Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Desbordamiento de búfer con etiqueta IFRAME en IE
 
VSantivirus No. 1581 Año 8, jueves 4 de noviembre de 2004

 Desbordamiento de búfer con etiqueta IFRAME en IE
http://www.vsantivirus.com/vul-ie-iframe-031104.htm

Por Angela Ruiz
angela@videosoft.net.uy

Una vulnerabilidad considerada crítica, ha sido reportada en Internet Explorer, la cuál puede ser explotada por usuarios maliciosos para comprometer el sistema del usuario afectado.

La vulnerabilidad es causada por un error de límites en el manejo de ciertos atributos de las etiquetas FRAME e IFRAME en el código HTML. Esto puede ser explotado para causar un desbordamiento de búfer a partir de un documento HTML maliciosamente construido, de tal forma que contenga cadenas excesivamente largas en los atributos SRC y NAME.

La explotación exitosa de este fallo, podría permitir la ejecución arbitraria de código en el equipo afectado, con los privilegios del usuario actual.

La vulnerabilidad ha sido confirmada en las siguientes versiones, todas ellas con las últimas actualizaciones instaladas:

- Internet Explorer 6.0
- Internet Explorer 6.0 de Windows XP
- Internet Explorer 6.0 de Windows XP SP1
- Internet Explorer 6.0 de Windows 2000

No es afectado el Internet Explorer de Windows XP con el SP2 instalado.

Esta alerta ha sido considerada como "extremadamente crítica" por Secunia, debido a que existe al menos un exploit totalmente operativo, que ha sido publicado en listas de correos y foros públicos.

El exploit utiliza JavaScript para preparar la memoria en el equipo de la víctima, de tal modo de generar los bloques necesarios para poder ejecutar código en un entorno shell. Sin este manejo previo, el ataque puede ser sumamente difícil de implementar.

En las pruebas realizadas, el exploit produce un consumo excesivo de memoria y afecta al componente SHDOCVW.DLL, pero a partir de él podría generarse otro exploit más dañino, incluso con la posibilidad de ejecutar un código determinado.

Otros programas relacionados, como Outlook, Outlook Express, AOL, Lotus Notes, etc., que utilizan la facilidad de visualizar código HTML a partir del control ActiveX WebBrowser, también pueden ser afectados.

La vulnerabilidad fue descubierta con el uso de una herramienta automatizada que genera código HTML aleatoriamente modificado para detectar problemas de seguridad en los navegadores más conocidos, como Internet Explorer, Mozilla, Firefox, Netscape, Konqueror, Safari, Lynx, etc.

Para explotar este fallo en forma remota, solo es necesario engañar al usuario para que visualice en su navegador un documento HTML especialmente modificado. Esto incluye un mensaje electrónico con formato HTML.

Desactivar la ejecución de Active Scripting, también impide la ejecución del componente que permite la preparación de la memoria, como se explicaba antes, por lo que se recomienda a todos los usuarios configurar Internet Explorer como se explica en el siguiente artículo:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

También se recomienda la actualización inmediata con el Service Pack 2, de Windows XP, para estar protegido de ésta y otra clase de ataques similares.

Solución:

La siguiente actualización remueve la vulnerabilidad modificando el modo en que el Internet Explorer valida el largo de los mensajes cuando se procesan elementos HTML:

MS04-040 Actualización acumulativa para IE (889293)
http://www.vsantivirus.com/vulms04-040.htm

Otras recomendaciones:

No seguir enlaces en mensajes no solicitados, tanto en correo electrónico, como programas de mensajería instantánea, foros o canales de IRC.

Configurar el cliente de correo electrónico para visualizar los mensajes en formato de texto plano. En Outlook Express 6, por ejemplo, configurar en Herramientas, Opciones, la casilla "Leer todos los mensajes como texto sin formato".

Mantener actualizado su antivirus.


Créditos: ned y SkyLined

Investigación adicional y exploit: Berend-Jan Wever

Referencias:

Internet Explorer IFRAME Buffer Overflow Vulnerability
http://secunia.com/advisories/12959/


Más información:

MS04-040 Actualización acumulativa para IE (889293)
http://www.vsantivirus.com/vulms04-040.htm

Microsoft le cierra el paso al virus Bofra
http://www.vsantivirus.com/02-12-04.htm

Bofra ataca el ciclo de actualizaciones de Microsoft
http://www.vsantivirus.com/15-11-04b.htm

W32/Bofra.H. Se vale de la vulnerabilidad en IFRAME
http://www.vsantivirus.com/bofra-h.htm

W32/Mydoom.AD. Se vale de la vulnerabilidad en IFRAME
http://www.vsantivirus.com/mydoom-ad.htm

Vulnerabilidad en IFRAME permite ataque remoto en IE
http://www.vsantivirus.com/vul-ie-iframe-2810004.htm


Actualizaciones:

01/12/04 - 23:59 -0200 (Parches para esta vulnerabilidad)



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS