VSantivirus No. 862 - Año 7 - Sábado 16 de noviembre de 2002

VSantivirus No. 862 - Año 7 - Sábado 16 de noviembre de 2002

VSantivirus No. 862 - Año 7 - Sábado 16 de noviembre de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Denegación de servicio en el kernel 2.4 de Linux
2 - Autoejecución engañosa de adjuntos en Eudora
3 - Vulnerabilidad en Opera 7.x
4 - Múltiples vulnerabilidades remotas en BIND4 y BIND8
5 - Vulnerabilidad "jar: URI handler" en Netscape y Mozilla
_____________________________________________________________

1 - Denegación de servicio en el kernel 2.4 de Linux
_____________________________________________________________

http://www.vsantivirus.com/vul-linux-kernel24.htm

* Denegación de servicio en el kernel 2.4 de Linux

Aviso de seguridad: Denegación de servicio en kernel 2.4
Fecha original: 15/nov/02
Autor/descubridor: Christophe Devine
Aplicación vulnerable: Linux Kernel 2.4.x
Severidad: Poco crítico (solo afecta el sistema local)
Riesgo: Bloqueo del sistema por denegación de servicio

Una vulnerabilidad que provoca una acción de denegación de
servicio (D.o.S por sus siglas en inglés), ha sido detectado
recientemente.

El propio Linus Thorvalds reconoció la falla, debida a una
implementación errónea en el modo de manejar ciertas
interrupciones.

Existe un exploit publicado para tomar partido de la falla,
pero tanto éste como la falla en si, no son considerados
críticos, debido a que la vulnerabilidad afecta la rama local
del Kernel. El Kernel es el corazón del sistema operativo.

El exploit publicado, solo parece funcionar bajo procesadores
de la gama Intel (i386).

Aunque no hay todavía un parche oficial, existe uno para el
kernel 2.4.20 RC1 en la siguiente dirección (el enlace
ponerlo en una sola línea):

http://www.kernel.org/pub/linux/kernel/people
/alan/linux-2.4/2.4.20/patch-2.4.20-rc1-ac2.gz

Existe otro parche, escrito por Thorvalds, para la versión
2.5 que también funciona con las versiones 2.4. Sin embargo,
se sugiere esperar un parche oficial, ya que la falla puede
convertirse en crítica en algunos sistemas si no se procede
adecuadamente.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Autoejecución engañosa de adjuntos en Eudora
_____________________________________________________________

http://www.vsantivirus.com/vul-eudora-attach-spoof.htm

* Autoejecución engañosa de adjuntos en Eudora

Aviso de seguridad: Engaño en adjuntos de Eudora
Fecha original: 15/nov/02
Autor/descubridor: Paul Szabo
Aplicación vulnerable: Eudora 5.x
Severidad: Crítico (puede ejecutar archivos en forma remota)
Riesgo: Ejecución de código maligno en forma automática
(virus)

Esta falla fue comunicada a Qualcomm, fabricante del programa
de correo Eudora, en agosto de 2002. La vulnerabilidad
permite que un manejo malicioso en los nombres de los
archivos adjuntos a un correo electrónico, permita la
ejecución automática y sin advertencia, de cualquier código
anexado.

El resultado puede ser algo similar al provocado por las
conocidas vulnerabilidades en el Internet Explorer que
permiten que numerosos virus se ejecuten en forma automática,
sin necesidad de que el usuario abra los adjuntos.

En este caso, el usuario piensa haber recibido adjuntos
totalmente legítimos, pero al abrirlos para su lectura, estos
se ejecutan sin advertencia alguna.

Debido a la fecha de reportado, este error debió haber sido
corregido en la versión 5.2 de Eudora, sin embargo, solo se
hicieron modificaciones pequeñas, que no impiden que se pueda
abusar maliciosamente de la falla.

La única indicación visible, podría ser la presencia de
algunos caracteres extraños en los nombres de los archivos
adjuntos a un mensaje. Estos adjuntos suelen ser dos por
mensaje separados por el carácter ">".

* Referencias:

http://lists.netsys.com/pipermail/full-disclosure/2002-
August/000908.html

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - Vulnerabilidad en Opera 7.x
_____________________________________________________________

http://www.vsantivirus.com/vul-opera.htm

* Vulnerabilidad en Opera 7.x

Aviso de seguridad: Vulnerabilidad en Opera 7.x
Fecha original: 15/nov/02
Autor/descubridor: GreyMagic Software
Aplicación vulnerable: Opera 7.x
Severidad: Poco crítico (expone información confidencial)
Riesgo: Ejecución en forma remota

La empresa GreyMagic reveló la existencia de una falla en el
navegador Opera 7, que permite por lo menos la lectura de
archivos locales en forma remota por parte de un intruso.

Aunque podrían ser posibles otras acciones, no se han
revelado más detalles específicos de esta vulnerabilidad.

Se recomienda no instalar la nueva versión de Opera (7.0)
hasta que un parche o una versión actualizada estén
disponibles. Versiones anteriores parecen no estar afectadas.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

4 - Múltiples vulnerabilidades remotas en BIND4 y BIND8
_____________________________________________________________

http://www.vsantivirus.com/vul-bind4-8.htm

Múltiples vulnerabilidades remotas en BIND4 y BIND8

Aviso de seguridad: Múltiples vulnerabilidades remotas en
BIND4 y BIND8
Fecha original: 12/nov/02
Autor/descubridor: ISS X-Force
Aplicación vulnerable: BIND 8.3.3, BIND 8.2.6, BIND 4.9.10
Severidad: Crítico (afecta el funcionamiento de Internet)
Riesgo: Denegación de servicio en los servidores de nombre
afectados.

BIND (siglas de Berkeley Internet Name Domain Server), es una
de las implementaciones del protocolo DNS (Domain Name
Service) más utilizadas en Internet. BIND permite la
conversión de nombres de dominio (www.vsantivirus.com) a una
dirección IP (216.147.193.181). Se trata de un software libre
que se distribuye con su código fuente completo.

Hace pocos días, el Internet Security Systems (ISS), ha
informado de la existencia de varias vulnerabilidades
críticas que afectan a este servicio. Muchos sistemas
operativos incluyen de forma estándar BIND y, en la mayoría
de los casos, es instalado en diversas configuraciones
habituales.

Dos de las fallas más importantes recientemente descubiertas,
permiten a un atacante provocar una acción de denegación de
servicio (DoS), lo que causa el congelamiento del sistema.

Una tercera falla, provoca un desbordamiento de búfer (un
memoria intermedia utilizada para el intercambio de
información). La cantidad de bytes esperados por alguna
acción determinada, supera el espacio disponible, copiándose
parte del código importado en áreas críticas, lo que puede
provocar la ejecución de un programa en forma arbitraria.

Las vulnerabilidades y las versiones afectadas son:

-BIND SIG Cached RR (desbordamiento de buffer):

BIND 8, versiones hasta la 8.3.3-REL (inclusive).
BIND 4, versiones hasta la 4.9.10-REL (inclusive).

-BIND OPT DoS (denegación de servicio):

BIND 8, versiones desde la 8.3.0 hasta la 8.3.3-REL
(inclusive).

-BIND SIG Expiry Time DoS (denegación de servicio):

BIND 8, versiones hasta la 8.3.3-REL (inclusive).

Un uso malicioso de algún exploit que se aproveche de estas
vulnerabilidades, podría provocar un ataque a gran escala a
toda la red.

Es importante señalar que las vulnerabilidades más
importantes afectan únicamente a los usuarios de las
versiones antiguas (4.x y 8.x), por lo que se sugiere
actualizarse a la versión 9.2.1, que no es afectada.

Si solo desea aplicar los parches, diríjase a los enlaces
mencionados a continuación.

* Parches disponibles:

http://www.isc.org/products/BIND/patches/

* Más información:

Multiple Remote Vulnerabilities in BIND4 and BIND8
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp
?oid=21469

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

5 - Vulnerabilidad "jar: URI handler" en Netscape y Mozilla
_____________________________________________________________

http://www.vsantivirus.com/vul-netscape-mozilla.htm

* Vulnerabilidad "jar: URI handler" en Netscape y Mozilla

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Un HANDLER es un manejador de eventos que realiza una acción
especifica.

Un URI (siglas de Identificador Universal de Recursos en
inglés), es una sintaxis que permite el acceso a objetos
disponibles en Internet, utilizando protocolos existentes.

En julio de 2002, fueron anunciadas ciertas vulnerabilidades
que afectaban los navegadores Netscape y Mozilla, que aún no
han sido corregidas.

Recientemente al menos un exploit ha sido hecho público, el
cuál causa la corrupción del sistema al intentar acceder a
ciertos recursos mediante el uso de instrucciones que
involucran el manejo de un handler del tipo URI.

Otras vulnerabilidades aún no corregidas en estos
navegadores, están relacionadas con el uso de archivos GIF de
ancho cero, y otras en el uso de archivos PNG.

Un comando del tipo “jar:URI handler”, puede ser utilizado en
forma maliciosa, para provocar la corrupción del sistema,
previa modificación (en este caso) de un archivo GIF.

Por ejemplo, solo basta un enlace de este tipo:

jar:http://host/~username/new.jar!/test.gif

El resultado puede provocar un desbordamiento de búfer, y en
algunos casos una denegación de servicio y el consiguiente
cuelgue del navegador o de todo el sistema operativo.

No existen parches para esta falla que afecta todas las
versiones de Netscape y Mozilla.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________