Enero del 2006
Winamp 5.13 resuelve vulnerabilidad crítica (Playlist Remote Buffer Overflow)
Se ha descubierto una vulnerabilidad crítica en el popular reproductor Winamp, la cual puede ser explotada por atacantes remotos para ejecutar código arbitrario.
La vulnerabilidad es ocasionada debido a un error de límite durante el manejo de nombres de archivo que incluyan un "Computer Name" (nombre de computador).
Esto puede ser explotado para ocasionar un desbordamiento de buffer mediante una lista de reproducción (playlist [*.pls]) especialmente alterada que contenga un nombre de archivo que comience con un "Computer Name" demasiado extenso (alrededor de 1040 bytes)
La explotación exitosa de este fallo permite la ejecución de código arbitrario, por ejemplo, al visualizar una página web que contenga un iframe que enlace a un archivo .pls especialmente alterado.
La vulnerabilidad ha sido confirmada en Winamp 5.12. Otras versiones anteriores tambien podrían estar afectadas.
Importante:
Se hizo público un exploit que se aprovecha de esta vulnerabilidad:
Winamp 5.12 Remote Buffer Overflow Universal Exploit (Zero-Day)
Solución:
Actualizar a Winamp 5.13:
http://www.winamp.com/player/index.php
Ref.:
Secunia Advisory: SA18649
Winamp Computer Name Handling Buffer Overflow Vulnerability
http://secunia.com/advisories/18649/
SANS ISC:
"Winamp 5.x Remote Code Execution via Playlists"
http://isc.sans.org/diary.php?storyid=1080
FrSIRT - Exploits & Codes:
Nullsoft Winamp Player <= 5.12 PLS File Handling Remote Buffer Overflow Exploit
http://www.frsirt.com/exploits/20060129.winamp0day.c.php
|
Alerta: Crecen las infecciones con el gusano Kama Sutra (Nyxem / Blackmal / MyWife / Tearec)
El gusano Kama Sutra (también conocido como BlackWorm), se está propagando a gran escala.
En este momento el número de usuarios infectados está cercano a los 700.000, lo cual se sabe ya que este gusano se reporta a un servidor que contabiliza la cantidad de infecciones.
[Actualización 26/01/2006 02:15 a.m. Arg]
Si bien en un momento se creyó que la cantidad de infecciones estaban llegando a los dos millones (ver post en Sunbelt Blog), luego de un análisis de esto, en el Blog de SecuriTeam concluyeron que algún "gracioso" (probablemente el autor del gusano) estaba inflando el contador mediante un DDoS (ver post en Blog SecuriTeam via Sunbelt Blog). Se estima entonces, que el número aproximado es de 300.000 infecciones.
El gusano, disfrazado de contenido pornográfico, una vez ejecutado intenta inhabilitar conocidos productos antivirus y cortafuegos, además de propagarse tomando direcciones de correo electrónico de la PC infectada.
Todos los días 3 de cada mes, el gusano destruye ciertos archivos del usuario infectado reemplazándolos con el siguiente string (o cadena de caracteres) "DATA Error [47 0F 94 93 F4 K5]". El gusano atacará los archivos con extensiones DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD y DMP.
El nombre asignado al gusano "Kama Sutra" dependerá del fabricante del antivirus, por lo cual el siguiente listado (provisto por Andreas Marx de AV-Test.org) es de suma utilidad:
AntiVir Worm/KillAV.GR
Avast! Win32:VB-CD [Wrm]
AVG Worm/Generic.FX
BitDefender Win32.Worm.P2P.ABM
ClamAV Worm.VB-8
Command W32/Kapser.A@mm (exact)
Dr Web Win32.HLLM.Generic.391
eSafe Win32.VB.bi
eTrust-INO Win32/Blackmal.F!Worm
eTrust-VET Win32/Blackmal.F
Ewido Worm.VB.bi
F-Prot W32/Kapser.A@mm (exact)
F-Secure Email-Worm.Win32.Nyxem.e
Fortinet W32/Grew.A!wm
Ikarus Email-Worm.Win32.VB.BI
Kaspersky Email-Worm.Win32.Nyxem.e
McAfee W32/MyWife.d@MM
Nod32 Win32/VB.NEI worm
Norman W32/Small.KI
Panda W32/Tearec.A.worm
QuickHeal I-Worm.Nyxem.e
Sophos W32/Nyxem-D
Symantec W32.Blackmal.E@mm
Trend Micro WORM_GREW.A
VBA32 Email-Worm.Win32.VB.bi
VirusBuster Worm.P2P.VB.CIL
Ref.: http://sunbeltblog.blogspot.com/2006/01/february-3rd-is-possibly-d-day.htmlhttp://sunbeltblog.blogspot.com/2006/01/kama-sutra-worm.htmlhttp://www.f-secure.com/weblog/archives/archive-012006.html#00000787http://isc.sans.org/diary.php?storyid=1067http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=405Herramienta de desinfección de Symantec: W32.Blackmal@mm Removal ToolArtículo en Sophos (en español): El gusano Kama Sutra se extiende a gran velocidad
|
Internet Explorer 7 Build 5299 (Beta 2 Preview) filtrado al publico
[Actualización 01/02/2006]
IE 7 Beta2 disponible en forma oficial, ver este post.
El pasado viernes 20 de enero fue filtrado al público el "Internet Explorer 7 Build 5299 Beta 2 Preview" a través del foro de JCXP.net, junto a unas capturas de pantalla de la nueva versión de este navegador, aún en desarrollo. A pedido de Microsoft, fueron removidos los links de descarga del mencionado foro, que se encontraban en este post " Internet Explorer 7 Build 5299 (Beta 2 Preview)..." Notar que las instrucciones para poder instalar esa beta en Windows XP "No Genuinos" ;-) , no fueron removidas. Aún se puede conseguir una copia de esta beta del IE 7, por ejemplo, desde este post en el sitio cnbeta.com (en Chino)... http://www.cnbeta.com//modules.php?name=News&file=article&sid=9904... que se puede entender "un poco" mejor con una traducción al inglés mediante las Herramientas del idioma de Google: Internet Explorer 7 Build 5299 (Beta 2 Preview)De los dos enlaces de descarga provistos, el de Rapidshare ya fue removido. [Actualización 30/01/2006]El enlace de descarga de cnbeta ya no funciona, sin embargo se puede descargar de down.com donde además se explica como poner el IE 7 en español (usar bajo propio riesgo):http://www.9down.com/story.php?sid=6060Descarga "Internet Explorer 7 Build 5299 Beta 2 Preview":http://www.9down.com/downloads.php?fileid=269Leer comentarios en español sobre este IE 7 Beta2, y más capturas, en esta entrada de Denken Über:Internet Explorer 7 Build.5299http://www.uberbin.net/archivos/internet/internet-explorer-7-build5299.php
|
Kerio WinRoute Firewall version 6.1.4 Patch 2 resuelve multiples vulnerabilidades
Se han reportado múltiples vulnerabilidades en Kerio WinRoute Firewall, las cuales podrían ser explotadas por atacantes remotos para ocasionar ataques DoS (Denegación de Servicio).
- Un error en el manejo de ciertos datos al llevar a cabo el filtrado de contenido html podría ser explotado para ocasionar un DoS.
- Un error en el manejo de strings demasiado extensos tomados del directorio activo, podría ser explotado para ocasionar un DoS.
Los dos primeros fallos fueron resueltos en Kerio WinRoute Firewall version 6.1.4 Patch 1 con fecha 5 de enero de 2006.
- Con fecha 19 de enero de 2006, existe una nueva actualización que resuelve un posible cuelgue y consumo del 100% de CPU al navegar por la web.
Solución: Actualizar a Kerio WinRoute Firewall version 6.1.4 Patch 2 http://www.kerio.com/kwf_download.htmlReporte original: http://www.kerio.com/kwf_history.htmlRef.: Secunia Advisory: SA18542 Kerio WinRoute Firewall Denial of Service Vulnerabilities http://secunia.com/advisories/18542/FrSIRT/ADV-2006-0247 Kerio WinRoute Firewall HTML Data and Active Directory DoS Vulnerabilities http://www.frsirt.com/english/advisories/2006/0247
|
Resuelta grave vulnerabilidad en F-Secure Antivirus
Se han descubierto dos vulnerabilidades en varios productos antivirus F-Secure, las cuales podrían ser explotadas por atacantes remotos o malware para ejecutar código arbitrario o traspasar el escaneo del antivirus.
El primer problema es debido a un desbordamiento de buffer al procesar archivos ZIP especialmente alterados, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario en el sistema del usuario atacado, por ejemplo, mediante el envío de un mensaje de correo electrónico conteniendo un ZIP malicioso a la víctima.
El segundo problema es debido a un error en la prestación de escaneo que no maneja correctamente ciertos archivos ZIP y RAR malformados, lo cual podría ser explotado para traspasar la detección de código malicioso dentro de estos archivos durante un escaneo.
Solución:
Actualizar el antivirus (ver reporte original de F-Secure)
http://www.f-secure.com/security/fsc-2006-1.shtml
Créditos:
Thierry Zoller
Ref.:
FrSIRT/ADV-2006-0257
F-Secure Anti-Virus Buffer Overflow and Security Bypass Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0257
F-Secure Blog:
Vulnerability in F-Secure products
http://www.f-secure.com/weblog/archives/archive-012006.html#00000783
|
Outpost Firewall no bloquea el tráfico durante el inicio/cierre de Windows
Se ha descubierto una debilidad en Outpost Firewall.
Outpost deja de cumplir con su tarea por un corto período de tiempo mientras se lleva a cabo el cierre de Windows, dejando al sistema vulnerable a ataques por un corto intervalo. se han reportado períodos de 3 a 10 segundos (y hasta de 20 segundos en un test con Outpost 2.7).
Lo mismo ocurre al iniciar Windows (se han reportado períodos de 2 a 10 segundos), lo cual -aparentemente- depende de que otros programas estén instalados y su orden de instalación. Parte del problema es que la mayoría del software de seguridad trata de ejecutarse en primer término al iniciarse Windows, lo cual significa que los programas anteriormente instalados son empujados hacia atrás en la secuencia de inicio.
Sin bien el problema fue descubierto en Outpost 3.0, se asume que las versiones anteriores también están afectadas.
Outpost 3.0 build 558/438 (actualmente en fase beta) parece resolver este problema según pruebas realizadas, pero se desconoce cuando estará disponible su versión final para el público.
Reporte en el foro de Outpost Firewall:
Security Advisory: Outpost not blocking traffic on Windows shutdown
http://outpostfirewall.com/forum/showthread.php?t=16207
|
Crece la aceptación de Mozilla Firefox en Europa (tiene el 20% del mercado)
El navegador Mozilla Firefox se ha hecho con el 20% del mercado europeo de acuerdo a la compañía de monitoreo francesa XiTi.
En un ranking basado en una muestra tomada el 8 de enero la cual fue reconfirmada el 9 de enero, la aceptación de Firefox es considerable en Finlandia con un 38.39% (en mayo de 2005 era de un 30.91%). Firefox tiene un 30.27% del mercado alemán (en mayo de 2005 era de un 22.89%), el tercer mercado más grande luego de Eslovenia (actualmente con un 35.55%).
Europa es el continente con mayor uso de Firefox, con un 20.11%, seguido de Australia con un 18.6% y Estados Unidos de Norteamérica con un 15.8%. Firefox es menos usado en Africa (9.41%), Asia (8.81%), y Sudamérica (5.79%).
Mientras que, un 39% de los usuarios de Firefox utiliza la versión 1.5 que fue realizada a fines de Noviembre, y el restante 61% aún utiliza la versión 1.0.x.
XiTi afirmó que estos datos están basados en el análisis de 32.5 millones de visitas.
Los expertos en estadísticas afirman en base a sus estudios comparativos sobre variación de uso del navegador entre días de semana (laborables) y fines de semana, que Firefox es utilizado por igual tanto en el ámbito laboral como el hogareño.
Ref.:
heise online news
Firefox has 20 percent of the web browser market in Europe
http://www.heise.de/english/newsticker/news/68447
XiTiMonitor
Firefox dépasse les 20% en Europe
http://www.xitimonitor.com/etudes/equipement13.asp
Nota: Según las estadísticas de visitas a este blog medidas por Extreme Tracking, desde el 18/12/2005 (día en que instalé dicho medidor a efectos de deshacerme a la brevedad de Webstats4u, ex-Nedstatbasic), a la fecha, el ranking de navegadores es éste:
- MSIE 6 58.41%
- Firefox 1.5 22.13%
- Firefox 1 11.45%
- Opera 8 3.21%
- Mozilla 1 1.51%
- MSIE 5 0.92%
|
Vulnerabilidad en Thunderbird <=1.0.7 posibilita engaños con extensiones de archivos
Secunia Research ha descubierto una vulnerabilidad en Mozilla Thunderbird, la cual podría ser explotada por atacantes remotos para engañar a los usuarios y que ejecuten archivos maliciosos.
La vulnerabilidad es debida a que los adjuntos no son correctamente visualizados en los mensajes. Esto puede ser explotado para falsear la extensión y el icono asociado al tipo de archivo mediante una combinación de nombres de archivos demasiado extensos conteniendo espacios en blanco y encabezados "Content-Type" que no correspondan a la extensión del mismo.
Esto podría ser explotado por atacantes remotos para falsear los tipos y extensiones de archivos, y engañar a los usuarios para que ejecuten contenido malicioso.
La vulnerabilidad ha sido confirmada en las versiones 1.0.2, 1.0.6, y 1.0.7 para Windows. Otras versiones anteriores también podrían estar afectadas.
Solución:
Actualizar a Thunderbird 1.5
http://www.mozilla.com/thunderbird/
Todos los idiomas:
http://www.mozilla.com/thunderbird/all.html
Tiempos de divulgación:
01/07/2005 - Notificación inicial al fabricante.
10/07/2005 - El fabricante confirma la vulnerabilidad.
27/07/2005 - Vulnerabilidad resuelta en el repositorio CVS.
12/01/2006 - Thunderbird 1.5 disponible para el público en general.
17/01/2006 - Divulgación pública.
Créditos:
Descubierto por Andreas Sandblad, Secunia Research.
Reporte original:
Secunia Research
http://secunia.com/secunia_research/2005-22/advisory/
Otras referencias:
https://bugzilla.mozilla.org/show_bug.cgi?id=300246
Ref.:
FrSIRT/ADV-2006-0230
Mozilla Thunderbird Attachment Extension and Type Spoofing Vulnerability
http://www.frsirt.com/english/advisories/2006/0230
Secunia Advisory: SA15907
Mozilla Thunderbird Attachment Spoofing Vulnerability
http://secunia.com/advisories/15907/
|
Fallo en MS-Outlook/Exchange al decodificar TNEF permite ejecutar código arbitrario (MS06-003)
La vulnerabilidad es ocasionada debido a un error de límite al decodificar adjuntos MIME (Multipurpose Internet Mail Extensions) de formato TNEF (Transport Neutral Encapsulation Format). Lo cual puede ser explotado para ejecutar código arbitrario cuando el usuario abre o visualiza un mensaje de correo TNEF especialmente alterado o cuando el Microsoft Exchange Server Information Store procese el mensaje.
Solución: (aplicar parches)
Microsoft Security Bulletin MS06-003
Vulnerability in TNEF Decoding in Microsoft Outlook and Microsoft Exchange Could Allow Remote Code Execution (902412)
http://www.microsoft.com/technet/security/Bulletin/MS06-003.mspx
[Actualización: disponible versión en español del boletín de Microsoft]
Boletín de seguridad de Microsoft MS06-003
Una vulnerabilidad en la descodificación de TNEF en Microsoft Outlook y Microsoft Exchange podría permitir la ejecución remota de código (902412)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-003-IT.mspx
Créditos:
John Heasman y Mark Litchfield de NGS Software.
Ref.:
Secunia Advisory: SA18368
Microsoft Outlook / Exchange TNEF Decoding Arbitrary Code Execution Vulnerability
http://secunia.com/advisories/18368/
|
Vulnerabilidad en fuentes Web embebidas de Windows permite ejecutar código arbitrario (MS06-002)
La vulnerabilidad es ocasionada debido a un error de corrupción de memoria al manejar fuentes Web incrustadas malformadas. Lo cual puede ser explotado para ejecutar código arbitrario cuando un usuario visita un sitio web malicioso o visualiza un mensaje de correo electrónico que contenga una fuente web embebida malformada.
Solución: (aplicar parches)
Microsoft Security Bulletin MS06-002
Vulnerability in Embedded Web Fonts Could Allow Remote Code Execution (908519)
http://www.microsoft.com/technet/security/Bulletin/MS06-002.mspx
[Actualización: disponible versión en español del boletín de Microsoft]
Boletín de seguridad de Microsoft MS06-002
Una vulnerabilidad en fuentes Web incrustadas podría permitir la ejecución remota de código (908519)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-002-IT.mspx
Créditos:
Fang Xing, eEye Digital Security.
Ref.:
Secunia Advisory: SA18365
Microsoft Windows Embedded Web Fonts Arbitrary Code Execution Vulnerability
http://secunia.com/advisories/18365/
|
Vulnerabilidad no especificada en ClamWin/ClamAV al procesar archivos UPX
Se ha descubierto una vulnerabilidad en ClamAntiVirus (ClamWin y ClamAV), la cual podría ser explotada por usuarios maliciosos con un impacto desconocido.
La vulnerabilidad es ocasionada debido a un error de límite no especificado en "libclamav/upx.c" y puede ser explotada para ocasionar un desbordamiento de buffer basado en el heap mediante un archivo con compresión UPX especialmente alterado.
Solución:
Actualizar a la versión 0.88 de ClamWin (versión para Windows de ClamAV)
http://www.clamwin.com/content/view/18/46/
o...
Actualizar a la versión 0.88 de ClamAV
http://www.clamav.net/stable.php#pagestart
Nota:
Para actualizar ClamWin antivirus, basta con instalar la versión más reciente encima de la anterior:
ClamWin Free Antivirus FAQ
Q: Can I upgrade an existing version of ClamWin?
A: Yes, just run the normal set up program, and install over the top
of the existing version.
Créditos:
3Com's Zero Day Initiative.
Ref.:
Secunia Advisory: SA18379
ClamAV Unspecified UPX File Handling Vulnerability
http://secunia.com/advisories/18379/
|
QuickTime Player 7.0.4 resuelve múltiples vulnerabilidades
Se han identificado múltiples vulnerabilidades en el reproductor QuickTime Player de Apple, las cuales podrían ser explotadas por atacantes remotos para ejecutar código arbitrario u ocasionar una Denegación de Servicio (DoS).
1. Un desbordamiento de Heap al procesar imágenes QTIF.
2. Errores de desbordamiento de buffer, desbordamiento de entero y subdesborde de entero al procesar imágenes TGA.
3. Errores de desbordamiento de entero al procesar imágenes TIFF maliciosas.
4. Un desbordamiento de heap al procesar imágenes GIF maliciosas.
5. Un desbordamiento de heap al procesar archivos de video malformados.
Solución:
Actualizar a QuickTime Player 7.0.4 :
http://www.apple.com/quicktime/
Créditos:
Vulnerabilidades reportadas por Varun Uppal, Dejun Meng y Karl Lynn.
Ref.:
FrSIRT/ADV-2006-0128
Apple QuickTime Player Multiple Remote Code Execution Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0128
|
Descubierta otra nueva vulnerabilidad en el procesamiento de archivos WMF (PoC disponible)
SecurityFocus ha publicado un reporte sobre una nueva vulnerabilidad en el proceso de archivos WMF no cubierta por la actualización MS06-001.
El motor de procesamiento de gráficos WMF de Microsoft está afectado por múltiples vulnerabilidades de corrupción de memoria. Estos fallos afectan a las funciones 'ExtCreateRegion' y 'ExtEscape'.
El problema se presenta cuando un usuario visualiza un archivo WMF especialmente alterado.
Los reportes indican que estos fallos pueden ocasionar una condición de Denegación de Servicio (DoS), sin embargo, se cree que también es posible la ejecución de código arbitrario.
Lennart Wistrand de Microsoft dice que:
"... As it turns out, these crashes are not exploitable but are instead Windows performance issues ..."
En español:
"...Por lo que se ve, estos crashes (cuelgues o fallos), no son explotables, si son, en cambio, cuestiones de desempeño o funcionamiento de Windows ..." ;-)
Según Microsoft este problema no permite que un atacante ejecute código arbitrario, ni ocasionar el cuelgue del Sitema Operativo, solo podría ocasionar el fallo de la aplicación que procesa el archivo WMF. También afirman que ya habían identificado este tipo de problemas con anterioridad, y los están evaluando para resolverlos en un próximo Service Pack.
En la lista Full-disclosure ya se ha publicado una PoC (Prueba de Concepto) para esta vulnerabilidad:
Ref.:
SecurityFocus:
Microsoft Windows Graphics Rendering Engine Multiple Memory Corruption Vulnerabilities
http://www.securityfocus.com/bid/16167/discuss
[Full-disclosure] PoC for the 2 new WMF vulnerabilities (DoS)
http://seclists.org/lists/fulldisclosure/2006/Jan/0303.html
Microsoft Security Response Center Blog:
Information on new WMF Posting
http://blogs.technet.com/msrc/archive/2006/01/09/417198.aspx
|
Vulnerabilidad WMF: Parche no oficial de Eset funciona en Windows 98 y Windows ME
Si bien Microsoft publicó el parche oficial para la vulnerabilidad en el procesamiento de archivos WMF, no desarrolló parche alguno para Windows 98/ME.
Como informa el SANS ISC, Windows 9x/ME posee la librería vulnerable gdi32.dll.
En el aviso inicial de Microsoft, el cual ya no está disponible con su información original, se incluía a Win 9x en la lista de sistemas vulnerables (ver cache de Google).
Sin embargo, Win 9x funciona en forma levemente distinta a las versiones más recientes de Windows. Estas diferencias son suficientes como para que los exploits conocidos no funcionen en Win 9x.
A pesar de lo indicado, los usuarios de Win 9x si están en cierto riesgo.
En un mensaje a la lista Full-disclosure, Peter Ferrie (pferrie_at_symantec.com) comenta que el riesgo para usuarios de Win 98/ME es el mismo que para usuarios de Win 2000/NT.
Otras aplicaciones que no sean el Internet Explorer, que reconocen los archivos sin su encabezado, podrían llamar directamente a la función GDI!PlayMetaFile(), que eventualmente invocaría a la función vulnerable.
El único parche no oficial, que a diferencia del de Ilfak Guilfanov, funciona también en Win 98/ME, es el desarrollado por Paolo Monti (distribuidor de NOD32 en Italia) y publicado unas horas antes de la disponibilidad del parche oficial de Microsoft. Si bien este parche fue removido de la web de Eset, aún está disponible para descargar desde otros sitios regionales, como por ejemplo:
NOD32 Italia:
http://www.nod32.it/home/home.htm
Enlace de descarga directa del parche:
http://futuretime.itaweb.it/wmfpatch11.zip
NOD32 Suiza:
http://www.nod32.ch/en/download/tools.php
Enlaces de descarga directa del parche:
http://d1.nod32.ch/download/wmfpatch11.zip
http://www.idiosyn.ch/download/wmfpatch11.zip
NOD32 Latinoamérica (ver nota de prensa):
http://www.nod32-la.com/support/wmfpatch.htm
Enlace de descarga directa del parche:
http://www.nod32-la.com/download/wmfpatch11.exe
|
Disponible parche oficial de Microsoft para vulnerabilidad WMF (MS06-001)
Microsoft decidió adelantar la publicación del parche para la vulnerabilidad en el procesamiento de archivos de imágen WMF.
Según Microsoft, este adelantamiento se debe a que los testeos del parche en cuanto a calidad y compatibilidad con aplicaciones, finalizaron antes de lo previsto y el mismo está listo para ser publicado.
El parche fue publicado a las 2:00 p.m. PT (7:00 p.m. Arg.)
Descarga de esta actualización de seguridad (seleccionar S.O. e idioma):
Microsoft Security Bulletin MS06-001
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution (912919)
http://www.microsoft.com/technet/security/Bulletin/ms06-001.mspx
[Actualización: Boletín disponible en español]
Boletín de seguridad de Microsoft MS06-001
Vulnerabilidades en el motor de proceso de gráficos podrían permitir la ejecución remota de código (912919)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-001-IT.mspx
|
Detección del WMF exploit por los antivirus al 1 de enero de 2006
AV-test.org, un laboratorio independiente que testea productos antivirus, ha estado investigando la detección de exploits basados en la vulnerabilidad WMF.
Debajo están los resultados del análisis de 73 variantes distintas del exploit, al 1 de enero de 2006 por la mañana, con distintos productos antivirus:
| Detección |
Productos |
| 73 de 73 |
AntiVir, Avast!, BitDefender, ClamAV, Command, Dr Web, eSafe, eTrust-INO, eTrust-VET, Ewido, F-Secure, Fortinet, Kaspersky, McAfee, Nod32, Norman, Panda, Sophos, Symantec, Trend Micro, VirusBuster |
| 67 de 73 |
Ikarus, VBA32 |
| 54 de 73 |
F-Prot |
| 13 de 73 |
AVG |
| 11 de 73 |
QuickHeal | | Ref.: PC Magazine Current WMF exploit detection by AV scanners as of January 1, 2006 http://www.pcmag.com/article2/0,1895,1907518,00.asp
Actualización de las estadísticas de detección:AV-Test chequeó 206 variantes del exploit y los siguientes productos las detectaron todas:
- Avast!
- BitDefender
- ClamAV
- eSafe
- eTrust-VET
- eTrust-VET (BETA)
- F-Secure
- F-Secure (BETA)
- Kaspersky
- McAfee
- McAfee (BETA)
- Nod32
- OneCare
- Panda (BETA)
- Sophos
- Symantec
- Symantec (BETA)
Estos son los productos que no detectaron todas las variantes, y la cantidad que no detectaron de las 206 analizadas:
- Fortinet 18
- Fortinet (BETA) 18
- AntiVir 24
- eTrust-INO 25
- eTrust-INO (BETA) 25
- Panda 25
- Ikarus 26
- Norman 26
- Ewido 47
- AVG 59
- Trend Micro (BETA) 60
- VirusBuster 61
- QuickHeal 63
- Trend Micro 63
- Dr Web 93
- VBA32 110
- Command 119
- F-Prot 119
(beta se refiere a definiciones de este tipo) Ref.: Larry Seltzer's Blog Updated Anti-virus Detection Stats http://blog.ziffdavis.com/seltzer/archive/2006/01/04/39774.aspx
|
Vulnerabilidad WMF: ¿Cuáles versiones de Windows están realmente afectadas?
Larry Seltzer de eWEEK ha estado investigando las afirmaciones de iDEFENSE con respecto a cuales son las versiones de Windows que están realmente afectadas por la vulnerabilidad WMF.
En base a verificaciones efectuadas, iDEFENSE afirma lo siguiente.
Son vulnerables en su configuración por defecto:
- Windows XP, SP1, SP2
- Windows 2003, SP1
- Lotus Notes también podría poseer su propia dll vulnerable
No son vulnerables:
- Windows 2000
- Windows ME
- Windows 98
No testeado:
Despues de realizar varias verificaciones, Larry Seltzer llegó a las siguientes conclusiones: iDEFENSE está en lo cierto, ya que en un sentido práctico solo Windows XP y Windows Server 2003 (incluidos sus Service Packs) están afectados por la vulnerabilidad WMF. También es verdad lo que afirma F-Secure: todas las versiones de Windows, yendo hacia atrás hasta Windows 3.0, poseen la vulnerabilidad en GDI32. Pero muchas versiones de Windows no son tan vulnerables como parece. Excepto Windows XP y Windows Server 2003, ninguna versión de Windows, en su configuración por defecto, tiene una asociación establecida para abrir los archivos WMF, y ninguno de sus programas Paint o algún otro programa estándar instalado junto con éstos es capaz de abrir archivos WMF. No fue hasta las versiones más recientes de Windows que Microsoft incluyó el Visor de imágenes y Fax para manejar este tipo de archivos WMF, de modo que, por varios años, WMF ha sido un formato no utilizado. Por lo tanto, en sistemas Windows que no sean XP ni server 2003, en los cuales no se haya instalado un visor vulnerable para archivos WMF, la probabilidad de que sea afectado por un ataque mediante un WMF malicioso es ínfima. Ref.: Larry Seltzer's Security Blog Major Revision In Vulnerable System List http://blog.ziffdavis.com/seltzer/archive/2006/01/03/39684.aspxResearchers Dispute Which Windows Versions Are Vulnerable http://blog.ziffdavis.com/seltzer/archive/2006/01/02/39680.aspx
|
Otros mensajes en Enero del 2006
|
El Blog
Alojado en
|
