|
Equipos sin parche MS05-009, altamente vulnerables
|
|
VSantivirus No. 1680 Año 9, viernes 11 de febrero de 2005
Equipos sin parche MS05-009, altamente vulnerables
http://www.vsantivirus.com/11-02-05.htm
Por Angela Ruiz
angela@videosoft.net.uy
Microsoft advierte sobre la existencia en Internet, del código de un exploit capaz de atacar las computadoras que no estén protegidas con el parche publicado en uno de sus últimos boletines
(MS05-009) (un EXPLOIT, es un programa o método concreto que saca provecho de una falla o agujero de seguridad de una aplicación o sistema, generalmente para un uso malicioso de dicha vulnerabilidad).
Aunque no han sido reportados casos concretos de ataques utilizando este exploit, esto podría favorecer la aparición de futuros virus, gusanos o troyanos, que se aprovechen de la vulnerabilidad corregida mediante el parche de referencia.
El exploit no afecta a los usuarios que instalen dicho parche. Dicha actualización soluciona una vulnerabilidad en el proceso de imágenes PNG que afecta al Reproductor de Windows Media, al Microsoft Windows Messenger y al Microsoft MSN Messenger. El exploit compromete principalmente a los usuarios de Windows Messenger y MSN Messenger.
La vulnerabilidad de procesamiento PNG, puede permitir la ejecución remota de código. El problema ocurre porque ni Windows Messenger ni MSN Messenger, procesan adecuadamente archivos PNG dañados o con formato erróneo.
De forma predeterminada, MSN Messenger no le permite recibir mensajes anónimos. Un atacante solo podría aprovechar esta vulnerabilidad si convence a un usuario para que lo agregue a la lista de contactos y le envía un icono gestual o una imagen diseñada especialmente.
Sin embargo, un gusano o troyano, podría infectar usuarios conocidos que ya estuvieran en la lista de contactos, propagándose rápidamente en aquellos equipos que no tengan instalado el parche mencionado.
Un atacante que se aprovechara de esta vulnerabilidad podría lograr el control completo de un sistema afectado.
Aunque el peligro inmediato se refiere a los programas mencionados (Windows Messenger y MSN Messenger), también el Reproductor de Windows Media es vulnerable, aunque el vector de ataque sea diferente (no se procesan adecuadamente los archivos PNG con valores de anchura o altura excesivos).
Sin embargo, si el usuario visitara un sitio web malicioso o aceptara hacer clic en un enlace de un correo electrónico no solicitado, que lo llevara a ejecutar el Windows Media, podría ser víctima de un ataque, incluso de un virus informático. Un antivirus como NOD32, lo protege de esta eventualidad.
De cualquier modo, Microsoft aconseja aplicar el mencionado parche a la brevedad posible. En el caso del MSN Messenger, existe una versión beta de evaluación (MSN Messenger 7.0), que no es vulnerable, pero que sin embargo no aconsejamos instalar (recordemos que es beta, o sea de prueba).
Los usuarios corporativos, deberían eliminar y bloquear MSN Messenger de sus entornos. MSN Messenger no está pensado para este uso, aconsejándose en su lugar Windows Messenger (por supuesto, con el parche mencionado instalado).
Existe un documento en Microsoft, que explica cómo deshabilitar MSN Messenger y .NET Messenger en un entorno corporativo
(http://support.microsoft.com/?kbid=889829). Básicamente se refiere a bloquear todo acceso saliente por el puerto TCP 1863, y el acceso
HTTP a messenger.hotmail.com y a webmessenger.msn.com.
Los usuarios domésticos, deberían instalar la actualización tal como se indica en el siguiente enlace:
MS05-009 Ejecución remota de código (PNG) (890261)
http://www.vsantivirus.com/vulms05-009.htm
Software afectado:
- Reproductor de Windows Media 9 (2000, XP SP1 y Server 2003)
- Microsoft Windows Messenger versión 5.0
- Microsoft MSN Messenger 6.1
- Microsoft MSN Messenger 6.2
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (ME)
- Windows Messenger versión 4.7.0.2009 (Windows XP SP1)
- Windows Messenger versión 4.7.0.3000 (Windows XP SP2)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|