| Asunto: | VSantivirus No. 1154 Año 7, Jueves 4 de setiembre de 2003 | | Fecha: | Jueves, 4 de Septiembre, 2003 06:14:55 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1154 Año 7, Jueves 4 de setiembre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Nueva generación de virus "hackers": ¿cómo protegernos?
2 - Estudiante rumano arrestado por el nuevo Blaster
3 - MS03-034 Revelación de información con NetBIOS (824105)
4 - MS03-035 Ejecución automática de macros en Word (827653)
5 - MS03-036 Ejecución de código en conversor WP (827103)
_____________________________________________________________
1 - Nueva generación de virus "hackers": ¿cómo protegernos?
_____________________________________________________________
http://www.vsantivirus.com/sb-virus-hackers.htm
Nueva generación de virus "hackers": ¿cómo protegernos?
Por Saulo Barajas
www.saulo.net
[Especial para VSAntivirus]
La nueva generación de virus liderada por Blaster/Lovsan ha
modificado las formas de contagio y, por tanto, las medidas
de defensa. Ahora ya no nos contagiamos por lo que hacemos
sino por lo que no hacemos. Con los virus clásicos era
necesario abrir un archivo adjunto de correo electrónico,
ejecutar un programa recibido por IRC, etc. En cambio, con la
nueva oleada de virus el usuario que no ha cometido
(aparentemente) ninguna imprudencia se puede infectar. ¿Por
qué? por lo que no ha hecho: no ha instalado en su máquina
las últimas actualizaciones de seguridad y tampoco tiene, o
no ha configurado correctamente, un cortafuegos.
Bien es cierto que ya existían virus que se aprovechaban de
agujeros de seguridad como, por ejemplo, de la vulnerabilidad
de las extensiones MIME, que permite que un programa se
autoejecute en la vista previa de Outlook sin que el usuario
abra el mensaje. Sin embargo, en esta ocasión nos referimos a
agujeros de seguridad en los puertos de entrada de nuestra
máquina. Estos virus tienen otra novedad añadida: se
reproducen no por el correo electrónico sino por barridos de
direcciones IP buscando máquinas no protegidas. ¿No es esto
lo que hacen los hackers?
* Un antivirus no es suficiente
Los nuevos virus se destacan también por sus grandes
capacidades de propagación (cuestión de minutos). Y ante
todas estas características, las soluciones antivirus de poco
nos pueden proteger. Un antivirus clásico actúa cuando el
usuario intenta abrir un archivo infectado y reconoce el
archivo como infectado porque tiene actualizada su base de
datos de virus. Entonces, un virus como Blaster puede
modificar archivos en nuestro ordenador sin que el antivirus
lo advierta. Los antivirus no son suficiente: necesitamos
algo más.
En el caso de usuarios domésticos las medidas básicas son:
comprobar si existen nuevas actualizaciones de seguridad
regularmente e instalarlas, no abrir archivos sospechosos,
instalar un cortafuegos personal y configurarlo adecuadamente
y, por último, actualizar el antivirus periódicamente. Las
dos últimas medidas constituyen una barrera de seguridad
adicional ante lo que son casi siempre errores del usuario
(fallos de seguridad no subsanados y archivos infectados que
se intentan abrir).
Observemos también que un antivirus clásico sólo protege de
los virus conocidos. En cambio, un cortafuegos protege de
agujeros de seguridad que todavía no se han parchado, bien
por despiste o desconocimiento del usuario o bien, porque
todavía no se ha desarrollado el correspondiente parche. Pero
no sólo nos protege ante ataques externos sino también de
intentos de conexión hacia Internet procedentes de programas
instalados en nuestro ordenador. Este es el caso de los
troyanos que extraen información confidencial de nuestra
máquina y la envían al equipo del atacante. Un cortafuegos
correctamente configurado es hoy en día un elemento
imprescindible en cualquier conexión a Internet. Es
importante comprender todos estos conceptos para configurar
correctamente la defensa de nuestro equipo.
* Configurar correctamente el cortafuegos
Windows XP incluye en el sistema operativo un cortafuegos
personal (Internet Connection Firewall, ICF). El resto de
usuarios debe recurrir a productos de terceros como
ZoneAlarm. Cualquier cortafuegos es válido siempre que esté
correctamente configurado. El cortafuegos debe denegar, en
principio, todos los intentos de conexión hacia nuestra
máquina desde Internet (todos los puertos cerrados).
Sin embargo, si nuestra máquina hace tareas de servidor
tendremos que abrir los puertos requeridos. Por ejemplo, en
el caso de un servidor web, el cortafuegos debe configurarse
para que acepte conexiones al puerto 80 pero a ningún otro
puerto más. Nuestro equipo también puede realizar tareas de
servidor en programas P2P (compartiendo archivos a todo
Internet) o en otro tipo de aplicaciones como Microsoft
Messenger.
El error más común cuando nos encontramos con que una
aplicación no funciona es deshabilitar por completo el
firewall, en lugar de investigar su configuración correcta.
Esto es un terrible error que explica el elevado número de
contagios de Blaster entre usuarios de XP, los cuales habían
deshabilitado expresamente ICF. Por supuesto, aquellos
puertos abiertos en el cortafuegos serán vulnerables si la
aplicación que está a la escucha tiene un agujero de
seguridad no parchado o está mal configurada.
* Protección de redes
El caso de la protección de redes es algo más complejo, por
lo que dedicaremos el resto del artículo. Debemos diferenciar
entre los virus que entran desde fuera de la red interna (por
Internet) y los que lo hacen desde dentro. El segundo caso a
menudo se descuida y puede comprometer toda la seguridad de
la red interna.
Los administradores de redes conocen su obligación de estar
permanentemente informados sobre las nuevas vulnerabilidades
de seguridad, mediante boletines diarios de seguridad, y
aplicar aquellos parches que correspondan a sus sistemas. Sin
embargo, esta tarea frecuentemente se deja para cuando no hay
algo urgente que hacer en la empresa. Los motivos principales
son la escasez de personal en el departamento técnico y el
desconocimiento de los superiores que no valoran las acciones
cuyos resultados "no se ven" inmediatamente.
Hasta ahora el riesgo que corría nuestro sistema era que un
atacante aprovechara el lapso de tiempo entre que se descubre
un agujero y se aplica el parche para ganar privilegios en
nuestra máquina, ejecutar códigos, obtener información o
provocar ataques de denegación de servicio. Es decir, se
requería una persona detrás dirigiendo el ataque.
* Medidas básicas
Con la nueva generación de virus esto ya no es así: el propio
virus busca máquinas vulnerables y se extiende a velocidades
crecientes. El riesgo de que nuestra máquina sea afectada es
ahora mucho mayor. Ante esto, la tarea de mantener las
máquinas actualizadas es más prioritaria que nunca. Ya no
hablamos sólo de aplicar el parche de la interfaz de RPC
descrito en el boletín MS03-026 para evitar el Blaster, sino
de mantener nuestro equipo con todas las actualizaciones
críticas de seguridad disponibles. Podemos afirmar con
seguridad que aparecerán nuevos virus que se aprovecharán de
agujeros de seguridad distintos al descrito. Lo que buscamos
no son medidas para defendernos de un virus concreto, sino de
todos los virus con funcionamiento similar a los ya
conocidos.
Cada servicio funcionando en un servidor es un riesgo de
seguridad potencial, por lo que sólo deberán funcionar los
servicios indispensables para las tareas de cada máquina. Y
son justamente los servicios activos los únicos que debemos
mantener al día sus actualizaciones de seguridad. Cuantos
menos servicios tenga un servidor en ejecución, su
administración será más sencilla. Sorprendería saber la
cantidad de máquinas que son servidores web o servidores de
FTP sin necesitarlo. En este supuesto, si el día de mañana
aparece un agujero de seguridad para Internet Information
Server que permita la ejecución de código arbitrario, las
máquinas que tengan este servicio en ejecución serán
vulnerables.
Los cortafuegos son una pieza clave para frenar la
propagación de la nueva generación de virus. Una correcta
configuración filtrará los ataques automatizados de los virus
desde Internet a las máquinas de la red interna. En el caso
de Blaster, si el cortafuegos no acepta tráfico por el puerto
135, las máquinas que haya detrás estarán protegidas aunque
no tengan el correspondiente parche instalado. Pero no
podemos confiarnos y olvidarnos de proteger las máquinas
internas de la red. Es tan importante una correcta
configuración de la seguridad perimetral como de los
servidores y estaciones de trabajo de la red interna. Veamos
ahora qué pasaría si el ataque se produce desde el interior.
* Ataques desde la red interna
Los ataques desde el interior de la red son más frecuentes de
lo que podemos suponer. La mayor parte de las redes disponen
de una buena seguridad perimetral basada en cortafuegos,
sistemas de detección de intrusos (IDS), antivirus en
servidores de correo, etc. Pero, ¿qué pasaría si introducimos
en la red interna una máquina infectada? El virus se
propagaría entre todas aquellas máquinas no configuradas
adecuadamente. Esta idea no es tan descabellada: pensemos en
un portátil que se infecta en el domicilio del usuario y,
posteriormente, es introducido en la red corporativa; o bien,
un usuario infectado que se conecta a la red interna mediante
una conexión de acceso telefónico o por líneas privadas.
Llegados a este punto, tenemos que buscar medidas que frenen
la propagación de virus dentro de la red interna. Algunos
virus, como Bugbear, tienen la capacidad de infectar los
recursos compartidos de la red. Esto significa que si los
discos duros de la red están compartidos a todos y además,
sin contraseña, algo que lamentablemente ocurre en numerosas
redes, la infección por todas las máquinas será cuestión de
segundos. Los puestos de trabajo no deberían tener compartido
ningún directorio y, muchos menos, una unidad completa. En su
lugar, se debe habilitar un servidor de archivos con los
permisos y medidas de seguridad correspondientes.
No olvidemos tampoco actualizar todas las máquinas con las
últimas revisiones de seguridad, deshabilitar los servicios
innecesarios, disponer de antivirus actualizados, utilizar
contraseñas fuertes, formar a los usuarios, etc. Por
supuesto, una posible máquina infectada debe ser desconectada
inmediatamente de la red para prevenir males mayores.
* "Hackers" automáticos
Según hemos visto, las productos antivirus ya no son
suficientes para enfrentarse a la nueva generación de virus,
que utiliza las mismas técnicas que los hackers pero
ejecutadas de forma masiva y automatizada. Cada máquina
infectada actúa como un atacante más buscando nuevas máquinas
vulnerables. Además de los consejos habituales para prevenir
infecciones de virus, debemos ahora mantener nuestra máquina
siempre actualizada y protegida mediante un cortafuegos
correctamente configurado.
* Relacionados:
W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm
W32/Bugbear.B. Peligroso gusano de gran propagación
http://www.vsantivirus.com/bugbear-b.htm
Cada vez es más fácil 'crear' destructivos virus
http://www.vsantivirus.com/ev01-09-03.htm
Una pieza más del dominó, o un simple espectador
http://www.vsantivirus.com/lz-domino.htm
Ingeniería Social, vieja y eficaz amiga de los virus
http://www.vsantivirus.com/lz-ingenieria.htm
Preguntas frecuentes sobre el Lovsan (Blaster)
http://www.vsantivirus.com/faq-lovsan.htm
Lo que debería saber sobre la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/vul-rpc-dcom.htm
Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm
Lovsan, Blaster o MSBlast. Una pesadilla anunciada
http://www.vsantivirus.com/ev12-08-03.htm
La nueva amenaza: los gusanos de rápida propagación
http://www.vsantivirus.com/05-02-03.htm
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Seguridad On-Line
http://www.vsantivirus.com/seguridad-online.htm
Guía rápida para el blindaje de su PC
http://www.vsantivirus.com/mr-blindaje.htm
Las 20 vulnerabilidades más críticas en Internet
http://www.vsantivirus.com/20vul.htm
Guía de supervivencia: Consejos para una computación segura
http://www.vsantivirus.com/guia-de-supervivencia.htm
Win 2000 y el puerto 445, una invitación a los intrusos
http://www.vsantivirus.com/w2k-puerto445.htm
El final de los virus sociales
http://www.vsantivirus.com/virus-sociales.htm
Las siete reglas básicas del FBI para su computadora
http://www.vsantivirus.com/fbi-reglas.htm
Funcionamiento de un programa antivirus
http://www.vsantivirus.com/fdc-funcionamiento-antivirus.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Estudiante rumano arrestado por el nuevo Blaster
_____________________________________________________________
http://www.vsantivirus.com/lz04-09-03.htm
Estudiante rumano arrestado por el nuevo Blaster
Por Lissette Zapata
liszapata@videosoft.net.uy
La policía de Londres ha notificado a los medios de
información que han arrestado a un hombre de 24 años de
procedencia rumana, sospechoso de liberar una nueva versión
del gusano Blaster (la F). Este es el segundo arresto en la
última semana para un modificador o imitador de virus,
denominados "copycats".
Mientras tanto el autor del primer Blaster permanece libre, y
el gusano original, conocido también por el nombre de
"Lovsan", y que apareció a principio del pasado mes de
agosto, ha seguido infectando centenares de computadoras que
utilizan Microsoft Windows.
Las autoridades identificaron como autor de la última versión
del Blaster, a Dan Dumitru Ciobanu de la ciudad rumana
norteña de Iasi.
La policía mantiene reservas a la hora de dar mayores
detalles, pero emitió una declaración este miércoles por la
tarde a través de BitDefender (el fabricante de antivirus
rumano que ayudó a identificar la huella del sospechoso),
confirmando la identidad del mismo.
Se trata de un estudiante de la Universidad Técnica de Iasi,
según se informa en la declaración.
Mihai Radu, un portavoz de BitDefender, dijo que Ciobanu no
ha sido sentenciado todavía. Bajo la legislación sobre el
cibercrímen recientemente aprobada en Rumania, Ciobanu podría
enfrentarse a una sentencia de prisión, de tres a quince años
si es declarado culpable, agregó Radu.
La policía confiscó dos de las computadoras de Ciobanu. Las
máquinas se analizarán con la presencia del demandado, su
abogado y el abogado del distrito local, dijeron los
oficiales este jueves. El acusado está bajo la custodia
policíaca desde el miércoles por la noche.
Ciobanu es sospechoso de liberar una variante relativamente
controlada del Blaster, conocido como "Blaster.F" (o
Lovsan.F). El mismo apareció el pasado lunes, pero no ha
ocasionado el daño del original.
La semana pasada, las autoridades americanas arrestaron al
Jeffrey Lee Parson de 18 años por crear y distribuir la
variante "B" del gusano. "Ciobanu probablemente tenía el
código fuente del Blaster y solo lo modificó como lo hizo
Parson", dijo Radu.
Del mismo modo que Parson, Ciobanu dejó tras de si
importantes pistas. El código del virus contiene una
referencia al apodo usado por Ciobanu, "Enbiei", un mensaje
escrito en rumano que menciona a uno a sus maestros, y un
enlace al sitio de su universidad, con la intención de
convertirlo en blanco de una denegación de servicio (DoS),
dijo Radu.
"No vaya a la facultad de Hydrotechnics!!! Usted está
perdiendo su tiempo...", se lee en una versión traducida de
parte del mensaje, proporcionada por la empresa antivirus F-
Secure.
"Nosotros supimos desde el principio que el autor era de
Rumania", dijo Mikko Hypponen, gerente de investigación del
antivirus F-Secure. Esta persona modificó el código del
Blaster para que fuera una amenaza menor. Se ignora cuántas
computadoras logró infectar.
"Yo no sé lo que motivó a este joven a escribir un virus para
atacar a su maestro ", dijo Radu. El haber agregado esa
mención a su maestro facilitó localizarlo.
Una pista similar se dio en la investigación de Parson,
cuando los expertos de seguridad encontraron en el código de
su virus, una referencia a su seudónimo en línea, que era
"teekid", y a su página Web.
Parson enfrenta un máximo de 10 años en prisión y una multa
de 250,000 dólares. Su próxima audiencia judicial está fijada
para el 17 de septiembre en Seattle.
* Relacionados:
Cada vez es más fácil 'crear' destructivos virus
http://www.vsantivirus.com/ev01-09-03.htm
Joven de 18 años preso por crear una versión del Blaster
http://www.vsantivirus.com/30-08-03b.htm
El FBI arresta a adolescente por crear el Blaster
http://www.vsantivirus.com/ev29-08-03.htm
La mayor epidemia de gusanos informáticos de la historia
http://www.vsantivirus.com/ev26-08-03.htm
Lovsan, Blaster o MSBlast. Una pesadilla anunciada
http://www.vsantivirus.com/ev12-08-03.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - MS03-034 Revelación de información con NetBIOS (824105)
_____________________________________________________________
http://www.vsantivirus.com/vulms03-034.htm
MS03-034 Revelación de información con NetBIOS (824105)
Por Lissette Zapata
liszapata@videosoft.net.uy
* Nivel de Gravedad: Baja
* Programas Afectados:
Windows NT Server 4.0
Windows NT Server 4.0, Terminal Server Edition
Windows 2000
Windows XP
Windows Server 2003
Un problema de seguridad que podría permitir a un atacante
visualizar la información en la memoria de su computadora a
través de una red, ha sido identificado en Microsoft Windows.
NetBIOS (Network basic input/output system), es un API
(Application Programming Interface), que puede ser usado por
los programas en una red de área local (LAN). NetBIOS
proporciona un conjunto uniforme de órdenes a los programas
que requieren un bajo nivel de servicio para manejar los
nombres, los comportamientos de las sesiones, y enviar
datagramas (paquetes de datos) entre los nodos en una red.
La vulnerabilidad reportada, involucra a NetBT (NetBIOS sobre
TCP) y NBNS (NetBIOS Name Service). NBNS es análogo a DNS
(Domain Name Server) en el mundo de TCP/IP, y proporciona una
manera de encontrar la IP de un sistema dándole el nombre a
NetBIOS y viceversa.
Bajo ciertas condiciones, la respuesta a una petición del
servicio de nombres o NetBT, puede, además de la contestación
típica, contener datos aleatorios de la memoria del sistema
consultado. Por ejemplo, estos datos podrían ser parte de un
HTML si el usuario en el sistema que responde a la petición,
estuviera usando un navegador de Internet en ese momento, o
podría contener cualquier otra clase de datos que existan en
la memoria en el momento que el sistema responde la pregunta
al servicio de consulta de nombres o NetBT.
Un atacante podría aprovecharse de esta vulnerabilidad,
enviando una petición al servicio de nombres o NetBT del
sistema designado como blanco, y entonces examinar la
respuesta para ver si incluye cualquier clase de datos
aleatorios de la memoria de ese sistema.
Si en la red local se han seguido las prácticas de seguridad
elementales, y se posee un cortafuegos, debería estar
bloqueado el puerto 137/UDP, por lo que los ataques desde
Internet no podrían ser posibles.
El parche puede descargarse de los siguientes enlaces:
[Nota: los enlaces aparecen cortados por superar la cantidad
de caracteres permitidos en el formato de este boletín. En
todos los casos se deben cortar y pegar en una sola línea]
[Nota: Si no está disponible una versión en español, y su
sistema está en español, salvo que se indique lo contrario
aguarde a que esté disponible una versión en su idioma]
* Windows Server 2003 (todos los idiomas)
http://www.microsoft.com/downloads/details.aspx?FamilyId=A59C
C2AC-F182-4CD5-ACE7-3D4C2E3F1326&displaylang=en
* Windows Server 2003 64 bit Edition (4 idiomas: inglés,
francés, alemán y japonés)
http://www.microsoft.com/downloads/details.aspx?FamilyId=140C
F7BE-0371-4D17-8F4C-951B76AC3024&displaylang=en
* Windows XP (todos los idiomas)
http://www.microsoft.com/downloads/details.aspx?FamilyId=1C9D
8E86-5B8C-401A-88B2-4443FFB9EDC3&displaylang=en
* Windows XP 64 bit Edition (4 idiomas: inglés, francés,
alemán y japonés)
http://www.microsoft.com/downloads/details.aspx?FamilyId=378D
4B58-BF2C-4406-9D88-E6A3C4601795&displaylang=en
* Windows 2000 (todos los idiomas)
http://www.microsoft.com/downloads/details.aspx?FamilyId=D056
4162-4EAE-42C8-B26C-E4D4D496EAD8&displaylang=en
* Windows NT 4 Server (todos los idiomas)
http://www.microsoft.com/downloads/details.aspx?FamilyId=F131
D63A-F74F-4CAF-95BD-D7FA37ADCF38&displaylang=en
* Windows NT 4 Terminal Server Edition (5 idiomas: inglés,
francés, alemán, japonés y español)
http://www.microsoft.com/downloads/details.aspx?FamilyId=2237
9951-64A9-446B-AC8F-3F2F080383A9&displaylang=en
Aunque todos los enlaces con lleven a la página donde está la
actualización en inglés, se puede encontrar también la
actualización en español (donde corresponda), seleccionando
el idioma en la opción "Change language", a la derecha de la
página.
* Más información:
Microsoft Security Bulletin MS03-034
http://www.microsoft.com/security/security_bulletins/ms03-034.asp
Microsoft Knowledge Base Article - 824105
http://support.microsoft.com/?kbid=824105
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - MS03-035 Ejecución automática de macros en Word (827653)
_____________________________________________________________
http://www.vsantivirus.com/vulms03-035.htm
MS03-035 Ejecución automática de macros en Word (827653)
Por Lissette Zapata
liszapata@videosoft.net.uy
* Nivel de Gravedad: Importante
* Programas Afectados:
Word 97
Word 98 (Japonés)
Word 2000
Word 2002
Works Suite 2001, 2002, y 2003
Un macro es una serie de órdenes e instrucciones que pueden
agruparse como un solo comando para lograr la ejecución de
una tarea automáticamente. Microsoft Word soporta el uso de
macros para permitir la automatización de tareas realizadas
normalmente.
Cómo los macros son códigos ejecutables y por lo tanto
también es posible emplearlos maliciosamente, se ha
implementado en Word un modelo de seguridad diseñado para
validar si a un macro se le debe permitir su ejecución o no,
dependiendo del nivel de seguridad que el usuario haya
escogido.
La vulnerabilidad existe porque es posible para un atacante
elaborar un documento malévolo que podría evitar el modelo de
seguridad de los macros. Si el documento fuera abierto, esta
falla podría permitir que un macro maligno, embebido en el
documento, fuera ejecutado automáticamente, sin tener en
cuenta el nivel en que la seguridad esté configurada.
El macro malicioso podría entonces realizar las mismas
acciones que el usuario de acuerdo al nivel de los permisos
que éste posea, como agregar, modificar o borrar datos o
archivos, comunicarse con un sitio Web o formatear la unidad
de disco duro.
Esta vulnerabilidad sólo podría explotarse si se persuade a
un usuario para que éste abra el documento malicioso. De no
ser así no hay ninguna manera para que un atacante logre
utilizar dicha vulnerabilidad en su provecho.
El parche puede descargarse de los siguientes enlaces:
[Nota: los enlaces aparecen cortados por superar la cantidad
de caracteres permitidos en el formato de este boletín. En
todos los casos se deben cortar y pegar en una sola línea]
[Nota: Si no está disponible una versión en español, y su
sistema está en español, salvo que se indique lo contrario
aguarde a que esté disponible una versión en su idioma]
* Microsoft Word 2002: (Todos los idiomas)
http://microsoft.com/downloads/details.aspx?FamilyId=7D3775FC
-F424-4B04-ABEB-9B4CA1EB182D&displaylang=en
* Actualización Administrativa para Word 2002: (***)
http://www.microsoft.com/office/ork/xp/journ/wrd1006a.htm
* Microsoft Word 2000: (Todos los idiomas)
http://microsoft.com/downloads/details.aspx?FamilyId=4A8F6ACE
-E14E-4978-A9C9-6989CD03A4A3&displaylang=en
* Actualización Administrativa para Word 2000: (***)
http://www.microsoft.com/office/ork/xp/journ/wrd0903a.htm
* Microsoft Word 97/Microsoft Word 98 (Japonés):
La información sobre Microsoft Word 97 y Microsoft Word 98
(Japonés) se encuentra disponible en este enlace:
http://support.microsoft.com/default.aspx?scid=kb;en-
us;827647
Aunque todos los enlaces con lleven a la página donde está la
actualización en inglés, se puede encontrar también la
actualización en español (donde corresponda), seleccionando
el idioma en la opción "Change language", a la derecha de la
página.
(***) Estas actualizaciones administrativas corresponden a
las versiones de Word que han sido instaladas a través de un
Windows Installer Patch File (MSP format), por lo que en
estas direcciones encontraran un ejecutable que podrá ser
instalado de igual manera que los MSP (officexp-kb824934-
fullfile-enu.exe).
Microsoft recomienda visitar el sitio de actualización de
Office para detectar e instalar el parche de seguridad y
todos los que anteriormente han sido publicados para la
familia de los productos de Office (Nota: el sitio de Office
Update no proporciona el soporte para los siguientes
productos: Office 97 y Visio 2000):
http://www.office.microsoft.com/ProductUpdates/default.aspx
* Más información:
Microsoft Security Bulletin MS03-035
http://www.microsoft.com/security/security_bulletins/ms03-035.asp
Microsoft Knowledge Base Article - 827653
http://support.microsoft.com/?kbid=827653
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - MS03-036 Ejecución de código en conversor WP (827103)
_____________________________________________________________
http://www.vsantivirus.com/vulms03-036.htm
MS03-036 Ejecución de código en conversor WP (827103)
Por Lissette Zapata
liszapata@videosoft.net.uy
* Nivel de Gravedad: Importante
* Programas Afectados:
Office 97, 2000, y XP
Word 98 (Japonés)
FrontPage 2000 y 2002
Publisher 2000 y 2002
Works Suite 2001, 2002 y 2003
Un problema de seguridad ha sido identificado en Microsoft
Office. El mismo podría permitir a un atacante modificar la
base del sistema que utilice Office y llevar a cabo varias
acciones. Por ejemplo, un atacante podría leer los archivos
de su computadora o ejecutar los programas que ésta tiene.
Microsoft Office proporciona diversos conversores que les
permiten a los usuarios importar y revisar archivos que usen
formatos que no son creados con Office. Estos conversores
están disponibles dentro de la instalación predefinida de
Office, y también están disponibles en forma separada, en el
paquete de conversores de Microsoft Office. Los mismos pueden
ser útiles a aquellas organizaciones que usen Office en un
ambiente mixto con las versiones más nuevas de Office y otras
aplicaciones, incluso Office para Macintosh y otras
aplicaciones producidas por terceros.
Existe una falla en la manera que el conversor de Microsoft
maneja los documentos de WordPerfect que fueron creados con
WordPerfect Corel. Esta vulnerabilidad que involucra a un
búfer no chequeado, ocurre porque el conversor no valida
correctamente ciertos parámetros cuando abre un documento de
WordPerfect.
Como resultado, un atacante puede crear un documento de
WordPerfect malicioso que lleve a ejecutar un código de su
elección, si una aplicación que use el conversor de
WordPerfect abre el documento.
Pueden utilizar el conversor de WordPerfect, Microsoft Word y
Microsoft PowerPoint (parte del paquete de Office), FrontPage
(disponible como parte de la suite de Office o en forma
separada), Publisher y Microsoft Works Suite.
La vulnerabilidad sólo podría explotarse cuando el usuario
abra el documento malévolo. El atacante no puede forzar la
apertura automática de un documento, por lo que la
vulnerabilidad tampoco puede explotarse en forma automática a
través del correo electrónico. Un usuario debe abrir el
adjunto que se envía en un mensaje de correo electrónico para
que un ataque a través del correo tenga éxito.
El parche puede descargarse de los siguientes enlaces:
[Nota: los enlaces aparecen cortados por superar la cantidad
de caracteres permitidos en el formato de este boletín. En
todos los casos se deben cortar y pegar en una sola línea]
[Nota: Si no está disponible una versión en español, y su
sistema está en español, salvo que se indique lo contrario
aguarde a que esté disponible una versión en su idioma]
* Office XP, FrontPage 2002, Publisher 2002, Works 2002, y
Works 2003: (Todos los idiomas)
http://microsoft.com/downloads/details.aspx?FamilyId=EC563DEE
-6BFB-431D-B39E-2D672C0C223F&displaylang=en
* Office 2000, FrontPage 2000, Publisher 2000, y Works 2001:
(Todos los idiomas)
http://microsoft.com/downloads/details.aspx?FamilyId=D3ED4189
-315A-411A-A739-F7181310FBA7&displaylang=en
Aunque todos los enlaces con lleven a la pagina donde esta la
actualización en Ingles, se puede encontrar también la
actualización en español, seleccionando el idioma en la
opción "Change language", a la derecha de la página.
* Office 97 y Word 98 (Japonés):
La información sobre como recibir el soporte para Microsoft
Word 97 & Microsoft Word 98 (Japonés) y el soporte se
encuentra disponible en este enlace:
http://support.microsoft.com/default.aspx?scid=kb;en-us;827656
Aunque todos los enlaces con lleven a la página donde está la
actualización en inglés, se puede encontrar también la
actualización en español (donde corresponda), seleccionando
el idioma en la opción "Change language", a la derecha de la
página.
Microsoft recomienda visitar el sitio de actualización de
Office para detectar e instalar el parche de seguridad y
todos los que anteriormente han sido publicados para la
familia de los productos de Office (Nota: el sitio de Office
Update no proporciona el soporte para los siguientes
productos: Office 97 y Visio 2000):
http://www.office.microsoft.com/ProductUpdates/default.aspx
* Más información:
Microsoft Security Bulletin MS03-036
http://www.microsoft.com/security/security_bulletins/ms03-036.asp
Microsoft Knowledge Base Article - 827103
http://support.microsoft.com/?kbid=827103
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1154 Año 7, Jueves 4 de setiembre de 2003
|
VSantivirus No. 11
Responder a este mensaje
