Mostrando mensaje 1067     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 2015 Año 10, sábado 14 de enero de 2006 Fecha: 14 de Enero, 2006  10:54:21 (+0100) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 2015 Año 10, sábado 14 de enero de 2006 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Vulnerabilidad en Toshiba Bluetooth Stack 2 - Múltiples vulnerabilidades en Apple QuickTime/iTunes 3 - Exploit.CVE-2005.J. Detección para "body onLoad" 4 - Mytob.OG. Instala BOT y troyano, quita protecciones 5 - Mytob.OH. Instala BOT y troyano, quita protecciones _____________________________________________________________ 1 - Vulnerabilidad en Toshiba Bluetooth Stack _____________________________________________________________ http://www.vsantivirus.com/vul-toshiba-bluetooth-130106.htm Vulnerabilidad en Toshiba Bluetooth Stack Por Angela Ruiz angela@videosoft.net.uy Bluetooth es la tecnología que permite la interconexión inalámbrica (no más de 10 metros), entre diversos dispositivos como computadoras (laptops, Palm, Pocket PC, etc.), teléfonos celulares, cámaras, impresoras, y cualquier otro aparato que la incluya. Para permitir la compatibilidad entre los productos y el dispositivo en si mismo (chip bluetooth), se utiliza una interfase llamada HCI (Host Controller Interface), y una serie de protocolos (stacks o pilas de protocolos), utilizados para el intercambio de información. Los stacks de protocolos más conocidos son los siguientes: - IVT BlueSoleil Bluetooth stack para Windows XP/2000 - Microsoft Windows XP Bluetooth (incluido en XP SP2) - Toshiba Bluetooth Stack para Windows XP/2000 - WIDCOMM BTW 1.4 y BTW 3.0 Al menos uno de estos paquetes de protocolos, Toshiba Bluetooth Stack, es propenso a ataques del tipo "Directory Traversal Vulnerability" durante la carga de archivos Bluetooth. Esta vulnerabilidad puede permitir a un atacante subir archivos maliciosos a lugares específicos del sistema afectado, si se convence al usuario a aceptar una solicitud de conexión. Una vez instalados estos archivos, se podrían utilizar otras técnicas para ejecutarlos, ya que su ubicación puede ser conocida. El problema se produce en el servicio OBEX Push Services, cuando se procesan archivos recibidos cuyos nombres hayan sido especialmente modificados para explotar este fallo. No se requiere un exploit para aprovecharse de este problema. NOTA: La vulnerabilidad conocida como "Directory Traversal Vulnerability", ocurre cuando se especifica un nombre de archivo con la secuencia de caracteres "..\" o "..%5C", lo que puede permitir el acceso a directorios superiores, diferentes a los asignados dentro del entorno controlado por la aplicación. * Software vulnerable: - Toshiba Bluetooth Stack 4.0.11 (para Dell) - Toshiba Bluetooth Stack 4.x - Toshiba Bluetooth Stack 3.x * Soluciones: No existen soluciones del vendedor al momento de esta alerta. Para comprobar el stack Bluetooth instalado en su PC, seleccione Sistema, Hardware, Administrador de dispositivos en el Panel de control. * Referencias: Bugtraq ID: 16236 Toshiba Bluetooth Stack Object Push Service File Upload Directory Traversal Vulnerability http://www.securityfocus.com/bid/16236/info DMA[2006-0112a] - 'Toshiba Bluetooth Stack Directory Transversal' http://www.digitalmunition.com/DMA%5B2006-0112a%5D.txt Toshiba Bluetooth Stack File Upload Directory Traversal Vulnerability http://www.frsirt.com/english/advisories/2006/0184 Sitio de Toshiba http://www.toshiba.com/ * Créditos: Kevin Finisterre (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Múltiples vulnerabilidades en Apple QuickTime/iTunes _____________________________________________________________ http://www.vsantivirus.com/vul-apple-quicktime-100106.htm Múltiples vulnerabilidades en Apple QuickTime/iTunes Por Angela Ruiz angela@videosoft.net.uy Han sido reportadas varias vulnerabilidades en Apple QuickTime, el popular reproductor del formato de video estándar de Apple utilizado también por Windows. Las vulnerabilidades pueden ser explotadas por usuarios maliciosos para comprometer el sistema del usuario con la ejecución remota de código. Una vulnerabilidad se produce por un desbordamiento de pila (stack overflow), que ocurre cuando se procesan archivos de imágenes QTIF, JPEG y PICT que hayan sido modificados para explotar el problema. Esto podría ser utilizado para la ejecución de código mediante la visualización de una imagen construida maliciosamente. NOTA: La pila (stack), es el espacio de memoria reservada para almacenar las direcciones de retorno en la ejecución de cada rutina y otra información importante para la ejecución de los programas. El segundo problema se debe a desbordamientos de búfer, desbordamiento y subdesbordamiento de entero cuando se procesan imágenes TGA. Un atacante puede aprovecharse de esto para ejecutar código o provocar una denegación de servicio (que el programa deje de responder), mediante la visualización de una imagen TGA construida maliciosamente. NOTAS: Un búfer es un área determinada en la memoria, usada por una aplicación para guardar ciertos datos necesarios para su funcionamiento. Los desbordamientos y subdesbordamientos de entero (integer overflow), ocurren cuando una variable definida como entera, sobrepasa los valores asignados. La tercera vulnerabilidad es provocada también por un desbordamiento de entero, y ocurre cuando se procesan imágenes TIFF (TIF). También puede ser explotada para ejecutar código de forma remota en el sistema vulnerable. El cuarto error se presenta al procesarse imágenes GIF conteniendo una extensión de aplicación Netscape (Netscape Navigator Application Extension Block, un componente para GIFs animados), y también puede ser utilizado para la ejecución remota de código. El quinto problema lo ocasiona un desbordamiento de la memoria heap (la porción de memoria disponible para un programa, también llamada área de memoria dinámica), en QuickTime.qts. Ocurre cuando se procesa la información "stsd" o "Movie Resource" almacenada como atom (información del tipo "cadena" o "entero", a la que se le asigna un identificador único, el cual se emplea para acceder a dicha información). Puede ser explotada mediante archivos de video modificados maliciosamente, al ser descargados o reproducidos éstos desde un sitio web. Esta última vulnerabilidad afecta también a iTunes 6.x (iTunes es la aplicación creada por Apple para reproducir, organizar y comprar música en Internet). Actualmente iTunes suele instalarse junto a QuickTime (ver "DoS y posible ejecución de código en QuickTime/iTunes", http://www.vsantivirus.com/vul-quicktime-201205.htm) * Versiones afectadas: - QuickTime 6.5.2 y 7.0.1 para Mac OS X. - QuickTime 7.x hasta 7.0.3 para Windows. - Apple iTunes (Windows 2000, XP, OS X 10.3.9) Versiones anteriores también pueden ser afectadas. * Solución: Actualizarse a la versión 7.0.4 o superior en los siguientes enlaces: Mac OS X v10.3.9 o posterior http://www.apple.com/quicktime/download/mac.html Windows 2000 o XP http://www.apple.com/quicktime/download/win.html * Créditos: Varun Uppal, Dejun Meng y Karl Lynn * Relacionados: About the security content of QuickTime 7.0.4 http://docs.info.apple.com/article.html?artnum=303101 Apple QuickTime Player Multiple Remote Code Execution Vulnerabilities http://www.frsirt.com/english/advisories/2006/0128 DoS y posible ejecución de código en Quicktime/iTunes http://www.vsantivirus.com/vul-quicktime-201205.htm Apple QuickTime STSD Atom Heap Overflow http://www.eeye.com/html/research/advisories/AD20060111a.html Apple iTunes (QuickTime.qts) Heap Overflow http://www.eeye.com/html/research/advisories/AD20060111b.html Apple QuickTime QTIF Stack Overflow http://www.eeye.com/html/research/advisories/AD20060111c.html Apple QuickTime Malformed GIF Heap Overflow http://www.eeye.com/html/research/advisories/AD20060111d.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Exploit.CVE-2005.J. Detección para "body onLoad" _____________________________________________________________ http://www.vsantivirus.com/exploit-cve-2005-j.htm Nombre: Exploit.CVE-2005.J Nombre NOD32: JS/Exploit.CVE-2005.J Tipo: Código malicioso Alias: Exploit.CVE-2005.J, EXP/JS.CVE2005-1790j, Exploit.JS.CVE-2005-1790, Exploit.JS.CVE-2005-1790.j, Exploit.JS.CVE-2005-1790.J, Exploit/CVE-2005-1790, Exploit/JS.CVE2005-1790j, Exploit-Onload, JS/Cve.J-exploit, JS/CVE-2005-1790!exploit, JS/Exploit.CVE-2005.J Fecha: 13/ene/06 Plataforma: Windows 32-bit Tamaño: 4,326 bytes (variable) Se trata de la detección de código capaz de explotar un problema de seguridad que causa la corrupción de la memoria utilizada por los programas afectados (Internet Explorer, Firefox, Mozilla). Ello puede ocurrir cuando dichos programas procesan páginas HTML conteniendo llamadas a objetos "window()" en un evento "onload". La vulnerabilidad fue reportada por primera vez en mayo de 2005 en Internet Explorer: DoS en IE producido por JavaScript "body onLoad" http://www.vsantivirus.com/vul-iesp2-bodyonload-280505.htm El 21/11/05 se publica un exploit del tipo "día cero" (0day), para esta vulnerabilidad, la cuál permite que atacantes remotos puedan ejecutar código de forma arbitraria en Internet Explorer. Microsoft publica un parche para esta vulnerabilidad el 13/12/05: MS05-054 Actualización acumulativa para IE (905915) http://www.vsantivirus.com/vulms05-054.htm NOD32 bloquea cualquier intento de visualización de una página web conteniendo el exploit mencionado. * Más información: Ejecución de código en IE (JavaScript window) http://www.vsantivirus.com/vul-ie-window-211105.htm MS05-054 Actualización acumulativa para IE (905915) http://www.vsantivirus.com/vulms05-054.htm CVE-2005-1790 (Common Vulnerabilities and Exposures project) http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-1790 * Reparación manual NOTA 1: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. NOTA 2: La configuración sugerida por VSAntivirus en el siguiente artículo, disminuye el riesgo del uso malicioso de esta vulnerabilidad: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Pinche en Aceptar, etc. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Mytob.OG. Instala BOT y troyano, quita protecciones _____________________________________________________________ http://www.vsantivirus.com/mytob-og.htm Nombre: Mytob.OG Nombre NOD32: Win32/Mytob.OG Tipo: Gusano de Internet Alias: Mytob.OG, Win32/Mytob.OG, W32/Mytob.OG Fecha: 13/ene/06 Plataforma: Windows 32-bit Gusano que se propaga masivamente por correo electrónico, enviándose a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada. Puede ir como un archivo adjunto, o como un enlace a un determinado sitio. También puede sacar provecho de conocidas vulnerabilidades para propagarse. Ver instrucciones de limpieza en: Mytob.OD. Instala BOT y troyano, quita protecciones http://www.vsantivirus.com/mytob-od.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Mytob.OH. Instala BOT y troyano, quita protecciones _____________________________________________________________ http://www.vsantivirus.com/mytob-oh.htm Nombre: Mytob.OH Nombre NOD32: Win32/Mytob.OH Tipo: Gusano de Internet Alias: Mytob.OH, Win32/Mytob.OH, W32/Mytob.OH Fecha: 13/ene/06 Plataforma: Windows 32-bit Gusano que se propaga masivamente por correo electrónico, enviándose a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada. Puede ir como un archivo adjunto, o como un enlace a un determinado sitio. También puede sacar provecho de conocidas vulnerabilidades para propagarse. Ver instrucciones de limpieza en: Mytob.OD. Instala BOT y troyano, quita protecciones http://www.vsantivirus.com/mytob-od.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 2015 Año 10, sábado 14 de enero de 2006