Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Alerta NARANJA por exploit VML (VGX.DLL)
 
VSantivirus No 2251 Año 10, sábado 23 de setiembre de 2006

Alerta NARANJA por exploit VML (VGX.DLL)
http://www.vsantivirus.com/exploit-vml-220906.htm

Por Angela Ruiz
angela@videosoft.net.uy


Nota 26/09/06: Microsoft publicó el martes 26 de setiembre de 2006 una actualización que corrige el problema:

MS06-055 Ejecución de código en IE (VML) (925486)
http://www.vsantivirus.com/vulms06-055.htm


Se recomienda instalar dicha actualización.

El sábado 23 de setiembre, VSAntivirus cambió su nivel de alerta a Naranja, debido al aumento de reportes sobre la actividad del exploit que provoca un desbordamiento de búfer en el componente VGX.DLL, utilizado por el Internet Explorer, y que permite la ejecución remota de código.

Esta vulnerabilidad del tipo Zero-Day o Día-Cero (o sea, explotada cuando aún no se publica un parche), está relacionada con el uso del lenguaje VML (Vector Markup Language), por parte del Internet Explorer.

Si usted no se ha preocupado aún del tema, debería hacerlo. El exploit funciona más o menos así:

1. Usted visita una página Web cualquiera, ignorando que la misma ha sido comprometida.

2. Cuando Internet Explorer carga la página, una función de JavaScript embebida en la misma, puede cargar una secuencia de códigos capaz de explotar la vulnerabilidad VML en su equipo. Note que si bien la configuración sugerida por VSAntivirus para deshabilitar Active Scripting en el Internet Explorer, impediría en este caso la ejecución del script que inicia la secuencia del ataque, al momento actual no es totalmente seguro que esto pueda evitar todas las variantes que pudieran crearse del exploit, máxime cuando ya existe una herramienta para que cualquiera pueda generarlo, con los cambios que desee.

3. Si el exploit se ejecuta, el código provoca un desbordamiento de búfer en el componente VGX.DLL (Microsoft Vector Graphics Rendering (VML)). Básicamente, esto significa que VGX.DLL reserva cierto espacio en su memoria, para recibir determinados datos, relacionados con la interpretación del lenguaje VML, pero recibe una cantidad mayor de la esperada. El "excedente", sobrescribe el código del propio DLL, y el sistema lo ejecuta. Obvio está en decir, que ese "excedente" contiene alguna clase de código malicioso, generalmente un troyano.

El hecho de que exista una herramienta para crear el exploit, implica que puede agregarse cualquier malware al mismo. A la fecha actual se conocen al menos tres troyanos que utilizan el exploit, y por lo menos uno de ellos con características de rootkit, o sea, con capacidad para ocultarse y evitar ser eliminado luego de su instalación.

Pero este no es el único vector de ataque. Mensajes con formato HTML recibidos por correo electrónico también pueden provocar la ejecución del exploit, si son visualizados en Outlook u Outlook Express.

Ante la gravedad del problema, finalmente Microsoft liberó el parche antes de lo previsto.


Más información:

Sitios pornográficos explotan vulnerabilidad de Internet Explorer
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=672

Microsoft Security Advisory (925568)
Vulnerability in Vector Markup Language Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/925568.mspx

Vulnerability Note VU#416092
Microsoft Internet Explorer VML stack buffer overflow
http://www.kb.cert.org/vuls/id/416092

Microsoft Vector Graphics Rendering Library Buffer Overflow
http://secunia.com/advisories/21989/

Microsoft Internet Explorer Vector Markup Language Code Execution Vulnerability
http://www.frsirt.com/english/advisories/2006/3679

Yellow: MSIE VML exploit spreading (NEW)
http://isc.sans.org/diary.php?n&storyid=1727


Relacionados:

MS06-055 Ejecución de código en IE (VML) (925486)
http://www.vsantivirus.com/vulms06-055.htm

Exploit.VMLFill. Detección de exploit VML (IE)
http://www.vsantivirus.com/exploit-vmlfill.htm

Explicación de códigos de alertas
http://www.vsantivirus.com/codigos-alertas.htm

Zeroday Emergency Response Team (ZERT)
http://isotf.org/zert/



[Última modificación: 27/09/06 03:08 -0300]




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS