VSantivirus No. 554 - Año 6 - Domingo 13 de enero de 2002

VSantivirus No. 554 - Año 6 - Domingo 13 de enero de 2002

VSantivirus No. 554 - Año 6 - Domingo 13 de enero de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Virus en archivos Flash y una solución a medias
2 - Manipulación de archivos de RealPlayer provoca su cuelgue
_____________________________________________________________

1 - Virus en archivos Flash y una solución a medias
_____________________________________________________________

Virus en archivos Flash y una solución a medias
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

[Basado en reportaje de Newsbytes]

Como respuesta a la aparición del primer virus capaz de
infectar archivos en formato Flash, Macromedia creó una
herramienta que impide la explotación de este tipo de código
malicioso.

Sin embargo, varios expertos consideran que esta utilidad, en
realidad, por cerrar una ventana por la que se puede filtrar
un virus determinado, deja abierta una puerta potencialmente
más peligrosa, para ser usada por los creadores de virus.

Macromedia no ha emparchado el agujero original, sino que
solo ha hecho más difícil la ejecución de los archivos en ese
formato.

La herramienta, llamada SWF Clear Utility, realiza cambios en
el registro de Windows, de modo que el sistema deja de
reconocer algunas clases de archivos Shockwave Flash.

Como resultado de esto, los usuarios que han instalado la
versión independiente del reproductor de Macromedia Flash,
disponible solo con el paquete para desarrolladores de Flash
5, están protegidos del virus.

La gran mayoría de usuarios de Internet por lo pronto,
tampoco son vulnerables al virus, ya que ejecutan estos
archivos solo a través del Explorador de Windows, no desde el
reproductor.

Cuando es ejecutado desde el Explorador, utilizando el plugin
correspondiente, parte de la instalación de Windows o las
versiones recientes de Internet Explorer, el virus no es
operativo, al no poder utilizar el comando especial en el
lenguaje usado por Flash, ActionScript.

Este comando, FScommand:exec, es requerido por el virus
SWF/LFM.926 para propagarse a otros archivos Flash.

Después de la ejecución de la herramienta SWF Clear Utility,
todo usuario que descargue o reciba un archivo Flash
infectado por e-mail, no lo podrá ejecutar sin antes volver a
asociar la extensión .SWF con alguna aplicación.

Según Macromedia, los usuarios que aplican la utilidad
mencionada, aún son capaces de visualizar animaciones hechas
con Flash a través de sus navegadores. Porque el riesgo está
en la manipulación del código a través de ActionScript.

La mayoría piensa que la meta debe ser hacer más seguro el
producto. Si existen comandos para ejecutar acciones que
permiten a los escritores de virus acceder a las máquinas,
tarde o temprano se creará un virus o troyano capaz de
explotar maliciosamente esta facilidad.

Para Macromedia, ActionScript es fundamental para el
desarrollo de una herramientas de autor. Sin este lenguaje,
Flash sería solo un producto para crear animaciones.

ActionScript permite el desarrollo de interfaces de usuario y
aplicaciones, y no solo animaciones con Flash.

La idea no es quitar esa facilidad, sino hacerla más segura.

Una situación que muchos expertos ven muy parecida al dilema
vivido en su oportunidad, por Microsoft con su lenguaje de
macros.

Puede ser algo muy práctico, o una gran pesadilla...

Nota: Debido a su característica forma de implementar la
infección, el virus SWF/LFM.926 solo puede actuar bajo
sistemas Windows NT, 2000 o XP.

Referencias:

Descarga de la herramienta SWF Clear Utility de Macromedia:
http://www.macromedia.com/support/flash/ts/documents/swf_clear.htm

VSantivirus No. 550 - 9/ene/02
SWF/LFM.926. El primer virus de Shockwave del mundo
http://www.vsantivirus.com/lfm-926.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Manipulación de archivos de RealPlayer provoca su cuelgue
_____________________________________________________________

Aviso de seguridad: Desbordamiento de búfer en
RealPlayer
Nombre original: RealPlayer Buffer Overflow
Fecha original: 10/ene/02
Autor/descubridor: tmorgan-security@kavi.com
Aplicación vulnerable: Reproductor RealPlayer bajo Windows
2000 o Linux
Severidad: Alta
Riesgo: Posibilidad de colgar al RealPlayer
en forma remota, y consecuentemente
al sistema operativo. Posibilidad de
ejecución de comandos o programas
peligrosos en forma remota.
Fabricante: www.real.com

Un desbordamiento de búfer descubierto en el reproductor
RealPlayer, causa el cuelgue de éste, y bajo ciertas
condiciones, puede provocar la caída de Windows.

La vulnerabilidad permite que un usuario remoto que haya
creado un archivo de RealPlayer especialmente manipulado para
provocar el desbordamiento, ocasione en el mejor de los casos
el cuelgue del programa (ataque de negación de servicio), y
en el peor, la posible ejecución de código arbitrario y
potencialmente peligroso.

El fallo puede ser provocado en múltiples versiones del
formato Real Media (.RM), incluyendo el denominado G2 y otras
anteriores.

El desbordamiento se produce por una mala implementación de
los valores especificados en la validación de varios campos
usados por el formato de estos archivos. El cambio malicioso
de dos de esos bytes, modifica los límites asignados para
guardar determinada información en el programa, cuando la
misma está en memoria.

La manipulación malintencionada de esta información, puede
provocar además del cuelgue, la ejecución de código
arbitrario. Esto último no ha sido comprobado aún.

Una demostración de la falla está disponible en la red:
http://www.sentinelchicken.net/files/firstrun.rm (cuidado,
puede provocar el cuelgue del sistema).

No hay solución aún aportada por el fabricante.

Los riesgos pueden disminuirse si no se ejecutan archivos de
RealMedia presentes en sitios desconocidos.

Están afectados los sistemas operativos Linux y Windows, y ha
sido testeado en Windows 98 SE, Windows 2000, Windows ME y
Debian/GNU Linux Stable

El formato RealMedia consiste en dos bloques principales, un
cabezal y el stream (o sea el flujo de los datos, que se van
"ejecutando" en nuestra PC a medida que se van recibiendo).
El header, o cabezal, es el que puede ser manipulado para
contener la información errónea de los datos solicitados.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________