4 de Enero, 2006

Detección del WMF exploit por los antivirus al 1 de enero de 2006

Por marcelo-ar - 4 de Enero, 2006, 21:05, Categoría: General

AV-test.org, un laboratorio independiente que testea productos antivirus, ha estado investigando la detección de exploits basados en la vulnerabilidad WMF.
Debajo están los resultados del análisis de 73 variantes distintas del exploit, al 1 de enero de 2006 por la mañana, con distintos productos antivirus:

Detección Productos
73 de 73 AntiVir, Avast!, BitDefender, ClamAV, Command, Dr Web, eSafe, eTrust-INO, eTrust-VET, Ewido, F-Secure, Fortinet, Kaspersky, McAfee, Nod32, Norman, Panda, Sophos, Symantec, Trend Micro, VirusBuster
67 de 73 Ikarus, VBA32
54 de 73 F-Prot
13 de 73 AVG
11 de 73 QuickHeal

Ref.:
PC Magazine
Current WMF exploit detection by AV scanners as of January 1, 2006
http://www.pcmag.com/article2/0,1895,1907518,00.asp



Actualización de las estadísticas de detección:

AV-Test chequeó 206 variantes del exploit y los siguientes productos las detectaron todas:

  • Avast!
  • BitDefender
  • ClamAV
  • eSafe
  • eTrust-VET
  • eTrust-VET (BETA)
  • F-Secure
  • F-Secure (BETA)
  • Kaspersky
  • McAfee
  • McAfee (BETA)
  • Nod32
  • OneCare
  • Panda (BETA)
  • Sophos
  • Symantec
  • Symantec (BETA)
Estos son los productos que no detectaron todas las variantes, y la cantidad que no detectaron de las 206 analizadas:

  • Fortinet           18
  • Fortinet (BETA)    18
  • AntiVir            24
  • eTrust-INO         25
  • eTrust-INO (BETA)  25
  • Panda              25
  • Ikarus             26
  • Norman                26
  • Ewido              47
  • AVG                59
  • Trend Micro (BETA) 60
  • VirusBuster        61
  • QuickHeal          63
  • Trend Micro        63
  • Dr Web             93
  • VBA32              110
  • Command            119
  • F-Prot             119
(beta se refiere a definiciones de este tipo)

Ref.:
Larry Seltzer's Blog
Updated Anti-virus Detection Stats
http://blog.ziffdavis.com/seltzer/archive/2006/01/04/39774.aspx

Vulnerabilidad WMF: ¿Cuáles versiones de Windows están realmente afectadas?

Por marcelo-ar - 4 de Enero, 2006, 3:48, Categoría: General

Larry Seltzer de eWEEK ha estado investigando las afirmaciones de iDEFENSE con respecto a cuales son las versiones de Windows que están realmente afectadas por la vulnerabilidad WMF.

En base a verificaciones efectuadas, iDEFENSE afirma lo siguiente.

Son vulnerables en su configuración por defecto:

  • Windows XP, SP1, SP2
  • Windows 2003, SP1
  • Lotus Notes también podría poseer su propia dll vulnerable
No son vulnerables:
  • Windows 2000
  • Windows ME
  • Windows 98
No testeado:
  • Windows NT
Despues de realizar varias verificaciones, Larry Seltzer llegó a las siguientes conclusiones:

iDEFENSE está en lo cierto, ya que en un sentido práctico solo Windows XP y Windows Server 2003 (incluidos sus Service Packs) están afectados por la vulnerabilidad WMF.

También es verdad lo que afirma F-Secure: todas las versiones de Windows, yendo hacia atrás hasta Windows 3.0, poseen la vulnerabilidad en GDI32. Pero muchas versiones de Windows no son tan vulnerables como parece. Excepto Windows XP y Windows Server 2003, ninguna versión de Windows, en su configuración por defecto, tiene una asociación establecida para abrir los archivos WMF, y ninguno de sus programas Paint o algún otro programa estándar instalado junto con éstos es capaz de abrir archivos WMF.
No fue hasta las versiones más recientes de Windows que Microsoft incluyó el Visor de imágenes y Fax para manejar este tipo de archivos WMF, de modo que, por varios años, WMF ha sido un formato no utilizado.
Por lo tanto, en sistemas Windows que no sean XP ni server 2003, en los cuales no se haya instalado un visor vulnerable para archivos WMF, la probabilidad de que sea afectado por un ataque mediante un WMF malicioso es ínfima.

Ref.: Larry Seltzer's Security Blog

Major Revision In Vulnerable System List
http://blog.ziffdavis.com/seltzer/archive/2006/01/03/39684.aspx

Researchers Dispute Which Windows Versions Are Vulnerable
http://blog.ziffdavis.com/seltzer/archive/2006/01/02/39680.aspx

Vulnerabilidad WMF: Microsoft intentará publicar su parche oficial el 10 de enero

Por marcelo-ar - 4 de Enero, 2006, 3:38, Categoría: General

Microsoft ha actualizado su "Microsoft Security Advisory (912840)"
El "advisory" actualizado dice:

"Microsoft ha completado el desarrollo de la actualización de seguridad para la vulnerabilidad. Esta actualización está ahora siendo probada para asegurar su calidad y compatibilidad con aplicaciones. La meta de Microsoft es publicar la actualización el martes 10 de enero de 2006, como parte de sus boletines de seguridad mensuales..."

Ref.:
Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution.
http://www.microsoft.com/technet/security/advisory/912840.mspx

El Blog

Calendario

<<   Enero 2006  >>
LMMiJVSD
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31      

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker