22 de Diciembre, 2005

Buffer overflow en Symantec AntiVirus al descomprimir archivos RAR (solucion parcial)

Por marcelo-ar - 22 de Diciembre, 2005, 1:37, Categoría: General

Se ha identificado una vulnerabilidad de gravedad crítica en varios productos Symantec AntiVirus, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario en un sistema vulnerable.

La vulnerabilidad es ocasionada debido a un error de límite en "Dec2Rar.dll" al copiar datos en base al campo longitud (length field) en los sub-bloques de los encabezados del archivo RAR.
Esto puede ser explotado para ocasionar un desbordamiento de buffer basado en el heap, y podría permitir la ejecución de código malicioso cuando el antivirus intenta descomprimir un archivo RAR especialmente alterado a efectos de escanearlo.

La vulnerabilidad ha sido reportada en Dec2Rar.dll versión 3.2.14.3 y afecta potencialmente a todos los productos de Symantec que utilicen esa librería.

Recomendación:
No escanear archivos .RAR con los productos afectados.

Solución:
Según informa el SANS Internet Storm Center, aparentemente, Symantec ha resuelto el problema temporariamente mediante la inclusión de firmas de virus específicas, de modo que esta vulnerabilidad no sea explotable mientras trabajan en el parche definitivo:
Bloodhound.Exploit.55
Descubierto: 20 de diciembre 2005
Ultima actualización: 21 de diciembre 2005, 01:48:25 PM
Bloodhound.Exploit.55 es una detección heurística para un archivo RAR malformado. Esta vulnerabilidad es potencialmente explotable para ocasionar un ataque DoS.

[Actualización 23/12/2005, 02:34 a.m.]
Se confirma lo informado por el SANS ISC.
Symantec publicó un reporte sobre este problema con un listado de los productos afectados, e informa que las firmas de virus que proveen detección heurística de potenciales exploits están disponibles mediante "Live Update" desde el pasado 20 de diciembre:
Symantec AntiVirus Decomposition Buffer Overflow
http://securityresponse.symantec.com/avcenter/security/Content/2005.12.21b.html

Créditos:
Vulnerabilidad descubierta por Alex Wheeler

Referencias:

Secunia Advisory: SA18131
Symantec AntiVirus RAR Archive Decompression Buffer Overflow
http://secunia.com/advisories/18131/

Bugtraq: Symantec Antivirus Library Remote Heap Overflows
From: <list_at_rem0te.com>
Date: Tue, 20 Dec 2005 13:58:55 +0000
http://seclists.org/lists/bugtraq/2005/Dec/0237.html

SANS ISC: Handler's Diary December 21st 2005
Symantec AV RAR library vulnerability
http://isc.sans.org/diary.php?storyid=949

El Blog

Calendario

<<   Diciembre 2005  >>
LMMiJVSD
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker