Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Ejecución de código en PicoPhone 1.63
 
VSantivirus No. 1358 Año 8, jueves 25 de marzo de 2004

Ejecución de código en PicoPhone 1.63
http://www.vsantivirus.com/vul-picophone163.htm

Un desbordamiento de búfer en PicoPhone 1.63, permite la ejecución de código en forma arbitraria en la computadora con este software instalado.

PicoPhone es una aplicación de telefonía vía Internet, con Chat, desarrollada por Marko Vitez (http://www.vitez.it).

Luigi Auriemma reporta una vulnerabilidad del tipo "buffer overflow" (desbordamiento de búfer) en PicoPhone, mediante la cual, un usuario malintencionado puede ejecutar código arbitrario en el sistema atacado.

Según el reporte, PicoPhone tiene una función de "logging" (registro de acciones), habilitada por defecto, que permite a los usuarios tener un reporte de cualquier llamada y mensaje entrante. Dicha función es vulnerable a un desbordamiento de búfer.

Un usuario remoto puede enviar un paquete especialmente alterado para generar el desbordamiento y ocasionar que el software falle o ejecutar código arbitrario en el sistema del usuario atacado.

Existe un exploit de demostración disponible:

http://aluigi.altervista.org/poc/picobof.zip

Esta afectado por esta vulnerabilidad PicoPhone 1.63 y versiones anteriores.

En la versión 1.64 de PicoPhone este fallo fue corregido, por lo cual se recomienda a los usuarios actualizarse a la misma:

http://www.vitez.it/picophone/PicoPhone164.exe

Descubierto por:
Luigi Auriemma
http://aluigi.altervista.org

PicoPhone:
http://www.vitez.it/picophone/

Basado en reportes publicados en:
http://www.securitytracker.com/alerts/2004/Mar/1009551.html
http://aluigi.altervista.org/adv/picobof-adv.txt
http://aluigi.altervista.org/adv/picobof-adv-ita.txt


Glosario:

Desbordamiento de búfer (buffer overflow). El búfer es un área determinada en la memoria, usada por una aplicación para guardar ciertos datos necesarios para su funcionamiento. Esta área tiene un tamaño previamente definido en el programa, pero si se envían más bytes de los permitidos, la información sobrepasa los límites impuestos, cayendo en muchos casos sobre partes ejecutables del código principal. Un uso malintencionado de estos datos, puede hacer que esa parte contenga instrucciones preparadas para activar ciertas acciones no pensadas por el programador de la aplicación.




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS