Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Parche crítico del Internet Explorer no funciona
 
VSantivirus No. 1159 Año 7, Martes 9 de setiembre de 2003

Parche crítico del Internet Explorer no funciona
http://www.vsantivirus.com/ev09-09-03.htm

Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/


[Publicado con autorización de Enciclopedia Virus]

Según afirman quienes descubrieron la falla, el parche que Microsoft liberó recientemente para solucionar un grave problema que puede permitir a un atacante ejecutar código en forma automática en nuestra computadora, por solo recibir un mensaje o visitar una página Web maliciosa, no trabaja como debería.

El parche, realizado por Microsoft para arreglar una vulnerabilidad en el Internet Explorer que es considerada crítica, fue publicado hace unas semanas en su boletín MS03-032.

La vulnerabilidad en las etiquetas de objeto (object type), se produce porque el IE no identifica correctamente un tipo de objeto determinado, y un atacante puede aprovecharse de dicha falla para ejecutar código en forma arbitraria en la computadora de un usuario vulnerable, y sin su intervención.

Un simple correo electrónico con la etiqueta MIME "Content-Type: application/hta" puede ocasionar la ejecución maliciosa. El protocolo MIME (Multipurpose Internet Mail Extensions), clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. La etiqueta "Content-type" es la que especifica como se clasifica el código contenido en el cuerpo del mensaje, en este caso como script HTA.

Los HTA (HyperText Application), son archivos en un formato binario propietario de Microsoft, que contienen código HTML estándar, y que se ejecutan con la utilidad MSHTA.EXE (Microsoft HTML Application host).

De esta falla se valen ya algunos troyanos, que descargan de Internet y luego ejecutan, los componentes necesarios para su ejecución.

La vulnerabilidad en las etiquetas de objeto, fue descubierta por expertos de la compañía eEye Digital Security, unos cuatro meses antes que Microsoft sacara su parche el pasado 20 de agosto. Una semana después, el 28 del mismo mes, Microsoft relanzó el parche con algunas correcciones, debido a que bajo ciertas condiciones el mismo causaba problemas en algunas instalaciones de Windows que no habían sido realizadas con las opciones por defecto. Según eEye, ahora debería publicarse por tercera vez, con una nueva corrección, porque sencillamente, el parche tal cuál está, no arregla la falla.

La vulnerabilidad, como dijimos, puede ser explotada desde un correo con formato HTML, o también al visitar un sitio Web maliciosamente construido.

Un vocero de eEye, dijo en un reportaje, que la vulnerabilidad es particularmente crítica debido a que "no se requiere demasiada complicación para sacar provecho de ella".

"Es bastante grave simplemente porque es muy fácil de explotar... no requiere que alguien sepa como calcular que un código determinado saque provecho de un desbordamiento de búfer ni nada por el estilo", dijo Marc Maiffret de eEye.

Maiffret opina que Microsoft debería haber hecho un mejor trabajo, ya que tuvo por lo menos cuatro meses para solucionar algo tan sencillo. Para él, una de las razones es "la falta de ingenieros suficientemente hábiles dentro de la compañía, porque el problema con el parche es solo un patético descuido".

Este error en el parche, fue hecho público en un sitio de Internet (malware.com), antes de que alguien avisara a la compañía. Maiffret, a pesar de criticar a Microsoft, opina que descubrir una falla de ese tipo y revelarla a todo el mundo antes de avisarle al fabricante, no es la mejor manera de hacer las cosas.

Otros expertos opinan que advertir a los usuarios para que no confíen en un parche que no hace lo que debería, les da a estos una posibilidad de protegerse, antes que sea demasiado tarde por confiar en una solución que no es tal.

El equipo de eEye que descubrió la falla hace cuatro meses, no la hizo pública hasta la salida del parche. Cuando éste fue liberado, el mismo equipo examinó el parche, sin encontrar ningún problema.

Pero Maiffret dice que el examen fue rápido, y no hicieron una auditoría de la actualización liberada, ya que después de todo no les pagan para ello, "y Microsoft utiliza sus propios auditores de seguridad, que en este caso parece que no hicieron las pruebas suficientes", dice.

Aunque al momento actual la mayoría de los antivirus pueden detectar como "posible vulnerabilidad" algún intento de uso malicioso de esta falla, una forma de eliminar las posibilidades de explotación de la misma, es desactivando en el Internet Explorer las capacidades de ejecución de códigos ActiveX.

Otra solución alternativa, podría ser filtrar todo mensaje de correo o código HTML que contenga la etiqueta "Content-Type: application/hta".


(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php

Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=280




Relacionados:

MS03-040 Actualización acumulativa para IE (828750)
http://www.vsantivirus.com/vulms03-040.htm


MS03-032 Actualización acumulativa para IE (822925)
http://www.vsantivirus.com/vulms03-032.htm

Troj/Backdoor.Coreflood. Infecta desde páginas Web
http://www.vsantivirus.com/back-coreflood.htm

Troj/JunkSurf.A. Infecta con solo ver un HTML
http://www.vsantivirus.com/junksurf-a.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS