Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

No acepte invitaciones de webcam en MSN Messenger
 
VSantivirus No 2531 Año 11, miércoles 29 de agosto de 2007

 No acepte invitaciones de webcam en MSN Messenger
http://www.vsantivirus.com/vul-messenger-cve-2007-2931.htm

Por Angela Ruiz
angela@videosoft.net.uy

MSN Messenger falla al intentar manejar adecuadamente un streams de webcam, lo que podría ser utilizado por un atacante remoto para ejecutar código arbitrario en nuestro PC.

"Streaming" es la técnica utilizada para transmitir datos de tal modo que estos puedan ser procesados en nuestra computadora como un flujo continuo y constante.

MSN Messenger es la conocida aplicación de mensajería instantánea de Microsoft, que a partir de la versión 8 ha sido renombrada como Windows Live Messenger.

Windows Live Messenger y algunas versiones de MSN Messenger, soportan el uso de webcams para conferencias de video utilizando técnicas de "streaming". Ambas aplicaciones requieren la interacción con el usuario para establecer una conexión de este tipo.

La vulnerabilidad se produce por un desbordamiento de la memoria dinámica usada por el programa (heap overflow), cuando se procesa una transmisión de video.

Se conoce la existencia pública de un exploit para este problema. Si un ataque tiene éxito, se puede llegar a provocar la ejecución arbitraria de código con los mismos privilegios del usuario actualmente conectado, aunque en algunos casos, el programa solo dejará de responder (denegación de servicio).

Son vulnerables las versiones anteriores de Windows Live Messenger y aquellas versiones de MSN Messenger que soportan webcam.

La vulnerabilidad no afecta a Windows Live Messenger 8.1 (y superiores).

Si usted no puede instalar esta última versión por las características de su equipo o por cualquier otra razón, la solución para minimizar el peligro es no aceptar invitaciones para el uso de la webcam, sin importar de quién vengan éstas.

Actualización 11/09/07: También puede instalar el siguiente parche, (si corresponde a su sistema operativo):

MS07-054 Ejecución de código en Messenger (942099)
http://www.vsantivirus.com/vulms07-054.htm


Más información:

MSN Messenger Video Conversation Buffer Overflow Vulnerability
http://secunia.com/advisories/26570/

Vulnerability Note VU#166521
MSN Messenger and Windows Live Messenger webcam stream heap overflow
http://www.kb.cert.org/vuls/id/166521

CVE-2007-2931 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2931
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-2931

Vulnerabilidad en MSN Messenger
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=874


Créditos:

team509


 [Última modificación: 12/09/07 01:59 -0200]





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS