|
Mostrando mensaje 583
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1534 Año 8, sábado 18 de setiembre de 2004 | | Fecha: | Sabado, 18 de Septiembre, 2004 03:33:33 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1534 Año 8, sábado 18 de setiembre de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - ¡Peligro inminente de virus en imágenes JPEG!
2 - Vulnerabilidad en Windows XP SP2 más IE6
3 - Vulnerabilidad en instalación de Windows XP en IBM
_____________________________________________________________
1 - ¡Peligro inminente de virus en imágenes JPEG!
_____________________________________________________________
http://www.vsantivirus.com/18-09-04-jpeg.htm
¡Peligro inminente de virus en imágenes JPEG!
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Hemos detectado y descargado de Internet, algunas pruebas de
concepto (PoC), que explotan la vulnerabilidad en el
procesamiento de los archivos JPEG reportada por Microsoft en
su boletín MS04-028. Esto podría hacer inminente la aparición
de gusanos que se aprovechen de este fallo, el cuál afecta a
múltiples programas.
La vulnerabilidad se produce por un desbordamiento de búfer
durante el proceso de imágenes con formato JPEG. Cualquier
programa que procese estas imágenes sobre los sistemas
afectados, podría ser vulnerable al ataque de un código
malicioso.
Debido al potencial impacto de esta vulnerabilidad (la
posibilidad de ejecutar código por el simple hecho de
visualizar una imagen en un sitio Web, en un mensaje
electrónico, o desde programas como Outlook, Word, Excel,
PowerPoint, FrontPage, etc.), es de presumir que estos
exploits podrían ser usados muy pronto por gusanos u otra
clase de malware.
Al menos uno de los exploits probados en nuestro laboratorio,
provoca el cuelgue del Internet Explorer si no se tienen
instalados los parches respectivos (son vulnerables Windows
XP, XP SP1, Internet Explorer 6 y 6 SP1, y una larga lista de
programas).
Otros exploits probados en nuestro laboratorio, no produjeron
ningún efecto en el sistema, pero seguramente al menos alguno
de ellos será corregido por sus autores.
El exploit operativo, aún cuando se trata de una simple
demostración sin consecuencias maliciosas (más allá de cerrar
algunos programas), perfectamente podría ser utilizado en
cuestión de horas, por algún escritor de virus con
intenciones más dañinas.
Se reitera la urgencia de actualizar a la brevedad posible
los sistemas vulnerables, según se explica en el boletín
publicado por Microsoft (ver enlaces). También es importante
mantener al día sus programas antivirus.
Aunque Windows XP con el Service Pack 2 no es vulnerable por
si mismo, el simple uso de alguno de los otros productos
vulnerables, podría comprometer al sistema completo.
* Más información:
Actualización de seguridad de septiembre de 2004
para procesamiento de JPEG (GDI+)
www.eu.microsoft.com/spain/seguridad/boletines/MS04-028-USER.mspx
Boletín de seguridad de Microsoft MS04-028
www.eu.microsoft.com/spain/technet/seguridad/boletines/MS04-028-IT.mspx
MS04-028 Ejecución de código en proceso JPEG (833987)
http://www.vsantivirus.com/vulms04-028.htm
Infectarse por ver una imagen ya no es un mito
http://www.vsantivirus.com/ev-15-09-04.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Vulnerabilidad en Windows XP SP2 más IE6
_____________________________________________________________
http://www.vsantivirus.com/vul-xpsp2-ie6-170904.htm
Vulnerabilidad en Windows XP SP2 más IE6
Por Angela Ruiz
angela@videosoft.net.uy
Windows XP Service Pack 2 ha introducido nuevas
características de seguridad en el Internet Explorer. Una de
ellas es la presentación de mensajes adicionales que obligan
al usuario a validar algunas de las acciones del navegador.
La mayoría de estos mensajes son desplegados en la nueva
barra de información. Por ejemplo, si usted intenta abrir una
página web que contenga código JavaScript u objetos ActiveX,
es probable que la misma sea bloqueada y aparezca la barra de
información ofreciéndole recargar esa página con los
componentes no confiables habilitados.
Más información en el siguiente enlace:
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2brows.mspx
La otra cara de esta característica, es que algunos sitios no
podrán ser visualizados tan fácilmente como antes, porque el
usuario tiene que responder a una gran cantidad de
notificaciones y preguntas.
Se ha detectado una vulnerabilidad en esta característica,
que puede hacer que un sitio con contenido malicioso se
llegue a visualizar sin la presentación de esta barra de
información.
Se ha publicado un ejemplo, a partir de un documento XHTML,
conteniendo MathML (Mathematical Markup Language) y teniendo
instalado el plugin ActiveX MathPlayer de DesignScience
(http://www.dessci.com/en).
Este tipo de documento es interpretado correctamente en el
Internet Explorer 6, pero desde que el SP2 instala sus nuevas
características, interfiere con la carga de dicho componente.
La página es cargada primero sin el MathPlayer, que debe ser
autorizado luego a través de la barra de información. Pero la
vulnerabilidad detectada en el Internet Explorer, permite que
esta protección sea evitada.
Solo es necesario agregar un comentario falso entre la
declaración DOCTYPE y la etiqueta <html>. Esta etiqueta imita
a la agregada por el Internet Explorer cuando la página es
grabada al disco:
<!-- saved from usr=(XXXX)URL -->
Donde URL debe ser reemplazada por una dirección (en el
ejemplo: http://www.example.com/), y las "XXXX" por un entero
de 4 dígitos que representa el número de caracteres de la
dirección (en el ejemplo 0023).
Para comprobarlo, instale el plugin de DesignScience. Pegue
el siguiente texto en un archivo con extensión .xml, una vez
con y otra sin la línea "saved from...". Abra cada una de
esas versiones con el Internet Explorer.
Ejemplo:
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC
"-//W3C//DTD XHTML 1.1 plus MathML 2.0//EN"
"http://www.w3.org/TR/MathML2/dtd/xhtml-math11-f.dtd";>
<!-- saved from url=(0023)http://www.example.com/ -->
<html xmlns="http://www.w3.org/1999/xhtml";>
<HEAD>
<TITLE>IE Vulnerability example</TITLE>
<BODY>
<math displaystyle="true" xmlns="&mathml;">
<mfrac>
<mn>27</mn>
<mn>12</mn>
</mfrac>
</math>
</BODY></HTML>
Esto puede trabajar también con páginas conteniendo
Javascript.
Son afectados los siguientes sistemas:
Windows XP Pro y Home con SP2
Internet Explorer 6.0 (SP2)
* Nota VSAntivirus:
Esta vulnerabilidad permite eludir la aparición de los
mensajes de advertencia, sin embargo, para que se llegue a
ejecutar código, se deberían utilizar otras vulnerabilidades
del sistema, hasta este momento no reportadas.
Seguimos sugiriendo, aún con el SP2 de Windows XP instalado,
la siguiente configuración:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
* Créditos: Cyrille SZYMANSKI
* Reporte original:
Bugtraq: IE6 + XP SP2 Vulnerability
http://seclists.org/lists/bugtraq/2004/Sep/0214.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Vulnerabilidad en instalación de Windows XP en IBM
_____________________________________________________________
http://www.vsantivirus.com/18-09-04.htm
Vulnerabilidad en instalación de Windows XP en IBM
Por Angela Ruiz
angela@videosoft.net.uy
Las instalaciones OEM en equipos IBM de Windows XP y XP SP1,
contienen una cuenta oculta de administrador implementada sin
contraseña por defecto. El uso de esta cuenta permite a
cualquier con acceso físico a estas computadoras, tomar el
control total de las mismas, con la posibilidad de agregar
cualquier clase de software, y de acceder a cualquier clase
de archivo o documento.
IBM no informa al usuario de esta cuenta durante la
instalación de Windows XP, y por lo tanto no ofrece la opción
de poner una contraseña a la misma. Y peor aún, si el
instalador encuentra la función para cambiar la contraseña
para la cuenta de Administrador, recibe una advertencia de
que si lo hiciera, podría sufrir la perdida de sus datos. Las
buenas prácticas de seguridad requieren una contraseña en
todas las cuentas administrativas (y root).
Debido a que el principal mercado de la compañía son
organizaciones financieras, agencias de gobierno, y
organizaciones dedicadas a la investigación en distintos
ámbitos, esta característica se constituye en un grave riesgo
de seguridad.
Versiones OEM de Windows XP Professional desarrolladas por
empresas como Dell, HP y otras, no presentan estas
características.
Las propias versiones ofrecidas directamente por Microsoft de
su sistema operativo, advierten al instalador que se debe
proporcionar un nombre y una contraseña para la cuenta
llamada Administrador, y que se puede usar esa cuenta cuando
el usuario necesite el acceso total a su computadora.
Aunque la instalación puede seguir si no se ingresa una
contraseña, se enfatiza la necesidad de ingresar una.
Adicionalmente, el usuario es incitado a crear una cuenta de
usuario regular para uso general.
En contraste, la implementación de IBM del programa de
instalación de Windows XP, no incluye estos pasos. La
existencia de una cuenta de administrador nunca es
mencionada. En lugar de esto, la instalación pregunta quién
usará la computadora, para que se ingresen los nombres de
cada una de estas personas.
Se advierte que Windows creará una cuenta separada para cada
usuario, la que podrá luego ser personalizada. Por defecto,
ninguna de las cuentas agregadas en ese paso tendrá
contraseña. Tampoco existe una opción para agregar las
contraseñas durante la instalación, aunque esto no es único
del instalador de IBM, es una debilidad conocida en las
versiones de Windows XP "fuera de la caja", incluyendo las de
venta al por menor y las versiones OEM. Debido a que la
cuenta de administrador nunca es solicitada, esto deja al
sistema muy vulnerable.
Utilizando las "Herramientas Administrativas" del Panel de
Control, "Administración de equipos", "Herramientas del
sistema", "Usuarios locales y grupos", "Usuarios", puede
verse que una cuenta Administrador ha sido agregada y
habilitada. Esta cuenta, NO tiene contraseña. Si el
instalador configura una contraseña por cada usuario mostrado
bajo la herramienta "Cuentas de usuario" del Panel de
Control, la cuenta por defecto de Administrador continuará
sin contraseña.
El instalador de IBM nunca informará al usuario que dicha
cuenta existe. Si el usuario intenta colocar manualmente una
contraseña a la cuenta Administrador, entonces se le mostrará
un mensaje de advertencia respecto a que se trata de la
contraseña para el administrador del equipo, y que
modificarla puede causar la perdida irreversible de
información para el usuario de esa cuenta, dejándola
inaccesible.
Esta vulnerabilidad ha existido desde que IBM comenzó a
enviar sus sistemas con Windows XP. La reciente liberación de
Windows XP SP2, debería ser una buena oportunidad para que
IBM remedie esta situación.
IBM ha anunciado que liberará un parche para agregar la
opción de solicitar la contraseña de administrador, el que
será entregado primero en inglés (finales de setiembre) y
luego en otros idiomas (durante octubre). Esto incluirá tanto
SP1 como los sistemas SP2.
De todos modos, se recomienda agregar de inmediato
contraseñas a todos los usuarios, incluyendo la cuenta
Administrador, desde Panel de Control, "Herramientas
Administrativas", "Administración de equipos", "Herramientas
del sistema", "Usuarios locales y grupos", "Usuarios".
* Créditos: Jason Lash, SECNAP Network Security,
www.secnap.com
* Reporte original:
Vulnerability in IBM Windows XP default hidden
Administrator account allows local Administrator access
http://www.secnap.com/security/20040806.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1534 Año 8, sábado 18 de setiembre de 2004
|
Responder a este mensaje
