Febrero del 2006
Versiones 1.x, 2.x y 3.02.10 de The Bat! no afectadas por fallo "subject buffer overflow"
[Actualizado 02/03/2006]
Motivo por el cual los desbordamientos de buffer no son explotables en The Bat!
(ver al final del post)
A pesar de lo que informan algunos medios, las versiones 1.x, 2.x y -al menos- la 3.02.10 de The Bat! no estan afectadas por el fallo de desbordamiento de buffer descripto en este post: Vulnerabilidad en The Bat! 3.60.07 permite ejecutar código arbitrarioEn el foro batboard.de, "de-bugger" (Miroslav) probó las versiones 1.62r, 2.12.04, 3.02.10, y 3.60.07 en distintos Windows (XP/2000/98). Miroslav solo pudo generar el fallo al probar la versión 3.60.07 (la que fue reportada como vulnerable en este mensaje a Bugraq): "Pufferüberlauf in The Bat!, Update auf Final 3.71 zwingend" post: "25.02.2006, 11:39" http://www.batboard.net/index.php?showtopic=5912Traduccion al ingles de ese post mediante herramientas del idioma de Google: Buffer overflow in The Bat!Lo mismo informa en la web http://bat-mail.de.vu/ (en aleman) Esta es la traducción al ingles del texto: 25.02.2006
Buffer overflow in TheBat!
Heise Security reports the TheBat in a News message,! with excessive
lines for reference text to a buffer overflow is susceptible. First
tests which I with excessive lines for reference text (up to 8000
words in the reference) resulted in, that accomplished the versions
v1.x (v1.62r) and v2.x (v2.12.04) of TheBat! by this problem are not
affected. Starting from when exactly the problem arises with the v3
cannot I not say, at least showed the version v3.02.10 (old GUI) also
no reaction to excessive lines for reference text. The version
v3.60.07 against it said good-bye without comment.Cualquiera podría pensar que lo más fácil para estar a salvo de este fallo es actualizarse a la versión más reciente de The Bat!, sin embargo, para actualizarse desde una versión, por ejemplo, la 1.62 a la 3.71, hay que pagar, ya que no sirve la misma licencia. Nota: Según lo que comenta NetVicious (quien es uno de los moderadores del GDUTB con amplios conocimientos sobre este gestor de correo), The Bat! esta programado en Delphi, de modo que no es factible ejecutar codigo arbitrario mediante ataques del tipo desbordamiento de buffer, solo se podría ocasionar que The Bat! de un error.Enlaces provistos por NetVicious:http://en.wikipedia.org/wiki/Talk:Buffer_overflow#Choice_of_programming_languagehttp://www.mail-archive.com/tbudl@thebat.dutaint.com/msg12019.html
|
Winamp 5.2 resuelve múltiples vulnerabilidades (.m3u Buffer Overflow)
NSFocus Security Team ha reportado una vulnerabilidad en Winamp, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario u ocasionar el fallo del software.
Detalles:
Winamp puede reproducir archivos mediante la carga de un archivo de lista de reproducción .m3u.
Cuando la reproducción es pausada o detenida, Winamp reseteará el título del programa que está siendo reproducido, donde la función "strncpy()" es incorrectamente invocada, como resultado de lo cual se producirá un desbordamiento de buffer.
El atacante remoto podrá ocasionar el fallo (crash) de Winamp mediante un archivo .m3u especialmente alterado. La ejecución de código en forma remota es posible, aunque dificultosa.
Casi simultaneamente, Information Risk Management Plc. reportó una vulnerabilidad idéntica a la descubierta por NSFOCUS:
Detalles:
Winamp 5.13 (y anteriores) es susceptible a una condición de desbordamiento de buffer cuando una lista de reproducción (m3u or pls) cuyo nombre de archivo especialmente alterado esté embebido dentro de otra lista de reproducción m3u.
Productos afectados:
Winamp 5.13 (y anteriores)
Solución:
Estas y otras vulnerabilidades fueron resueltas en Winamp 5.2
http://www.winamp.com/player/index.php
Créditos:
Liu Yexin, NSFOCUS Security Team.
P Robinson, Information Risk Management Plc.
Ref.:
SecurityTracker Alert ID: 1015675
Winamp Buffer Overflow in Processing '.m3u' Program Titles May Let Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2006/Feb/1015675.html
NSFOCUS Security Advisory(SA2006-01)
Winamp m3u File Processing Buffer Overflow Vulnerability
http://www.nsfocus.com/english/homepage/research/0601.htm
IRM Security Advisory No. 018
Winamp 5.13 m3u Playlist Buffer Overflow
http://www.irmplc.com/advisory018.htm
Winamp - version history
http://www.winamp.com/player/version_history.php
Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/02/18/denegacion-de-Servicio-en-Winamp-513.html
|
Vulnerabilidad en The Bat! 3.60.07 permite ejecutar código arbitrario
NSA Group (www.nsag.org) reporta una vulnerabilidad de gravedad crítica en The Bat!
La vulnerabilidad existe debido a un chequeo insuficiente del tamaño del buffer de una variable en la cual se copian datos del campo "Subject" (asunto del mensaje).
Al recibir un mensaje especialmente alterado cuyo campo "Subject" contenga 4038 bytes, se generará un desbordamiento de buffer que posibilitará al atacante malicioso la ejecución de código arbitrario.
Tiempos de divulgación:
19/11/2005 - Notificación al fabricante.
12/12/2005 - Respuesta del fabricante.
22/02/2006 - Publicación de los detalles de la vulnerabilidad.
Solución:
Actualizar a la versión más reciente de The Bat!
http://thebat.net/en/products/thebat/download.php
Ref.:
Bugtraq: NSA Group Security Advisory NSAG-?198-23.02.2006 Vulnerability The Bat v. 3.60.07
http://seclists.org/lists/bugtraq/2006/Feb/0442.html
|
DoS y ejecución remota de JavaScript en Thunderbird <= 1.0.7
Se ha reportado una vulnerabilidad en Mozilla Thunderbird la cual podría ser explotada por atacantes remotos para ejecutar código JavaScript arbitrario.
El motor de renderizado WYSIWYG de Thunderbird no filtra completamente el codigo javascript.
Es posible escribir código javascript en el atributo SRC de una etiqueta IFRAME. Esto posibilita la ejecución de código JavaScript arbitrario cuando un mensaje de correo es editado (por ejemplo, al responderlo), aún si JavaScript está desactivado en Preferencias.
Nota: Thunderbird viene por defecto con JavaScript desactivado por razones de seguridad.
Impacto:
La explotación exitosa de esta vulnerabilidad podría permitir la revelación de información sensible u ocasionar el fallo (crash) de la aplicación.
Versiones vulnerables:
Mozilla Thunderbird 1.0.7 y anteriores
Solución:
Actualizar a Mozilla Thunderbird 1.5
http://www.mozilla.com/thunderbird/all.html
Créditos:
nono2357 at sysdream dot com
http://www.sysdream.com
Fecha de descubrimiento del fallo:
28/01/2006
Prueba de concepto:
[Ver reporte original]
Ref.:
[Full-disclosure] Mozilla Thunderbird : Remote Code Execution & Denial of Service
http://seclists.org/lists/fulldisclosure/2006/Feb/0552.html
SecurityTracker Alert ID: 1015665
Mozilla Thunderbird Validation Error in IFRAME SRC Tag Lets Remote Users Execute Arbitrary Javascript
http://securitytracker.com/alerts/2006/Feb/1015665.html
|
Múltiples vulnerabilidades XSS e "IMAP Injection" en SquirrelMail <= 1.4.5
SquirrelMail es un popular sistema de webmail "Open Source" escrito en PHP4.
Se han identificado múltiples vulnerabilidades en SquirrelMail, las cuales podrían ser explotadas por atacantes remotos para inyectar y ejecutar comandos arbitrarios.
El primer problema es debido a un error de validación de entrada en el script "webmail.php" que no valida correctamente el parámetro "right_main", lo cual podría ser explotado por atacantes para ocasionar que código script malicioso sea ejecutado por el navegador del usuario en el contexto de seguridad del sitio afectado.
El segundo fallo es debido a un error de validación de entrada al manejar comentarios en estilos, lo cual podría ser explotado por gente maliciosa para llevar a cabo ataques XSS (cross site scripting).
La explotación exitosa de esta vulnerabilidad requiere que el usuario visualice datos maliciosos en el navegador Internet Explorer.
El tercer problema es debido a un error de validación de entrada al procesar el parámetro "sqimap_mailbox_select mailbox", lo cual podría ser explotado por atacantes para inyectar comandos IMAP arbitrarios.
Productos afectados:
SquirrelMail version 1.4.5 y anteriores
Solución:
Los parches están disponibles a través del repositorio CVS y serán incluidos en la próxima versión 1.4.6 de SquirrelMail.
http://www.squirrelmail.org/cvs
Créditos:
Vulnerabilidades reportadas por:
- El desarrollador del producto
- Scott Hughes
- Vicente Aguilera
Nota:
Para saber si su proveedor de webmail utiliza una versión vulnerable, basta con observar la página inicial de login, en la cual se suele exhibir la versión de SquirrelMail.
Ref.:
FrSIRT/ADV-2006-0689
SquirrelMail Multiple Cross Site Scripting and IMAP Injection Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0689
Secunia Advisory: SA18985
SquirrelMail Cross-Site Scripting and IMAP Injection Vulnerabilities
http://secunia.com/advisories/18985/
|
DoS en Thunderbird 1.5 al importar libreta de direcciones maliciosa
La libreta de direcciones de Mozilla Thunderbird permite campos de longitud ilimitada, lo cual podría ocasionar el fallo del programa si se importa un archivo ldif especialmente alterado.
La explotación exitosa de este fallo, requiere que el usuario atacado sea convencido para que importe un archivo ldif malicioso desde "Herramientas >>> Importar..." ("Tools >>> Import...") a efectos de colgar el programa.
Productos afectados:
Mozilla Thunderbird 1.5 y posiblemente versiones anteriores.
Ref.:
[Full-disclosure] Mozila Thunderbird 1.5 Address Book DoS
From: Javor Ninov <javor_at_securax.org>
Date: Fri, 17 Feb 2006 21:50:31 +0200
http://seclists.org/lists/fulldisclosure/2006/Feb/0403.html
|
Denegación de Servicio en Winamp 5.13
Se han identificado dos vulnerabilidades en Winamp 5.13, las cuales podrían ser utilizadas por atacantes remotos para comprometer el sistema del usuario atacado.
- El primer problema es debido a un error de desbordamiento de buffer al procesar una lista de reproducción especialmente alterada conteniendo un nombre de archivo demasiado extenso.
- El segundo fallo es debido a un error de desbordamiento de buffer al procesar una lista de reproducción .m3u cuyo nombre de archivo sea demasiado extenso.
Créditos: Vulnerabilidades reportadas por Alan McCaig y Sowhat Versiones afectadas: Los fallos han sido reportados en la versión 5.13. Otras versiones anteriores también podrían estar afectadas. Nota: Calificación de estos fallos según su gravedad- Secunia habla de "debilidades en Winamp" y califica los fallos como "No críticos" ya que solo ocasionan una condición de Denegación de Servicio (DoS) no habiéndose probado aún la posibilidad de ejecución de código arbitrario. - FrSIRT los califica como "Críticos" ya que consideran que la ejecución de código arbitrario podría ser posible. - SecurityTracker califica el impacto de los mismos como de "Ejecución de código a través de la red" a pesar de informar que la ejecución de código arbitrario no fue confirmada en el reporte original de Alan McCaig. Ref.: SecurityTracker Alert ID: 1015621 Winamp Buffer Overflow in Processing '.m3u' File Names May Let Remote Users Execute Arbitrary Code http://securitytracker.com/alerts/2006/Feb/1015621.htmlSecunia Advisory: SA18848 Winamp File Handling Buffer Overflow Weaknesses http://secunia.com/advisories/18848/FrSIRT/ADV-2006-0613 Nullsoft Winamp Playlist Handling Multiple Buffer Overflow Vulnerabilities http://www.frsirt.com/english/advisories/2006/0613[Full-disclosure] Winamp .m3u fun again ;) Winamp .m3u Remote Buffer Overflow Vulnerability (0day) http://seclists.org/lists/fulldisclosure/2006/Feb/0352.html
|
Multiples exploits para vulnerabilidades en Reproductor Windows Media (MS06-005 - MS06-006)
Ya son cuatro los exploits disponibles para las vulnerabilidades recientemente parcheadas por Microsoft en su Reproductor Windows Media (MS06-005 - MS06-006)
Exploits disponibles en Milw0rm:
2006-02-17 MS Windows Media Player 9 Plugin Overflow Exploit (MS06-006) (meta)
2006-02-17 MS Windows Media Player 10 Plugin Overflow Exploit (MS06-006)
2006-02-16 Windows Media Player 7.1 <= 10 BMP Heap Overflow PoC (MS06-005) (2)
2006-02-15 Windows Media Player 7.1 <= 10 BMP Heap Overflow PoC (MS06-005)
Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/02/16/publicado-exploit-para-grave-vulnerabi.html
|
Publicado exploit para grave vulnerabilidad en Windows Media Player (MS06-005)
Se ha hecho público un exploit para la grave vulnerabilidad que afecta al reproductor Windows Media Player, resuelta por la actualización 911565 (MS06-005).
La vulnerabilidad es ocasionada debido a un error de límite en el procesamiento de archivos bitmap (.bmp) y puede ser explotada para ocasionar un desbordamiento de buffer basado en el heap, mediante un archivo bitmap especialmente alterado.
La explotación exitosa de esta vulnerabilidad permite la ejecución de código arbitrario, por ejemplo, cuando el usuario visita una pagina web maliciosa, o abre un documento de Word conteniendo una imágen BMP maliciosa.
eEye Digital Security, que reportó esta vulnerabilidad a Microsoft el 17 de Octubre de 2005, informa que están afectadas todas las versiones del reproductor desde la 7.1 a la 10, en todas las versiones de Windows.
Software afectado:
• Microsoft Windows Media Player 7.1 al 10
* Windows NT 4.0
* Windows 98 / ME
* Windows 2000 SP4
* Windows XP SP1 / SP2
* Windows 2003
Software no afectado:
• Reproductor de Windows Media 6.4 en todos los sistemas operativos Microsoft Windows
• Reproductor de Windows Media 10 con Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 para sistemas con Itanium y Microsoft Windows Server 2003 con SP1 para sistemas con Itanium
• Microsoft Windows Server 2003 x64 Edition
Créditos:
Vulnerabilidad descubierta por Fang Xing, eEye Digital Security
Ref.:
Boletín de seguridad de Microsoft MS06-005
Una vulnerabilidad en el Reproductor de Windows Media podría permitir la ejecución remota de código (911565)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-005-IT.mspx
eEye Digital Security
Windows Media Player BMP Heap Overflow
http://www.eeye.com/html/research/advisories/AD20060214.html
Secunia Advisory: SA18835
Windows Media Player Bitmap File Processing Vulnerability
http://secunia.com/advisories/18835/
FrSIRT/ADV-2006-0574
Microsoft Windows Media Player BMP Handling Vulnerability (MS06-005)
http://www.frsirt.com/english/advisories/2006/0574
FrSIRT - Exploits & Codes
Microsoft Windows Media Player BMP Handling Buffer Overflow Exploit (MS06-005)
http://www.frsirt.com/exploits/20060215.wmp-ms06-005.cpp.php
|
Problemas con parche 913446 de Microsoft (MS06-007)
En el SANS - Internet Storm Center informan que existen muchos usuarios con problemas para instalar el parche 913446 (MS06-007 Vulnerability in TCP/IP Could Allow Denial of Service) en forma automática.
Si bien el parche se descarga, falla al instalarse con este "Error Code: 0x80242006".
La solución, mientras Microsoft no resuelva el problema, es descargar e instalar en forma manual ese parche desde aqui:
Actualización de seguridad para Windows XP (KB913446)
Ref.:
SANS ISC: "Problems with MS patch KB913446 (for the IGMP issue, MS06-007)"
http://isc.sans.org/diary.php?storyid=1121
Resumen de los Boletines de Microsoft del 14 de Febrero (en ingles):
http://www.microsoft.com/technet/security/bulletin/ms06-feb.mspx
Nota: en pocas horas más, los boletines debieran estar disponibles en Español por aquí
[Actualización 15/02/2006, 02:59 a.m. Arg.]
La gente de Microsoft ha confirmado la existencia del problema en este post del "Microsoft Security Response Center Blog":
http://blogs.technet.com/msrc/archive/2006/02/14/419572.aspx
En una nueva actualización del post original, el SANS ISC informa que el problema parece haber sido solucionado.
[Actualización 16/02, 02:59 a.m.]
En efecto, el problema fue resuelto en el día de ayer, según se explica en este post del "Microsoft Security Response Center Blog":
http://blogs.technet.com/msrc/archive/2006/02/15/419604.aspx
|
Vulnerabilidad arrastrar-y-soltar en Internet Explorer (0-day)
Se ha identificado una vulnerabilidad en Microsoft Internet Explorer, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario en el sistema del usuario atacado.
El problema es debido a que Internet Explorer no procesa correctamente ciertos eventos arrastrar-y-soltar.
Un usuario remoto puede crear un html que explote la duración de una operación arrastrar-y-soltar y potencialmente ocasionar la instalación de archivos arbitrarios en el sistema del usuario atacado.
Esto puede ser explotado por sitios web maliciosos para traspasar restricciones de seguridad e insertar ejecutables arbitrarios en un sistema vulnerable, convenciendo al usuario para que seleccione y arrastre un objeto desde una ventana del IE especialmente alterada hacia otra ventana que apunte a recursos locales.
La explotación exitosa de esta vulnerabilidad requerirá de una considerable interacción por parte del usuario, y dependerá de la habilidad del codigo html para predecir el momento del evento de arrastre.
Microsoft fue notificado de esta vulnerabilidad el 3 de agosto de 2005.
No existe solución para esta vulnerabilidad por el momento.
Microsoft planea incluir el parche en Windows Server 2003 SP2 yWindows XP SP3.
Recomendacion:
Desactivar Active Scripting (ActiveX) en las Zonas de seguridad Internet e Intranet Local.
Existen otras sugerencias mas, como por ejemplo:
- Setear el Kill Bit de Shell.Explorer Control, CLSID {8856F961-340A-11D0-A96B-00C04FD705A2}
- Configurar el IE para prevenir la navegación hacia la Zona Intranet Local (Windows XP SP2, Windows Server 2003 SP1)
Créditos: Matthew Murphy Productos afectados: * Microsoft Internet Explorer 5.01 * Microsoft Internet Explorer 5.5 * Microsoft Internet Explorer 6.0 - Windows 98 - Windows 98 SE - Windows ME - Windows 2000 - Windows XP - Windows Server 2003 Ref.: SecurityTracker Alert ID: 1015049 Microsoft Internet Explorer Drag-and-Drop Timing May Let Remote Users Install Arbitrary Files http://securitytracker.com/id?1015049FrSIRT/ADV-2006-0553 Microsoft Internet Explorer Drag and Drop Events Timing Vulnerability http://www.frsirt.com/english/advisories/2006/0553SecuriTeam Microsoft Internet Explorer Drag-and-Drop Redeux http://www.securiteam.com/windowsntfocus/5MP0B0UHPA.htmlSecuriTeam Blog Internet Explorer drag&drop 0day http://blogs.securiteam.com/index.php/archives/286Microsoft Security Response Center Blog Information on IE Drag and Drop Issue http://blogs.technet.com/msrc/archive/2006/02/13/419439.aspx[Full-disclosure] Internet Explorer drag&drop 0day http://seclists.org/lists/fulldisclosure/2006/Feb/0258.html
|
Falso positivo en Microsoft AntiSpyware puede corromper a Symantec Norton Antivirus
Un falso positivo introducido en una reciente actualización de Microsoft AntiSpyware (software antiespías aún en fase beta), está causando serios problemas a usuarios que también utilizan Norton Antivirus de Symantec, ya que detecta erróneamente a cierta entrada en el registro de Windows perteneciente a este antivirus como un ladrón de contraseñas, invitando al usuario a eliminarla.
Según se observa en varios posts en los newsgroups de usuarios de este popular antiespías, las definiciones recientes (version 5805) detectan la mencionada clave
HKEY_LOCAL_MACHINE\Software\Intel\Landesk\VirusProtect6
correspondiente al Norton, como PWS.Bancos.A.
Si el usuario remueve esta clave (con sus correspondientes sub-claves), Norton Antivirus dejará de funcionar correctamente y ya no continuará brindando protección antivirus al equipo.
Los usuarios de Norton Antivirus afectados por este problema, podrán restaurar el sistema a un punto anterior al borrado de esa clave del registro, o bien reinstalar el antivirus nuevamente.
El problema generado por el software de Microsoft, parece haber sido resuelto mediante una nueva actualización de su producto (versión 5807).
Ref.:
SecurityFix - Brian Krebs on Computer Security
Microsoft Anti-Spyware Deleting Norton Anti-Virus
Algunos ejemplos de posts en AntiSpyware newsgroups:
|
Testeados varios productos antivirus por www.virus.gr
www.virus.gr realizó un test de varios productos antivirus y antitroyanos entre el 14 y 22 de diciembre de 2005.
Este test se llevó a cabo en Windows XP Professional SP1 en un P4 2800 Mhz y 512MB DDRAM.
Los distintos programas antivirus estaban al día tanto en definiciones de virus como en actualizaciones de programa y fueron utilizados con sus capacidades de detección al máximo, como por ejemplo, su heurística activa y escaneos profundos (no se utilizó la configuración por defecto), lo cual podría derivar en la detección de falsos positivos.
Se utilizaron 113334 muestras de virus en esta prueba.
Los resultados de detección son los siguientes:
Ranking
1. Kaspersky Personal Pro version 5.0.390- 99.46%
Kaspersky 2006 beta version 6.0.15.222- 99.46%
2. F-Secure 2006 version 6.10.330 - 96.92%
3. CyberScrub version 1.0 - 96.62%
4. eScan Virus Control version 2.6.522.9 - 95.21%
5. McAfee version 10.0.27 - 94.80%
6. BitDefender version 9 - 90.75%
7. Nod32 version 2.50.41 - 88.79%
8. AntiVir Personal version 6.32.00.51 - 86.55%
9. MKS_VIR 2005 - 86.16%
10. Norton Professional version 2006 - 85.17%
11. F-Prot version 3.16d - 84.96%
12. Dr. Web version 4.33 - 84.68%
13. Panda Titanium 2006 version 5.01.00 - 82.02%
14. Virus Chaser version 5.0a - 79.37%
15. AVG version 7.1.371 - 77.97%
16. PC-Cillin 2006 version 14.00.1341 - 77.84%
17. Avast version 4.6.744 - 76.93%
18. BullGuard version 6 - 74.02%
19. UNA version 1.83 - 69.83%
20. Norman version 5.83.07 - 69.13%
21. Sophos Sweep version 3.99 - 67.76%
22. VBA32 version 3.10.5 - 63.36%
23. Zondex Guard version 5.3.3 - 56.81%
24. Vexira 2005 version 5.001.32 - 51.62%
25. ClamWin version 0.87.1 - 48.45%
26. E-Trust version 7.0.6.7 - 47.84%
27. ZoneAlarm with VET Antivirus 6.1.737.000 - 47.70%
28. Digital Patrol version 5.00.08 - 47.02%
29. Ewido version 3.5 - 46.31%
30. V3Pro 2004 - 44.16%
31. Solo 4.0 version 3.1.0 - 42.45%
32. Fire version 2.7 - 38.38%
33. Protector Plus version 7.2.H01 - 38.06%
34. A Squared Personal version 1.6 - 35.31%
35. Quick Heal version 8.00 - 33.76%
36. ViRobot Expert version 4.0 - 32.37%
37. AntiTrojan Shield version 2.1.0.14 - 26.45%
38. PC Door Guard version 4.2.0.35- 26.05%
39. Trojan Hunter version 4.2.908 - 11.53%
40. VirIT version 5.2.53 - 10.33%
41. Tauscan version 1.70.1414 - 7.21%
42. Trojan Remover version 6.4.4 - 7.19%
43. The Cleaner version 4.1.42.52 - 5.97%
44. CounterSpy version 1.5.82 - 5.87%
45. SpySweeper version 4.5.7.642 - 2.99%
46. IP Armor version 5.46.0703 - 2.46%
47. Hacker Eliminator version 1.2 - 1.77%
48. Spyware Doctor version 3.2.2.453 - 1.55%
49. Abacre 1.3 - 0.00%
50. SpyHunter 2.0 - 0.00%
Ref.
http://www.virus.gr/english/fullxml/default.asp?id=72&mnu=72
|
Vulnerabilidad en Internet Explorer 5.x al procesar archivos WMF
Se ha identificado una vulnerabilidad en Microsoft Internet Explorer, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario.
El fallo es debido a un error de corrupción de memoria al procesar archivos de imágen Windows Metafile (WMF) que contengan un encabezado especialmente alterado en su valor tamaño (size).
Esto puede ser explotado para ejecutar código arbitrario, por ejemplo, convenciendo al usuario atacado para que visite un sitio web que albergue un archivo WMF especialmente alterado o mediante un email que contenga un adjunto especialmente alterado.
Productos afectados:
• Microsoft Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000 Service Pack 4
• Microsoft Internet Explorer 5.5 Service Pack 2 en Microsoft Windows Millennium
Productos no afectados:
• Internet Explorer para Microsoft Windows XP SP 1 y Windows XP SP 2
• Internet Explorer para Microsoft Windows XP Professional 64 Bit
• Internet Explorer para Microsoft Windows Server 2003 y Windows Server 2003 SP 1
• Internet Explorer para Windows Server 2003 para Sistemas basados en Itanium
• Internet Explorer para Windows Server 2003 con SP 1 para Sistemas basados en Itanium
• Internet Explorer para Windows Server 2003 x64 Edition
• Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 SP 4
• Internet Explorer 6 Service Pack 1 en Microsoft Windows 98
• Internet Explorer 6 Service Pack 1 en Microsoft Windows 98 SE
• Internet Explorer 6 Service Pack 1 en Microsoft Windows ME
Recomendación de Microsoft:
Actualizar a Internet Explorer 6 SP1, el cual no está afectado.
Descarga de Internet Explorer 6 Service Pack 1 idioma Español
Ref.:
http://www.frsirt.com/english/advisories/2006/0469
http://secunia.com/advisories/18729/
http://www.microsoft.com/technet/security/advisory/913333.mspx
|
Fallo en The Bat! 2.x permite falsear encabezados
Introducción:
The Bat! es un programa de correo fácil de usar, poderoso y seguro (comparado con otros). Posee varias funcionalidades profesionales como templates, macros, filtro Bayesiano para el SPAM (correo basura), etc. Este es un producto comercial de RitLabs.
Vulnerabilidad:
Existe un defecto de diseño en la forma en que The Bat! muestra los mensajes con formato "Content-Type: message/partial". Este tipo de mensajes, son distribuidos en partes más pequeñas y luego son reconstruidos en un único mensaje al ser recibidos por el gestor de correo. Este mecanismo denominado "Message Fragmentation and Reassembly" (RFC 2046 - 5.2.2.1) suele ser utilizado a efectos de enviar mensajes de gran tamaño cuando agentes de transporte intermedios limitan el tamaño de los mismos.
"Content-Type: message/partial" indica entonces que el cuerpo del mensaje contiene un fragmento del mismo.
Debido a este problema en The Bat!, es posible falsear los encabezados RFC 822 o el mensaje original, como por ejemplo, las líneas "Received:" y "Message-ID:". La explotación exitosa de este fallo posibilita la creación de un mensaje "no rastreable", y falsear el origen del mismo, incluyendo la información de la red del remitente.
Detalles:
The Bat! re-ensambla silenciosamente los mensajes parciales y muestra datos encapsulados. Los encabezados que muestra son aquellos del mensaje encapsulado, perdiéndose por completo los encabezados reales.
Exploit - Prueba de Concepto (PoC):
Reemplazar @example.com por la direccion de destino
http://www.security.nnov.ru/files/thebatexploit.txt
Recomendación:
No confiar en los encabezados que muestra The Bat! 2.x
Versiones afectadas:
El fallo ha sido verificado en The Bat! 2.12.04, otras versiones anteriores también podrían estar afectadas.
Solución:
Actualizar a The Bat! 3.5 (o superior).
http://www.thebat-es.com/download.html
Créditos:
3APA3A - http://www.security.nnov.ru/
Ref.:
SECURITY.NNOV: The Bat! 2.x message headers spoofing (06.02.2006)
http://www.security.nnov.ru/Ldocument310.html
[Actualización 08/02/2006]
Añadida mayor información sobre versiones afectadas y no afectadas.
|
DoS en Internet Explorer con Shockwave Flash [JScript's document.write() method]
Se ha reportado una vulnerabilidad del tipo DoS (Denegación de Servicio) en Internet Explorer.
Un usuario remoto puede crear un archivo html que contenga código script especialmente alterado que, al ser cargado por el navegador del usuario atacado, ocasionará el fallo o cuelgue del mismo.
El código script invoca un archivo Shockwave Flash para generar el fallo.
Existen un par de exploits de demostración en las siguientes direcciones:
DoS exploit en IE:
http://www.anspi.pl/~porkythepig/iedown.html
Cuelgue al oprimir el botón derecho del mouse:
http://www.anspi.pl/~porkythepig/index.html
Plataformas vulnerables en que fue testeado el IE:
Windows 2000 sp4 con todos los parches al día
Windows XP sp2
Windows XP64
Windows 98 SE
Según el autor de los exploits, la posibilidad de ejecutar código arbitrario mediante este fallo aún no ha sido verificada, aunque podría existir.
Solución:
No existe solución para este fallo por el momento.
Créditos:
porkythepig
Ref.:
SecurityTracker Alert ID: 1015559
Microsoft Internet Explorer Shockwave Flash Scripting Bug Lets Remote Users Deny Service
http://securitytracker.com/id?1015559
Bugtraq:
Internet Explorer remotely exploitable vulnerability in JScript's document.write() method
http://seclists.org/lists/bugtraq/2006/Feb/0010.html
|
Mapa mundial de máquinas infectadas con el gusano Kama Sutra
La gente de F-Secure ha estado operando en conjunto con RCN, la compañía que aloja el contador de infecciones utilizado por el gusano Nyxem.E (alias Kama Sutra).
Luego de filtrar las direcciones IP de los (ro)bots que han estado haciendo incrementar el contador últimamente, F-secure utilizó su tecnología WORLMAP para mapear las direcciones IP hacia un mapa.
Como resultado de ésto obtuvieron una visión de las máquinas infectadas en todo el mundo.
Nyxem.E comienza a sobrescribir archivos media hora después de que la máquina infectada sea iniciada, el día 3 de cada mes. F-Secure le agradece a Jason Nealis y Chris Jackman por su generosa ayuda en la investigación de este asunto. Entrada relacionada: http://marcelo.zoomblog.com/archivo/2006/01/25/alerta-Crecen-las-infecciones-con-el-g.htmlRef.: F-Secure Blog: Nyxem on a world map http://www.f-secure.com/weblog/archives/archive-022006.html#00000800URL del "contador secreto" (alterado por bots) del gusano Kama Sutra (Nyxem.E): http://webstats.web.rcn.net/cgi-bin/Count.cgi?df=765247[Actualización 04/02/2006]: Añadido enlace a mapa en alta resolución, URL del contador, e información omitida inicialmente.
|
Otros mensajes en Febrero del 2006
|
El Blog
Alojado en
|
