Marcelo.ar

Se ha reportado una vulnerabilidad en RealPlayer, cuya explotación exitosa permite la ejecución de código arbitrario en el sistema del usuario atacado.

Descripción:
La vulnerabilidad es ocasionada debido a un error de límite en el módulo "vidplin.dll" al procesar un encabezado AVI.

Impacto:
Un usuario malicioso puede crear un archivo AVI especialmente alterado que al ser abierto por el usuario atacado ocasionará un error de corrupción de heap (*) en "vidplin.dll" y posibilitará la ejecución de código arbitrario.

Solución:
Actualizar a la versión 14.0.2 de RealPlayer

Créditos:
Vulnerabilidad descubierta por Juan Pablo Lopez Yacubian

(*) Glosario:
El término Heap indica una porción de memoria disponible para un programa, también llamada área de memoria dinámica. el heap es el área en que la asignación y desasignación de memoria ocurre en orden aleatorio. http://bit.ly/e3Sxkb

Referencias:

SecurityTracker Alert ID: 1024998
RealPlayer Heap Corruption Error in 'vidplin.dll' Lets Remote Users Execute Arbitrary Code
http://www.securitytracker.com/id/1024998

Secunia Advisory SA43098
RealPlayer AVI Header Parsing Buffer Overflow Vulnerability
http://secunia.com/advisories/43098/

Zero Day Initiative
Realplayer vidplin.dll AVI Parsing Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-11-033/

A unos días de cumplirse un año del "Martes 13 para usuarios del AVG Free", la historia se repite.

El pasado 9 de noviembre de 2008, muchos usuarios del AVG fueron damnificados nuevamente por un error en la actualización de su virus database.
En esta ocasión, el AVG daba erróneamente como infectado (falso positivo) al archivo user32.dll con Trojan Horse PSW.Banker4.APSA.

Las consecuencias de esta nueva negligencia por parte de AVG Technologies (ex-Grisoft), es que una enorme cantidad de usuarios de Windows XP se quedó sin Sistema Operativo luego de enviar a Virus Vault el user32.dll, ya que luego de ello no lograrían iniciar su PC, a menos que fueran usuarios avanzados como para restablecer el mencionado archivo a su ubicación original.

Este update defectuoso solo afectó a las versiones de Windows XP en Español, Alemán, Italiano, Francés y Portugués.

Si bien el falso positivo desapareció con una actualización posterior, pocos días después se presento un nuevo falso positivo que daba como potencialmente malicioso al Adobe Flash Player.

Un mes atrás, otro falso positivo del AVG daba como infectado al ZoneAlarm con trojan horse Agent_r.cx
http://freeforum.avg.com/read.php?4,151575,151575

Esto nos da tres falsos positivos graves en un período de un mes.

Una buena opción es reemplazar al poco confiable AVG por el Avast!, que también es gratuito para uso personal.

Ref.
Security and the Net:
AVG virus scanner removes critical Windows file
AVG offers free license and another false positive
The Register:
AVG slaps Trojan label on Adobe Flash
AVG Free Forum:
Trojan Horse PSW.Banker4.APSA

El pasado martes 13 de noviembre de 2007, muchos usuarios del AVG fueron damnificados por un error en la actualización de su virus database.
Debido a eso, el AVG daba erróneamente como infectado (falso positivo) al archivo user32.dll con "Trojan horse Generic9.TBN" motivo por el cual, quienes seleccionaban la opción de enviar a cuarentena o limpiar el mencionado archivo, en la práctica, se quedaban sin Sistema Operativo, debido a que Windows no podría reiniciar correctamente sin éste.

El problema parece haber sido resuelto con la actualización del martes 13 por la tarde, pero quienes se quedaron sin S.O. por la mañana debido al update defectuoso, quizás nunca se enteren del motivo.

En este post de Taringa!  hay soluciones para los usuarios afectados por el update defectuoso del AVG.
El post mencionado, en realidad es un 'copiar & pegar' (sin citar la fuente) de este post del blog de un usuario afectado, pero lo cito debido a que hay buenos comentarios de algunos usuarios, por ejemplo, el de "nanubcn" que aporta una solución.

Espero que no hayan habido muchos damnificados por esta nueva negligencia por parte de Grisoft, que dicho sea de paso, en su foro del AVG Free, apenas hay un post mencionando este problema, que solo parece haber afectado a usuarios de Windows en Español:
http://forum.grisoft.cz/freeforum/read.php?4,109767

[Actualización 16/11/07, 01:05 am]
Según lo que se comenta en este foro, queda prácticamente confirmado que el problema solo se presentó en versiones de Windows XP en español.
La actualización del AVG que generó el problema fue la AVI 269.15.30/1127, disponible el 12 de Nov 2007 10:41 pm, y (aparentemente), fue resuelto con la actualización AVI 269.15.31/1128, disponible el 13 de Nov 2007 12:20 pm.
En ese mismo foro, en el post nro 4 se da otra posible solución con los pasos a seguir (en español), para resolver el problema.

Ref.:
http://weblog.dhispano.com/2007/11/avg-me-ha-detectado-un-virustrojan.html
http://weblog.dhispano.com/2007/11/trojan-horse-generic9tbn-otra-solucin.html
http://www.psicofxp.com/forums/seguridad-informatica.47/565740-se-me-reinician-dos-pcs.html
http://www.bloodzone.net/forums/showthread.php?p=503950
http://www.forospyware.com/t127375.html
http://blog.pablomedrano.com.ar/?p=26

El SANS ISC ha recibido muchos emails durante el día, provenientes de usuarios que están experimentando problemas ocasionados por el parche de Microsoft 925902 (MS07-017).

Uno de los problemas, que se presenta cuando Realtek HD Audio Control Panel (Rthdcpl.exe) está instalado,  ha sido confirmado por Microsoft y ha provisto este articulo y este parche para quienes experimenten el siguiente mensaje de error:

Otros posibles problemas han sido reportados y estan siendo investigados.

Ref.:
SANS Internet Storm Center
Microsoft Patch Maybe Causing Some Problems
http://isc.sans.org/diary.html?storyid=2565

Se han identificado múltiples vulnerabilidades en AVG Anti-Virus, las cuales podrían ser explotadas por atacantes remotos para ocasionar un DoS (denegación de servicio) o comprometer el sistema vulnerable.

1) Un error de desborde de entero al procesar archivos CAB puede ser explotado para ocasionar un desbordamiento de buffer basado en el heap mediante un archivo CAB especialmente alterado.

2) Un error no especificado al procesar archivos RAR puede ser explotado para ocasionar un desbordamiento de buffer basado en el heap mediante un archivo RAR especialmente alterado.

3) Un error de variable no inicializada existente durante el proceso de archivos CAB.

4) Un error de division por cero al procesar archivos .DOC podría ocasionar en ciertos casos una Condición DoS (Denegación de Servicio) mediante un archivo .doc especialmente alterado.

5) Un error no especificado durante el proceso de archivos ejecutables (.exe).

La explotación exitosa de estas vulnerabilidades podría ocasionar el fallo del software o la ejecución de código arbitrario.

Estas vulnerabilidades han sido reportadas en las versiones anteriores a la 7.1.407

Solución:
Actualizar a la versión más reciente del AVG, o bien chequear que se utiliza la versión 7.1.407 (disponible desde el pasado 20 de septiembre) o posterior.

Créditos:
Vulnerabilidades descubiertas por Sergio "shadown" Alvarez y n.runs.

Ref.:

Secunia Advisory: SA22811
AVG Anti-Virus Multiple File Parsing Vulnerabilities
http://secunia.com/advisories/22811/

FrSIRT/ADV-2006-4498
AVG Anti-Virus File Parsing Code Execution and Denial of Service Vulnerabilities
http://www.frsirt.com/english/advisories/2006/4498

Grisoft: Program update AVG 7.1.407
http://www.grisoft.com/doc/36365/lng/us/tpl/tpl01

H D Moore ha descubierto una vulnerabilidad de gravedad extremadamente crítica en Microsoft Internet Explorer.

La vulnerabilidad es debida a un error de desbordamiento de buffer al procesar un objeto "WebViewFolderIcon" con un método "setSlice()" especialmente alterado.
Esto puede ser explotado para ocasionar una corrupción de memoria al visitar un sitio web malicioso.
La explotación exitosa de esta vulnerabilidad permite la ejecución de código arbitrario.

Nota: Se ha hecho público un exploit funcional.

Solution recomendada por FrSIRT:
Setear el kill bit para CLSID {e5df9d10-3b52-11d1-83e8-00a0c90dc849} :
http://www.frsirt.com/IE-WebViewFolderIcon-Killbit.reg

Otras recomendaciones:
- Desactivar ActiveX para todos los sitios, excepto para los los de confianza.
- No usar Internet Explorer, reemplazarlo por Opera, Mozilla Firefox, o alguno basado en éste último.

Créditos:
Vulnerabilidad reportada por H.D. Moore

Ref.:
http://secunia.com/advisories/22159/
http://www.frsirt.com/english/advisories/2006/2882
http://browserfun.blogspot.com/2006/07/mobb-18-webviewfoldericon-setslice.html

Se ha reportado una vulnerabilidad calificada como extremadamente crítica en Microsoft PowerPoint.

La vulnerabilidad es debida a un error no especificado al procesar documentos PowerPoint que contengan una cadena (string) malformada.
Esto puede ser explotado para corromper la memoria del sistema y permitir la ejecución de código arbitrario al abrir un documento PowerPoint malicioso.

Nota: esta vulnerabilidad está siendo actualmente explotada por Trojan.Controlppt.W y Trojan.Controlppt.X (también conocido como PPDropper.F y Exploit-PPT.d).

Productos afectados:
Microsoft PowerPoint 2000
Microsoft PowerPoint 2002
Microsoft PowerPoint 2003
Microsoft PowerPoint 2004 para Mac
Microsoft PowerPoint 2004 v. X para Mac

Recomendación:
Utilizar PowerPoint Viewer 2003 para abrir y ver estos archivos: 

Ref.:
http://secunia.com/advisories/22127/
http://www.frsirt.com/english/advisories/2006/3794
http://www.microsoft.com/technet/security/advisory/925984.mspx

Se ha descubierto una vulnerabilidad calificada como Altamente Crítica en Microsoft Windows, la cual podría ser explotada por atacantes remotos para tomar el control completo del sistema afectado.

El fallo es debido a un error de desbordamiento de buffer en la librería de renderizado Microsoft Vector Graphics (Vgx.dll) al procesar ciertos documentos VML (Vector Markup Language) especialmente alterados, lo cual podría ser explotado por atacantes remotos para ocasionar una condición de Denegación de Servicio (DoS) o ejecutar código arbitrario con solo convencer al usuario atacado para que visite una página web maliciosa con Internet Explorer o bien al leer un mensaje html especialmente alterado en un cliente de correo como el Outlook Express (y otros que dependan del IE para mostrar este tipo de mensajes con formato).

La vulnerabilidad ha sido confirmada en un sistema Windows XP SP2 completamente parcheado.

Esta vulnerabilidad está siendo actualmente explotada por sitios maliciosos.

Solución:
No existe parche para esta vulnerabilidad

Recomendaciones de Microsoft:
- Desregistrar Vgx.dll
- Desactivar ActiveX en las zonas Internet e Intranet Local
- Configurar Outlook Express para leer los mensajes en texto plano

Otras recomendaciones:
No utilizar Internet Explorer, en su reemplazo elegir alguno de los siguientes:
- Mozilla Firefox
- SeaMonkey
- K-Meleon
- Netscape
- Flock
- Opera

Créditos:
Vulnerabilidad decubierta por estar siendo actualmente explotada "in the wild".
Exploit prueba de concepto provisto por Sunbelt Software

Ref.:
http://www.frsirt.com/english/advisories/2006/3679
http://www.microsoft.com/technet/security/advisory/925568.mspx
http://secunia.com/advisories/21989/

Mozilla Firefox 1.5.0.7 resuelve en total siete vulnerabilidades (cuatro calificadas como críticas, dos moderadas y una de baja gravedad).
La mayor parte de estas vulnerabilidades también afectan a SeaMonkey (ex-Mozilla Suite) y al cliente de correo Thunderbird.

Se recomienda actualizar a las versiones parcheadas:

Firefox 1.5.0.7 (todos los idiomas)
http://www.mozilla.com/firefox/all.html

Thunderbird 1.5.0.7 (todos los idiomas)
http://www.mozilla.com/thunderbird/all.html

SeaMonkey 1.0.5
http://www.mozilla.org/projects/seamonkey/

Ref.:
Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html

Se han identificado múltiples vulnerabilidades en el reproductor Adobe Macromedia Flash Player, las cuales podrían ser explotadas por atacantes remotos para traspasar restricciones de seguridad o tomar por completo el control de un sistema afectado.

El primer fallo es debido a errores de validación de entrada al manejar cadenas generadas en forma dinámica demasiado extensas, lo cual podría ser explotado por atacantes remotos para ejecutar comandos arbitrarios mediante una página web maliciosa.

El segundo problema es debido a un error existente en la opción "allowScriptAccess", lo cual podría ser explotado por sitios web maliciosos para traspasar restricciones de seguridad y llevar a cabo ataques del tipo cross domain scripting.

La tercer vulnerabilidad es debida a un error en la forma en que el control ActiveX es invocado por los productos Microsoft Office, lo cual podría ser explotado por atacantes para ejecutar código arbitrario, sin requerir interacción por parte del usuario, cuando se abre un documento Office malicioso.

Productos afectados:
Adobe Macromedia Flash Player, versiones anteriores a la 9.0.16.0
Adobe Macromedia Flash Player, versiones anteriores a la 8.0.33.0
Adobe Macromedia Flash Player, versiones anteriores a la 7.0.68.0
Adobe Macromedia Flash Player, versiones anteriores a la 7.0.66.0
Adobe Macromedia Flex, versiones anteriores a la 7.0.65.0

Solución:
Actualizar a las versiones parcheadas.

Descarga de la versión mas reciente de Flash Player (9.0.16.0):
http://www.adobe.com/go/getflashplayer/
El sitio detecta automáticamente la versión correcta a descargar según el navegador utilizado.

Los usuarios de sistemas operativos que no soportan Flash Player 8 o superior (Microsoft Windows 95, Microsoft Windows NT, etc.) podrán actualizarse a "Flash Player 7r68" desde este enlace:
http://www.adobe.com/go/d9c2fe33

Existe una versión específica para Internet Explorer y otra para los navegadores Firefox y Opera.
Los usuarios de SeaMonkey, K-Meleon, Firefox, u Opera deberán descargar e instalar la versión para Netscape.

Es aconsejable verificar que se utiliza una versión no vulnerable desde este enlace:
http://www.adobe.com/products/flash/about/
o ...
http://www.adobe.com/shockwave/welcome/

En caso de utilizar más de un navegador, realizar la verificación para cada uno de ellos.

Créditos:
Vulnerabilidades reportadas por Stuart Pearson (Computer Terrorism UK Ltd), Dejun Meng y Debasis Mohanty.

Ref.:
http://www.frsirt.com/english/advisories/2006/3573
http://www.adobe.com/support/security/bulletins/apsb06-11.html

Se ha identificado una vulnerabilidad de gravedad crítica en Microsoft PowerPoint, la cual podría ser explotada por atacantes remotos para tomar el control completo de un sistema afectado.

La vulnerabilidad es debida a un error de corrupción de memoria en la librería "mso.dll" durante el proceso de un documento PowerPoint malformado, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario con solo convencer a un usuario para que abra un documento *.ppt especialmente alterado.

Importante: Se trata de una vulnerabilidad "0 day", es decir, desconocida hasta la fecha, para la cual aún no existe parche y que está actualmente siendo explotada por Trojan.PPDropper.B

Algunos de los Productos afectados:
- Microsoft PowerPoint 2000
- Microsoft PowerPoint 2002
- Microsoft PowerPoint 2003
- Microsoft Office 2000
- Microsoft Office XP
- Microsoft Office 2003

Nota: aún no se sabe con certeza, por ejemplo, si la utilidad "PowerPoint Viewer" está o no afectada

Recomendación:
No abrir documentos PowerPoint (*.ppt, etc.) no solicitados o de origen no confiable.

Ref.:
FrSIRT/ADV-2006-2795
Microsoft PowerPoint Presentation Handling Client-Side Memory Corruption Vulnerability
http://www.frsirt.com/english/advisories/2006/2795

Secunia Advisory: SA21040
Microsoft PowerPoint Unspecified Code Execution Vulnerability
http://secunia.com/advisories/21040/

Más información (en inglés):

SANS - Internet Storm Center
0-day exploit for Microsoft PowerPoint
http://isc.sans.org/diary.php?storyid=1484

Securiteam Blog
Microsoft PowerPoint 0-day Vulnerability FAQ
http://blogs.securiteam.com/index.php/archives/508

SOPHOS
Chinese words of love exploit PowerPoint day zero flaw
http://www.sophos.com/pressoffice/news/articles/2006/07/chinesewords.html

Microsoft Security Response Center Blog
Information on the recent Powerpoint vulnerability
http://blogs.technet.com/msrc/archive/2006/07/14/441893.aspx

---

---

Se ha descubierto una vulnerabilidad de gravedad crítica en Internet Explorer, la cual podría ser explotada por atacantes remotos para ocasionar el fallo del navegador vulnerable o, potencialmente, tomar el control completo de un sistema afectado.

El fallo es debido a un error de corrupción de memoria en el control ActiveX HTML Help (hhctrl.ocx) al procesar una propiedad "Image" especialmente alterada, lo cual podría ser explotado por atacantes remotos para ocasionar una condición de Denegación de Servicio (DoS) o ejecutar código arbitrario con solo convencer al usuario atacado para que visite una página web maliciosa.

Esta vulnerabilidad ha sido confirmada en Windows XP SP2 con Internet Explorer 6.0, con todos sus parches al día. Otras versiones también podrían estar afectadas.

Recomendación:
Desactivar ActiveX para todos los sitios, excepto para los de confianza.

Solución:
Al momento de publicar esta entrada no existe parche para esta vulnerabilidad.

Créditos:
HD Moore
http://browserfun.blogspot.com/

Ref.:
Secunia Advisory: SA20906
Internet Explorer HTML Help ActiveX Control Memory Corruption
http://secunia.com/advisories/20906/

FrSIRT/ADV-2006-2635
Microsoft Internet Explorer HTML Help Control "HHCtrl" Memory Corruption Vulnerability
http://www.frsirt.com/english/advisories/2006/2635

Reporte original:
MoBB #2: Internet.HHCtrl Image Property
http://browserfun.blogspot.com/...

Se ha descubierto una vulnerabilidad en el navegador Opera, cuya explotación exitosa podría permitir la ejecución de código arbitrario.

La vulnerabilidad es debida a un incorrecto procesamiento de archivos de imágen JPEG.
Si en un archivo JPEG se especifican valores correspondientes a alto y ancho demasiado extensos, se producirá un desbordamiento de entero que podría ocasionar que Opera asigne memoria insuficiente para la imágen. Esto conducirá a un desbordamiento de buffer cuando dicha imágen sea cargada en memoria, posibilitando la ejecución de código arbitrario.

Productos afectados:
Opera 8.54 y anteriores

Solución:
Actualizar a Opera 9.00 (o superior)
http://opera.com/download/

Créditos:
Vulnerabilidad reportada por Chris Ries

Tiempos de divulgación:
Reportada al fabricante: 25/4/2006
Vulnerabilidad resuelta: 20/6/2006

Ref.:
Bugtraq: VigilantMinds Advisory: Opera JPEG Processing Integer
Overflow Vulnerability (VMSA-20060621-01)
http://seclists.org/lists/bugtraq/2006/Jun/0576.html

Se ha reportado una vulnerabilidad en Opera 9.00 , mediante la cual un atacante remoto puede ocasionar una condición de Denegacion de Servicio (DoS)

Un usuario remoto malicioso puede crear un documento HTML con una etiqueta HREF especialmente alterada, que al ser cargado por el navegador vulnerable, ocasionará el fallo o cuelgue del mismo.

Exploit de demostración (ocasiona el fallo de Opera 9.00):
http://www.critical.lt/research/opera_die_happy.html

Nota: Las versiones de Opera anteriores a la 9.00 no están afectadas por este fallo, aunque si lo están por otra vulnerabilidad que permite la ejecución de código arbitrario mediante archivos JPEG maliciosos (sobre la cual informo en otro post del día de hoy), cosa que no se ha demostrado que sea factible mediante la vulnerabilidad aquí descripta, de modo que es altamente recomendable actualizar a la versión 9.x mas reciente.

Créditos:
Povilas Tumenas (también conocido como "N9")

Ref.:
SecurityTracker Alert ID: 1016359
Opera Memory Error in Processing Long HREF Tags Lets Remote Users Deny Service
http://securitytracker.com/id?1016359

SecurityFocus
Opera Malicious HTML Processing Denial of Service Vulnerability
http://www.securityfocus.com/bid/18585/discuss

Bugtraq: Opera 9 DoS PoC
http://seclists.org/lists/bugtraq/2006/Jun/0548.html

Se ha descubierto una debilidad en Yahoo! Messenger, la cual puede ser potencialmente explotada por atacantes remotos para ocasionar una condición de Denegación de Servicio (DoS).

Esta debilidad es ocasionada debido a un error en el manejo de ciertos mensajes. Esto puede ser explotado para ocasionar el fallo del cliente Yahoo! Messenger de otro usuario mediante el envío de un mensaje especialmente alterado que contenga ciertos caracteres "no ASCII".

Ejemplo:
Ver reporte original

Esta debilidad ha sido confirmada en la versión 7.5.0.814. Otras versiones también podrían estar afectadas.

Recomendación:
Configurar Yahoo! Messenger para que ignore usuarios no incluidos en la lista del mensajero.

Créditos:
Descubierto por Ivan Ivan <ivancool2003[_arroba_]yahoo.com.ar>

Ref.:
Secunia Advisory: SA20773
Yahoo! Messenger Denial of Service Weakness
http://secunia.com/advisories/20773/

Yahoo messenger bug
http://www.security.nnov.ru/Ndocument274.html

Se ha identificado una vulnerabilidad de gravedad crítica en Microsoft Windows.

La vulnerabilidad es debida a un error de desbordamiento de buffer en la librería de hipervínculos "hlink.dll" que no maneja correctamente un enlace demasiado extenso en, por ejemplo, un documento Excel, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario con solo convencer a un usuario para que haga clic en un hipervínculo especialmente alterado de un documento Excel malicioso.

Nota: Existe un exploit "prueba de concepto" disponible.

Solución:
Aún no existe parche para esta vulnerabilidad.

Recomendación:
No abrir documentos no confiables de Microsoft Office.
No seguir enlaces desde documentos de Microsoft Office.

Productos afectados:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 (Itanium)
Microsoft Windows Server 2003 SP1 (Itanium)
Microsoft Windows Server 2003 x64 Edition

Microsoft Excel 2003
Microsoft Excel Viewer 2003
Microsoft Excel 2002
Microsoft Excel 2000
Microsoft Office 2000
Microsoft Office 2003
Microsoft Office XP

Créditos:
Vulnerabilidad reportada por kcope

Ref.:
Secunia Advisory: SA20748
Microsoft Office Long Link Buffer Overflow Vulnerability
http://secunia.com/advisories/20748/

FrSIRT/ADV-2006-2431
Microsoft Windows Hyperlink Library Long Link Handling Buffer Overflow
Vulnerability
http://www.frsirt.com/english/advisories/2006/2431

Se ha descubierto una vulnerabilidad de gravedad crítica en el reproductor multimedia Winamp de Nullsoft.

La vulnerabilidad es debida a un error de desbordamiento de buffer en la librería "in_midi.dll" que no maneja correctamente los encabezados de archivos MIDI, lo cual podría ser explotado por atacantes remotos para ocasionar el fallo de la aplicación o ejecutar código arbitrario con solo convencer al usuario atacado para que visite una página web maliciosa o que abra un archivo ".mid" especialmente alterado.

Esta vulnerabilidad fue reportada al fabricante el pasado 19 de abril.

Productos afectados:
Winamp 5.21 y anteriores

Solución:
Actualizarse a Winamp 5.22 o superior.
Descarga de la Version Free y Pro:
http://www.winamp.com/player/index.php

Créditos:
Fortinet Security Research Team

Ref.:
http://www.frsirt.com/english/advisories/2006/2422
http://www.fortinet.com/FortiGuardCenter/advisory/FG-2006-16.html

Se ha descubierto una vulnerabilidad en Microsoft Excel, la cual puede ser explotada por atacantes remotos para comprometer el sistema de un usuario.

El fallo es debido a un error no especificado al procesar documentos .xls especialmente alterados.
La explotación exitosa de esta vulnerabilidad posibilita la ejecución de código arbitrario con solo convencer al usuario para que abra un documento Excel malicioso.

Nota: se trata de una vulnerabilidad del tipo "0-day" (para la cual aún no existe parche) que esta siendo actualmente explotada por Trojan.Mdropper.J.

Esta vulnerabilidad ha sido confirmada en un sistema Windows XP SP2 con Microsoft Excel 2003 SP2 completamente parcheado. Otras versiones también podrían estar afectadas.

Se recomienda no abrir documentos Excel que provengan de fuentes no confiables.

Ref.:
http://secunia.com/advisories/20686/
http://www.frsirt.com/english/advisories/2006/2361
http://isc.sans.org/diary.php?storyid=1420

Anthony, un estudiante de 14 años descubrió una vulnerabilidad en Gmail y publicó los detalles en su blog alojado en Blogger (perteneciente a Google al igual que Gmail).

El fallo en Gmail, permitía la ejecución de código JavaScript insertado en el cuerpo del mensaje, con solo acceder a la vista previa de Inbox (lo primero que se ve al acceder a Gmail), es decir, que no hacía falta ver el mensaje, era suficiente con visualizar el corto texto que muestra la mencionada vista previa de la Bandeja de entrada junto al "Asunto" del mensaje con el texto inicial del mismo (ver captura).

Para obtener la mayor cantidad de espacio posible a efectos de ejecutar código era necesario crear un mensaje con asunto lo mas breve posible de modo que el código quepa en la parte previsualizada del texto del mensaje, y ademas insertar antes del código un pequeño texto a efectos de que el mismo no sea tratado como texto quoteado.

Esto no podía explotarse enviando un mensaje especialmente alterado desde Gmail a Gmail, pero si, por ejemplo, desde una cuenta de Yahoo a una de Gmail.

La explotación exitosa de este fallo podría ocasionar el compromiso de la cuenta del usuario atacado, mediante la captura de direcciones de email y robo de cookies.

Esta vulnerabilidad fue rápidamente resuelta por Google luego de haber sido publicados los detalles por el autor.

Ver ejemplos en las referencias citadas a continuación:

Ref.:

Vulnerability in Gmail (Blog de Anthony)
http://ph3rny.blogspot.com/2006/03/vulnerability-in-gmail.html

Gmail Vulnerability Allows JavaScript To Run
By Nathan Weinberg
http://google.blognewschannel.com/...

GMail vulnerability: GMail runs javascript in body
http://googlesystem.blogspot.com/2006/03/gmail-vulnerability-gmail-runs_01.html

14 year old discovers Gmail vulnerability
http://techzap.net/2006/03/02/14-year-old-discovers-gmail-vulnerability/

SANS ISC: "Gmail javascript vulnerability (fixed)"
http://isc.sans.org/diary.php?storyid=1161

[Actualizado 02/03/2006]
Motivo por el cual los desbordamientos de buffer no son explotables en The Bat!
(ver al final del post)

---

A pesar de lo que informan algunos medios, las versiones 1.x, 2.x y -al menos- la 3.02.10 de The Bat! no estan afectadas por el fallo de desbordamiento de buffer descripto en este post:
Vulnerabilidad en The Bat! 3.60.07 permite ejecutar código arbitrario

En  el  foro batboard.de, "de-bugger" (Miroslav) probó  las  versiones  1.62r, 2.12.04, 3.02.10, y 3.60.07 en distintos Windows (XP/2000/98).
Miroslav solo pudo generar el fallo al probar la versión 3.60.07 (la que fue reportada como vulnerable en este mensaje a Bugraq):

"Pufferüberlauf in The Bat!, Update auf Final 3.71 zwingend"
post: "25.02.2006, 11:39"
http://www.batboard.net/index.php?showtopic=5912
Traduccion al ingles de ese post mediante herramientas del idioma de Google:
Buffer overflow in The Bat!

Lo mismo informa en la web http://bat-mail.de.vu/ (en aleman)
Esta es la traducción al ingles del texto:

25.02.2006
Buffer overflow in TheBat!
Heise  Security  reports the TheBat in a News message,! with excessive
lines  for  reference  text to a buffer overflow is susceptible. First
tests  which  I  with  excessive  lines for reference text (up to 8000
words  in  the  reference) resulted in, that accomplished the versions
v1.x  (v1.62r)  and v2.x (v2.12.04) of TheBat! by this problem are not
affected.  Starting  from  when exactly the problem arises with the v3
cannot  I not say, at least showed the version v3.02.10 (old GUI) also
no  reaction  to  excessive  lines  for  reference  text.  The version
v3.60.07 against it said good-bye without comment.

Cualquiera podría pensar que lo más fácil para estar a salvo de este fallo es actualizarse a la versión más reciente de The Bat!, sin embargo, para actualizarse desde una versión, por ejemplo, la 1.62 a la 3.71, hay que pagar, ya que no sirve la misma licencia.

Nota: Según lo que comenta NetVicious (quien es uno de los moderadores del GDUTB con amplios conocimientos sobre este gestor de correo), The Bat! esta programado en Delphi, de modo que no es factible ejecutar codigo arbitrario mediante ataques del tipo desbordamiento de buffer, solo se podría ocasionar que The Bat! de un error.
Enlaces provistos por NetVicious:
http://en.wikipedia.org/wiki/Talk:Buffer_overflow#Choice_of_programming_language
http://www.mail-archive.com/tbudl@thebat.dutaint.com/msg12019.html

NSFocus Security Team ha reportado una vulnerabilidad en Winamp, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario u ocasionar el fallo del software.

Detalles:
Winamp puede reproducir archivos mediante la carga de un archivo de lista de reproducción .m3u.
Cuando la reproducción es pausada o detenida, Winamp reseteará el título del programa que está siendo reproducido, donde la función "strncpy()" es incorrectamente invocada, como resultado de lo cual se producirá un desbordamiento de buffer.
El atacante remoto podrá ocasionar el fallo (crash) de Winamp mediante un archivo .m3u especialmente alterado. La ejecución de código en forma remota es posible, aunque dificultosa.

Casi simultaneamente, Information Risk Management Plc. reportó una vulnerabilidad idéntica a la descubierta por NSFOCUS:

Detalles:
Winamp 5.13 (y anteriores) es susceptible a una condición de desbordamiento de buffer cuando una lista de reproducción (m3u or pls) cuyo nombre de archivo especialmente alterado esté embebido dentro de otra lista de reproducción m3u.

Productos afectados:
Winamp 5.13 (y anteriores)

Solución:
Estas y otras vulnerabilidades fueron resueltas en Winamp 5.2
http://www.winamp.com/player/index.php

Créditos:
Liu Yexin, NSFOCUS Security Team.
P Robinson, Information Risk Management Plc.

Ref.:
SecurityTracker Alert ID: 1015675
Winamp Buffer Overflow in Processing '.m3u' Program Titles May Let Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2006/Feb/1015675.html

NSFOCUS Security Advisory(SA2006-01)
Winamp m3u File Processing Buffer Overflow Vulnerability
http://www.nsfocus.com/english/homepage/research/0601.htm

IRM Security Advisory No. 018
Winamp 5.13 m3u Playlist Buffer Overflow
http://www.irmplc.com/advisory018.htm

Winamp - version history
http://www.winamp.com/player/version_history.php

Entrada relacionada:
http://marcelo.zoomblog.com/archivo/2006/02/18/denegacion-de-Servicio-en-Winamp-513.html

NSA Group (www.nsag.org) reporta una vulnerabilidad de gravedad crítica en The Bat!

La vulnerabilidad existe debido a un chequeo insuficiente del tamaño del buffer de una variable en la cual se copian datos del campo "Subject" (asunto del mensaje).

Al recibir un mensaje especialmente alterado cuyo campo "Subject" contenga 4038 bytes, se generará un desbordamiento de buffer que posibilitará al atacante malicioso la ejecución de código arbitrario.

Tiempos de divulgación:
19/11/2005 - Notificación al fabricante.
12/12/2005 - Respuesta del fabricante.
22/02/2006 - Publicación de los detalles de la vulnerabilidad.

Solución:
Actualizar a la versión más reciente de The Bat!
http://thebat.net/en/products/thebat/download.php

Ref.:
Bugtraq: NSA Group Security Advisory NSAG-?198-23.02.2006 Vulnerability The Bat v. 3.60.07
http://seclists.org/lists/bugtraq/2006/Feb/0442.html

Se ha reportado una vulnerabilidad en Mozilla Thunderbird la cual podría ser explotada por atacantes remotos para ejecutar código JavaScript arbitrario.

El motor de renderizado WYSIWYG de Thunderbird no filtra completamente el codigo javascript.
Es posible escribir código javascript en el atributo SRC de una etiqueta IFRAME. Esto posibilita la ejecución de código JavaScript arbitrario cuando un mensaje de correo es editado (por ejemplo, al responderlo), aún si JavaScript está desactivado en Preferencias.
Nota: Thunderbird viene por defecto con JavaScript desactivado por razones de seguridad.

Impacto:
La explotación exitosa de esta vulnerabilidad podría permitir la revelación de información sensible u ocasionar el fallo (crash) de la aplicación.

Versiones vulnerables:
Mozilla Thunderbird 1.0.7 y anteriores

Solución:
Actualizar a Mozilla Thunderbird 1.5
http://www.mozilla.com/thunderbird/all.html

Créditos:
nono2357 at sysdream dot com
http://www.sysdream.com

Fecha de descubrimiento del fallo:
28/01/2006

Prueba de concepto:
[Ver reporte original]

Ref.:
[Full-disclosure] Mozilla Thunderbird : Remote Code Execution & Denial of Service
http://seclists.org/lists/fulldisclosure/2006/Feb/0552.html

SecurityTracker Alert ID: 1015665
Mozilla Thunderbird Validation Error in IFRAME SRC Tag Lets Remote Users Execute Arbitrary Javascript
http://securitytracker.com/alerts/2006/Feb/1015665.html

SquirrelMail es un popular sistema de webmail "Open Source" escrito en PHP4.

Se han identificado múltiples vulnerabilidades en SquirrelMail, las cuales podrían ser explotadas por atacantes remotos para inyectar y ejecutar comandos arbitrarios.

El primer problema es debido a un error de validación de entrada en el script "webmail.php" que no valida correctamente el parámetro "right_main", lo cual podría ser explotado por atacantes para ocasionar que código script malicioso sea ejecutado por el navegador del usuario en el contexto de seguridad del sitio afectado.

El segundo fallo es debido a un error de validación de entrada al manejar comentarios en estilos, lo cual podría ser explotado por gente maliciosa para llevar a cabo ataques XSS (cross site scripting).
La explotación exitosa de esta vulnerabilidad requiere que el usuario visualice datos maliciosos en el navegador Internet Explorer.

El tercer problema es debido a un error de validación de entrada al procesar el parámetro "sqimap_mailbox_select mailbox", lo cual podría ser explotado por atacantes para inyectar comandos IMAP arbitrarios.

Productos afectados:
SquirrelMail version 1.4.5 y anteriores

Solución:
Los parches están disponibles a través del repositorio CVS y serán incluidos en la próxima versión 1.4.6 de SquirrelMail.
http://www.squirrelmail.org/cvs

Créditos:
Vulnerabilidades reportadas por:
- El desarrollador del producto
- Scott Hughes
- Vicente Aguilera

Nota:
Para saber si su proveedor de webmail utiliza una versión vulnerable, basta con observar la página inicial de login, en la cual se suele exhibir la versión de SquirrelMail.

Ref.:
FrSIRT/ADV-2006-0689
SquirrelMail Multiple Cross Site Scripting and IMAP Injection Vulnerabilities
http://www.frsirt.com/english/advisories/2006/0689

Secunia Advisory: SA18985
SquirrelMail Cross-Site Scripting and IMAP Injection Vulnerabilities
http://secunia.com/advisories/18985/