Mostrando mensaje 247     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1198 Año 7, Sábado 18 de octubre de 2003 Fecha: Sabado, 18 de Octubre, 2003  06:11:08 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1198 Año 7, Sábado 18 de octubre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Reciente parche de Microsoft es incompatible 2 - Virus incluido en subtítulos de películas 3 - MS03-046 Ejecución de código en Exchange Server (829436) 4 - MS03-047 Ataque XSS en Exchange Server 5.5 (828489) _____________________________________________________________ 1 - Reciente parche de Microsoft es incompatible _____________________________________________________________ http://www.vsantivirus.com/ev-ms03-045.htm Reciente parche de Microsoft es incompatible Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Microsoft reconoció un problema de compatibilidad con uno de sus últimos parches. Uno de los últimos parches publicados por Microsoft, provoca el mal funcionamiento de programas, pantallas azules y bloqueos de todo el sistema. Solo afecta a usuarios de Windows 2000 SP4, en algunos idiomas específicos, entre ellos el parche en español. Hace un par de días, Microsoft liberó un paquete de parches para diversas vulnerabilidades, algunas de ellas consideradas críticas. Dentro de las no críticas (pero si importantes), se encuentra la descripta en el boletín MS03-045, y su correspondiente parche, que corrige un desbordamiento de búfer en los controles "ListBox" y "ComboBox", falla que puede permitir la ejecución de código. Bajo ciertas circunstancias, aquellos usuarios que instalan dicho parche, pueden encontrarse con el mal funcionamiento de diversos programas y aplicaciones (incluyendo antivirus como Nod32 y Sophos entre otros), pantallas azules y bloqueos de Windows. La falla, no se presenta bajo todas las configuraciones que involucra el escenario cubierto por este parche, sino únicamente en algunas versiones específicas de Windows 2000 con el Service Pack 4 instalado. Según Microsoft, este problema no está relacionado con la vulnerabilidad discutida en el mencionado boletín. La falla del parche, parece ocurrir por una sobrescritura del espacio asignado en memoria a dos librerías, KERNEL32.DLL y MPR.DLL, y solo se produce en la versión de Windows mencionada, pero solo con las versiones del parche en los siguientes idiomas: español, turco, sueco, ruso, portugués, polaco, noruego, italiano, húngaro, finlandés, danés, checo y también la versión brasileña. La solución, hasta que Microsoft publique la actualización para este parche, es desinstalar el mismo si el sistema se comporta como se ha descripto. Para ello, desde Panel de Control, Agregar o Quitar Programas, seleccione la actualización identificada como Q824141 y quítela. Para explotar esta falla, un atacante debe tener un acceso válido al sistema, ya que la misma no puede explotarse remotamente. El riesgo es menor si se siguen las prácticas de seguridad normales que se recomiendan para restringir el ingreso en forma interactiva a los equipos afectados. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=316 * Relacionados: MS03-045 Falla en "ListBox" y "ComboBox" (824141) http://www.vsantivirus.com/vulms03-045.htm En un solo día, 7 nuevos parches de seguridad http://www.vsantivirus.com/ev16-10-03.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Virus incluido en subtítulos de películas _____________________________________________________________ http://www.vsantivirus.com/18-10-03.htm Virus incluido en subtítulos de películas Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Un autor de virus rumano se aprovecha del último éxito de Tarantino. En reciente nota de prensa, SoftWin, empresa dedicada a la seguridad informática y fabricante del antivirus BitDefender, advierte sobre la aparición en Internet de un nuevo caballo de Troya con características backdoor (acceso clandestino por puerta trasera), circulando camuflado en unos archivos .ZIP, que dicen contener subtítulos para una película recientemente estrenada. Según BitDefender, algunos datos incluidos en el cuerpo del troyano, parecen indicar que el autor sería un rumano simpatizante de un grupo de música underground. "Este virus engaña a los usuarios para ejecutar el backdoor, aprovechándose del nombre de la película 'Kill Bill'. El archivo ZIP fue especialmente construido, de manera que muchos antivirus no puedan identificarlo como ejecutable", declara Patrick Vicol, Analista de Virus para los Laboratorios BitDefender. "El backdoor envía mensajes de correo al autor del virus, conteniendo contraseñas de red y de Internet y también informaciones estadísticas del sistema", agregó Vicol. El mensaje de e-mail tiene el siguiente formato: De: BUG_Mafia@as.ro Para: mandaril@as.ro Asunto:#2.02dev X-Mailer: bugmafia v2.02dev "No hay ninguna razón para confirmar una conexión entre el grupo hip-hop rumano y el autor del virus" comenta Mihai Radu, Director de Comunicación en BitDefender. "Sin embargo, hubo una versión del legendario backdoor SubSeven que incluía referencias a BUG Mafia. Podría haber una conexión entre los dos autores de virus, pero ello sería una mera especulación, por lo menos en este momento" concluyó Radu. Los especialistas de BitDefender advirtieron al proveedor de Internet AS.ro en cuanto a las direcciones de correo BUG_Mafia@as.ro y mandaril@as.ro (la última perteneciendo posiblemente al autor del troyano). Después de esta intervención, la cuenta mandaril@as.ro fue eliminada del servidor. BUG Mafia no mostró disponibilidad para comentar este asunto. "Desde luego, podrían haber otros archivos de subtítulos infectados, más allá del que identificamos, pero, por el momento, no contamos con informaciones sobre la circulación del virus. Asimismo, tenemos motivos para considerar que este troyano no se propagará demasiado" concluyó el analista de virus de BitDefender. "Kill Bill - Vol. 1", película dirigida por Quentin Tarantino y teniendo como protagonistas a Uma Thurman, Lucy Liu y Darryl Hannah, entró en el box-office norteamericano tras alcanzar 22.1 millones de dólares con el mero estreno (ASSOCIATED PRESS). En Estados Unidos, la película fue etiquetada R (restringido) por su extrema violencia. [Información proporcionada por BitDefender España, http://www.bitdefender-es.com] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - MS03-046 Ejecución de código en Exchange Server (829436) _____________________________________________________________ http://www.vsantivirus.com/vulms03-046.htm MS03-046 Ejecución de código en Exchange Server (829436) Por Lissette Zapata liszapata@videosoft.net.uy Vulnerabilidad en Microsoft Exchange Server, puede permitir la ejecución arbitraria de código. * Nivel de Gravedad: Critica * Programas Afectados: Microsoft Exchange Server 5.5, Service Pack 4 Microsoft Exchange 2000 Server, Service Pack 3 * Programas No Afectados: Microsoft Exchange Server 2003 * Descripción Una vulnerabilidad en el Internet Mail Service (servicio de correo) del Microsoft Exchange Server 5.5, podría permitir a un atacante no autenticado conectarse al puerto SMTP en un servidor Exchange Server y construir una solicitud modificada maliciosamente, que asigne una gran cantidad de memoria. Esto podría cerrar el Internet Mail Service, o podría causar que el servidor dejara de responder debido a una condición de memoria baja. En Exchange Server 2000, la vulnerabilidad podría permitir que un atacante no autenticado se conecte al puerto SMTP del Exchange Server, y emitir una solicitud modificada maliciosamente, que podría causar una denegación de servicio (DoS), similar a la que podría ocurrir en Exchange 5.5. Adicionalmente, si un atacante construye la solicitud con datos cuidadosamente escogidos, podría ocasionar un desbordamiento de búfer capaz de permitir la ejecución de cualquier programa seleccionado por él, en el contexto de seguridad asignado al servicio SMTP. * Factores mitigantes: Microsoft ISA Server 2000, o un producto de terceros que redireccione y filtre el trafico SMTP antes de remitirlo al Exchange, podría usarse para prevenir este tipo de ataque. * Rating de Severidad: Exchange Server 5.5: Importante Exchange 2000 Server: Critica * Parches: El parche puede descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Exchange Server 5.5, Service Pack 4 (4 idiomas: ingles, francés, alemán y japonés) http://www.microsoft.com/downloads/details.aspx?FamilyId=A9E8 72EA-54B0-4179-8AE9-5648BFB46459&displaylang=en Microsoft Exchange 2000 Server, Service Pack 3 (5 idiomas: ingles, francés, alemán, japonés y Español) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=7BAF5394-1B4E-4937-A570-9F232AE49F01 * Nota: Antes de instalar este parche por favor verifique que los sistemas operativos que se mencionan tengan instalados los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o llevarse a cabo de manera incorrecta. * Más información: Microsoft Security Bulletin MS03-046 http://www.microsoft.com/technet/security/bulletin/MS03-046.asp http://www.microsoft.com/security/security_bulletins/ms03-046.asp Microsoft Knowledge Base Article - 829436 http://support.microsoft.com/?kbid=829436 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - MS03-047 Ataque XSS en Exchange Server 5.5 (828489) _____________________________________________________________ http://www.vsantivirus.com/vulms03-047.htm MS03-047 Ataque XSS en Exchange Server 5.5 (828489) Por Lissette Zapata liszapata@videosoft.net.uy Una vulnerabilidad en el Outlook Web Access de Microsoft Exchange Server 5.5, puede permitir un ataque del tipo Cross- Site-Scripting (XSS). Afecta solo al Microsoft Exchange Server 5.5 * Nivel de Gravedad: Moderado * Programas Afectados: Microsoft Exchange Server 5.5, Service Pack 4 * Programas No Afectados: Microsoft Exchange 2000 Server Microsoft Exchange Server 2003 * Descripción Esta vulnerabilidad del tipo Cross-Site Scripting (XSS), es el resultado de la manera en que el Outlook Web Access (OWA), genera el código HTML para el formulario de creación de un nuevo mensaje. Una vulnerabilidad Cross-Site Scripting (XSS), permite que un usuario malicioso introduzca un código ejecutable de su elección en la sesión web de otro usuario (http://www.microsoft.com/technet/security/news/crssite.asp). Un atacante podría aprovecharse de esta vulnerabilidad, haciendo que un usuario (víctima), ejecute un script en su beneficio. El script se ejecutaría en el contexto de seguridad del usuario, usando las configuraciones de seguridad del OWA en ese sitio Web (o de otro sitio Web que se aloje en el mismo servidor), permitiendo al atacante acceder a cualquier dato que pertenezca al sitio al cuál el usuario tiene acceso. Para aprovecharse de esta vulnerabilidad a través del OWA, un atacante tendría que enviar un mensaje de correo electrónico que contenga un enlace especialmente construido para ese usuario y éste debería hacer clic sobre ese enlace. Para explotar de otra manera ésta vulnerabilidad, el atacante tendría que saber el nombre del servidor de Exchange del usuario y entonces persuadir a éste para abrir un enlace especialmente creado desde otra fuente, mientras el usuario tiene una sesión activa en el OWA. Nota: los usuarios que han personalizado cualquiera de las páginas ASP en la sección File Information, deberán hacer una copia de seguridad de esos archivos antes de aplicar este parche, para luego recuperarlas. Cualquier personalización necesitará ser aplicada de nuevo. * Rating de Severidad: Exchange Server 5.5 Outlook Web Access: Moderada * Parche: El parche puede descargarse del siguiente enlace: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Exchange Server 5.5, Service Pack 4 (4 idiomas: ingles, francés, alemán y japonés) http://www.microsoft.com/downloads/details.aspx?FamilyId=C516 FE75-95CE-4FFF-B83D-9B170FCD0C1C&displaylang=en * Nota: Antes de instalar este parche por favor verifique que los sistemas operativos que se mencionan tengan instalados los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o llevarse a cabo de manera incorrecta. * Más información: Microsoft Security Bulletin MS03-047 http://www.microsoft.com/technet/security/bulletin/MS03-047.asp http://www.microsoft.com/security/security_bulletins/ms03-047.asp Microsoft Knowledge Base Article - 828489 http://support.microsoft.com/?kbid=828489 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1198 Año 7, Sábado 18 de octubre de 2003