

Actualizacin AIR

Al igual que ShockWave no tiene actualizacin automtica, por lo que hay que descargar la aplicacin e instalarla si se quiere tener actualizada. Para ello, desde la pgina Web de Adobe http://www.adobe.com/es en el enlace de descarga se accede a la pgina de descarga del programa.

Ilustracin 52. Descarga de Adobe AIR

3.4.2.

Versin instalada

Para comprobar la versin que est instalada, hay dos posibilidades. Una es ver las propiedades desde la lista de programas instalados (a travs del panel de control) y la otra es buscar la versin del fichero AIR.dll instalado, en funcin del sistema operativo. 3.4.2.1. En Windows XP

Men de Inicio, Panel de Control, Agregar o quitar programas, Adobe AIR (Haga clic para obtener informacin de soporte) y aparecer la ventana Informacin de soporte tcnico y mostrar la versin del producto instalado.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

39

Ilustracin 53. Versin instalada de AIR desde Agregar o quitar p en XP

A partir del fichero Adobe AIR.dll, hay que visualizar la ficha Versin de las propiedades del fichero. El fichero est en la ruta C:\Archivos de programa\Archivos comunes\Adobe AIR\Versions\1.0

Ilustracin 54. Versin de Adobe AIR desde el directorio de instalacin en XP

3.4.2.2.

En Windows Vista

Al igual que desde Windows XP, se puede mostrar desde la lista de programas instalados. Para ello, Men principal, Panel de control, Programas:

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

40

Ilustracin 55. Accediendo al men programas en Windows Vista

Se selecciona la opcin Programas y caractersticas

Ilustracin 56. Accediendo a programas y caractersticas en Windows Vista

En la pantalla que aparece, en la vista Detalles, est la columna versin.

Ilustracin 57. Versin de los programas desde vista Detalles en Vista

En caso de no aparecer esta columna, se puede obtener haciendo clic derecho en la lista de programas, del men contextual se selecciona la opcin Ordenar por o Agrupar por (cualquiera de las dos sirve) y del segundo men se selecciona la opcin Mas..

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

41

Ilustracin 58. Configuracin de columnas visibles en vista Detalles en Vista

Aparece la lista de columnas que se pueden mostrar, al menos se seleccionar Versin

Ilustracin 59. Seleccin de columnas visibles para la vista Detalles

Otra forma, es abrir la carpeta donde se instal el programa y ver la ficha Detalles del fichero Adobe AIR.dll. Para ello, Men Principal, Equipo, Disco Local (C:), Archivos de programa, Common Files, Adobe AIR, Versions, 1.0, se hace clic derecho sobre el fichero Adobe AIR.dll y se selecciona la ficha Detalles, aparecer la versin instalada.

Ilustracin 60. Versin Adobe AIR desde la carpeta de instalacin en el disco duro

El cuadro de texto de direccin, normalmente tiene el texto siguiente:

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

42

Ilustracin 61. Barra de direccin que mostrar la ruta de AIR

Para que aparezca como en la imagen anterior, hay que hacer clic en el cuadro de dilogo. 3.4.2.3. En Windows 7

La primera opcin es mediante la lista de programas del panel de control, para ello: Men Principal, Panel de control, Programas, Programas y caractersticas.

Ilustracin 62. Acceso a programas y caractersticas en Windows 7

Aparece la lista de programas instalados, si se est en modo de vista Detalles, una columna es Versin (al igual que en Windows Vista en caso de no aparecer esta columna, se puede configurar para que la muestre, estando en modo vista Detalle, se hace clic derecho sobre la lista de programas y, del men contextual, se selecciona Ordenar por o Agrupar por (una de las dos) y, del segundo men, se selecciona la opcin Ms

Ilustracin 63. Configuracin de las columnas visibles en vista Detalles en 7

En otras vistas, si se selecciona un programa, en la parte inferior aparece informacin sobre ese programa, entre esa informacin aparece la versin.

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

43

Ilustracin 64. Versin de Adobe AIR instalada desde otra vista distinta a Detalles

La segunda opcin para visualizarlo es mediante las propiedades del fichero. Para ello, Men principal, Equipo, Disco local (c:), Archivos de programa, Common Files, Adobe AIR, Versions, 1.0, clic derecho sobre el fichero Adobe AIR.dll y se selecciona la opcin Propiedades.

Ilustracin 65. Propiedades del fichero de instalacin de AIR instalada (Windows 7)

Aparece la ventana Propiedades del fichero, se selecciona la pestaa Detalles y tercer campo de informacin que nos muestra es la versin del fichero (es la versin del producto).

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

44

Ilustracin 66. Versin del fichero de instalacin de Adobe AIR

CERT_INF_Vulnerabilidades_2012_semestre_1.doc

45