18 de 276 vulnerabilidades fijos por parte de Oracle con el último parche de actualización reside en las bibliotecas de OIT que son utilizados por los productos de numerosos proveedores principales
La última actualización crítica lanzada por Oracle esta semana está en los titulares por el número de parches que incluye. Incluye las correcciones para las vulnerabilidades 276, 18 de ellos que han sido valorados crítico podría exponer a los productos de múltiples proveedores a los ataques cibernéticos.
Las vulnerabilidades de seguridad fueron reportados por los investigadores de Cisco Talos.
17 altos defectos de gravedad afectan al Oracle Outside In Technology (OIT), que es una suite Fusion Middleware de kits de desarrollo de software (SDK) que pueden decodificar más de 500 formatos de archivo diferentes.
Los expertos en seguridad creen que los defectos podrían tener un serio impacto también en varias aplicaciones de terceros que utilizan las bibliotecas de OIT, incluidos los productos de Avira, HPE, IBM, Google, Microsoft, Novell, Raytheon, y Symantec.
Ademas Cisco no son capaces de confirmar qué apalancamiento productos de terceros en las bibliotecas de OIT son vulnerables a los ataques cibernéticos, pero seguro que algunos de ellos son impactados.
Los investigadores reportaron algunos escenarios de ataque fáciles de explotar por los atacantes, por ejemplo, Exchange 2013 y anteriores podrían ser hackeadas mediante el envío de un archivo adjunto de correo electrónico malicioso para el usuario de destino. La condición previa es que la única función de visualización de documentos WebReady está habilitada en Microsoft Exchange 2013 y versiones anteriores, un atacante puede explotar las vulnerabilidades con tan solo enviar un archivo adjunto de correo electrónico malicioso para el usuario de destino.
En el caso de la Avira AntiVir para Exchange, la solución AV populares analiza automáticamente todo el correo electrónico entrante y saliente, esto significa que un atacante puede desencadenar la vulnerabilidad si envía o recibe un mensaje elaborado específicamente.
En enero, los EE.UU.-CERT publicó un aviso de seguridad de alerta sobre la presencia de múltiples desbordamientos del búfer de pila en el Oracle Outside In 8.5.2. El asesoramiento se centró en las fallas de los programas de análisis de archivos WK4, Doc y Paradox DB. CERT / CC informó en ese momento que los defectos habían afectado a los productos procedentes de la mayoría de los vendedores que aprovecharse del SDK de Oracle.
En ese caso, el CERT confirmó que las bibliotecas de OIT son utilizados por una variedad de aplicaciones, incluyendo Microsoft Exchange, Google Search Appliance, Oracle Fusion Middleware, Orientación Encajar Forense, AccessData FTK, y Novell GroupWise.
Los expertos de CISCO Talos destacaron que los vendedores podrían tener tiempo para probar y actualizar sus productos que utilizan las bibliotecas de OIT, en este escenario los hackers podrían intentar explotar los defectos en productos de terceros.
"Sin embargo, la triste realidad es que las vulnerabilidades que se encuentran en un SDK que es utilizada por terceros tendrán tiempo adicional para el parche: En primer lugar la organización que mantiene las cuestiones SDK una solución, y cierta cantidad de tiempo después, terceros que utilizan el SDK proporciona una actualización de sus clientes, que incluyen estas correcciones. Esto proporciona una gran ventana en lugar de tiempo en el que malhechores pueden explotar vulnerabilidades en productos de terceros."
Tags: oracle, parche, actualizacion
