Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad en múltiples antivirus con archivos ZIP
 
VSantivirus No. 1566 Año 8, miércoles 20 de octubre de 2004

 Vulnerabilidad en múltiples antivirus con archivos ZIP
http://www.vsantivirus.com/20-10-04.htm

Por Angela Ruiz
angela@videosoft.net.uy

Una vulnerabilidad que afecta a la mayoría de los antivirus, podría permitir que un código malicioso no fuera correctamente detectado.

Según un aviso publicado por iDefense, el problema ocurre por un error en la interpretación del cabezal de los archivos comprimidos con extensión .ZIP.

El formato .ZIP almacena la información acerca de los archivos comprimidos en dos ubicaciones, un cabezal local y otro global. El cabezal local (local header), se encuentra al comienzo de los datos comprimidos de cada archivo, mientras que el cabezal global (global header) está presente al final del archivo .ZIP.

Según iDefense, es posible modificar la indicación del tamaño que los archivos tienen al ser descomprimidos, en ambos cabezales, sin afectar su funcionalidad.

Esta vulnerabilidad ha sido confirmada tanto en WinZip como en las carpetas comprimidas de Windows. Un atacante podría comprimir un código malicioso y eludir la detección de un antivirus, modificando dentro de los cabezales local y global, el tamaño que tendría el archivo descomprimido, a los efectos que parezcan tener cero bytes.

Prácticamente todos los antivirus tienen la habilidad de examinar el contenido de los archivos comprimidos. Muchos usuarios, luego que su antivirus debidamente actualizado, ha examinado uno de estos archivos sin detectar ningún código maligno, suelen confiarse, procediendo a abrirlos.

iDefense confirma en su comunicado, que la vulnerabilidad fue detectada en los productos de McAfee, Computer Associates, Kaspersky Labs, Sophos, Eset y RAV. No son afectadas las últimas versiones de Symantec, Bitdefender, Trend Micro y Panda Software. Otros antivirus no fueron testeados.

NOD32, el antivirus de Eset, ha sido el primero en solucionar dicho problema, desde su actualización automática del pasado 16 de setiembre (hace ya más de un mes).

Según informa Eset, "la vulnerabilidad fue causada por el hecho que algún software de compresión y descompresión de archivos (incluido WinZip), maneja en forma incorrecta archivos comprimidos cuyos encabezados han sido deliberadamente modificados, permitiendo así la creación de archivos dañados."

"Eset ha realizado las modificaciones apropiadas al código encargado de examinar los archivos comprimidos, a los efectos de manejar correctamente esa clase de archivos, inmediatamente después de recibir la notificación de iDefense. Estos cambios están contenidos en la versión de módulo soporte de archivos comprimidos 1.020 (y posteriores), liberada el 16 de setiembre de 2004 (actualmente el módulo es el 1.021). La actualización estuvo disponible para todos los usuarios de NOD32 en forma automática, en la actualización de firmas de ese mismo día".

Otros antivirus han reaccionado de diferente forma. McAfee publicó actualizaciones el 6 y 13 de octubre. Sophos anunció actualizaciones a su máquina de escaneo para el 20 y 22 de octubre (versión 3.87), aunque aclara que no ha sido reportada ninguna incidencia de código malicioso que explote este fallo.

Kaspersky solucionará el problema en su próxima actualización acumulativa (anunciada para este mes). Computer Associates solo aclara que el problema no ha afectado a ninguno de sus usuarios, y que el mismo será solucionado a la brevedad para proteger a sus clientes de posibles incidencias.

RAV (el fabricante de antivirus adquirido por Microsoft), no ha emitido ninguna respuesta oficial.

iDefense aconseja a quienes no tengan un software antivirus actualizado a los efectos de responder a esta amenaza, a incluir filtros perimetrales para toda clase de archivos comprimidos.


Más información:

Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability
www.idefense.com/application/poi/display?id=153&type=vulnerabilities&flashstatus=true


Nota: Video Soft, empresa creadora de VSAntivirus, es distribuidora de los productos de Eset para Uruguay.




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS