|
Tercera vulnerabilidad Zero-day en Word (12/12/06)
|
|
VSantivirus No 2323 Año 10, sábado 16 de diciembre de 2006
Tercera vulnerabilidad Zero-day en Word (12/12/06)
http://www.vsantivirus.com/vul-msword-121206.htm
Por Angela Ruiz
angela@videosoft.net.uy
En menos de quince días, una tercera vulnerabilidad del tipo Zero-day que afecta a Microsoft Word, ha sido divulgada públicamente en Internet, con prueba de concepto incluida incluída.
La explotación exitosa de la misma, puede permitir a un atacante remoto la ejecución de código.
"Zero Day" se refiere a información no disponible públicamente. Esto se utiliza a menudo para describir exploits de vulnerabilidades a la seguridad que no son conocidas por los profesionales del tema. Básicamente, un "Zero Day" sería cualquier exploit que no haya sido mitigado por un parche del vendedor.
El ataque, al igual que los anteriores, puede ser lanzado a partir de la apertura de un documento de Word recibido por la víctima, o visualizado desde una página Web maliciosa.
El problema se encuentra en un manejo erróneo del puntero de memoria.
La información utilizada por Microsoft Word para construir la dirección destino de la rutina de copia en memoria, se encuentra embebida dentro del propio documento. Si un atacante construye un archivo de Word con valores específicos, la aplicación sobrescribirá arbitrariamente la memoria.
El efecto más evidente puede ser una denegación de servicio (DoS), o sea que el programa deje de responder o finalice su ejecución con un mensaje de error. Pero también puede ser posible la ejecución de un código malicioso.
Solución:
Al momento de esta alerta, Microsoft no ha publicado parches para ninguno de las tres últimas vulnerabilidades
Zero-day detectadas en Word.
Actualmente, ESET NOD32 detecta el exploit con el nombre de W97M/Exploit.1Table.NAE.
El consejo de todos modos, sigue siendo el no abrir documentos o cualquier clase de archivos no solicitados, sin importar quien es el remitente. Tampoco se deberán seguir enlaces embebidos en mensajes no solicitados (el exploit puede activarse por el simple hecho de visualizar un documento de Word ubicado en una página Web).
Tenga en cuenta además, que cualquier clase de filtro por extensión, no es una protección eficaz, ya que si el documento contiene la información correcta en el cabezal, será abierto por Word sin importar su extensión.
Por defecto Microsoft Office 97 y Microsoft Office 2000, configuran el Internet Explorer para abrir automáticamente documentos de Office en páginas Web. Esta característica puede ser deshabilitada por la herramienta para confirmar que se desea abrir un documento de Office:
http://www.microsoft.com/downloads/details.aspx?familyid=
8B5762D2-077F-4031-9EE6-C9538E9F2A2F&displaylang=es
Los usuarios de Firefox, deberán deshabilitar la apertura automática de archivos (Herramientas, Opciones, Descargas, Ver y editar acciones).
Software afectado:
- Microsoft Office 2000
- Microsoft Office 2003
- Microsoft Office Word 2003 Viewer
- Microsoft Word 2000
- Microsoft Word 2002
- Microsoft Word 2003
- Microsoft Word 2003 Viewer
- Microsoft Word 2004 para Mac
- Microsoft Word X para Mac
Relacionados:
Exploit.1Table.NAE. Detección de exploit de Word
http://www.vsantivirus.com/exploit-1table-nae.htm
Segunda vulnerabilidad Zero-Day en Word
http://www.vsantivirus.com/vul-msword-101206.htm
Vulnerabilidad Zero-day en Word, ejecución de código
http://www.vsantivirus.com/vul-msword-051206.htm
Referencias:
Microsoft Word Code Execution Vulnerability
http://www.securityfocus.com/bid/21589/
Third exploit for Word released
http://seclists.org/isn/2006/Dec/0052.html
Vulnerability Note VU#996892
Microsoft Word malformed pointer vulnerability
http://www.kb.cert.org/vuls/id/996892
Word 12122006-djtest.doc
http://research.eeye.com/html/alerts/zeroday/20061212.html
First Public PoC Code Disclosure (Denial of Service)
http://www.milw0rm.com/exploits/2922
Referencias en "Common Vulnerabilities and Exposures project" (cve.mitre.org):
CVE-2006-6561
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6561
[Última modificación:
19/12/06 02:12 -0300]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|