Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad en función "CreateProcess()" (varios)
 
VSantivirus No. 1963 Año 9, martes 22 de noviembre de 2005

 Vulnerabilidad en función "CreateProcess()" (varios)
http://www.vsantivirus.com/vul-createprocess-151105.htm

Por Angela Ruiz
angela@videosoft.net.uy

Una vulnerabilidad ha sido reportada por iDefense en Microsoft AntiSpyware, RealPlayer, Kaspersky Anti-Virus para Windows File Servers, iTunes, y VMWare Workstation. Con ella, un usuario local puede ser capaz de hacer que otro usuario llegue a ejecutar código de forma arbitraria.

El problema se origina en el uso por parte de las aplicaciones vulnerables, de la función "CreateProcess()" y "CreateProcessAsUser()", para crear un nuevo proceso ejecutando determinado módulo. Por un problema documentado en las APIs utilizadas (ver http://msdn.microsoft.com/library/en-us/dllproc/base/createprocessasuser.asp ), si la referencia al componente a ejecutar contiene espacios en el nombre del camino (path), por ejemplo "C:\Archivos de programa\sub directorio\PROGRAMA.EXE", entonces puede llegar a ejecutarse cualquier otro archivo llamado PROGRAM.EXE que esté ubicado en el raíz de la unidad C:

Cada vez que la computadora se reinicie, Windows XP SP2 puede advertir al usuario la existencia de un archivo ejecutable en el raíz de C:\ (en el ejemplo C:\PROGRAM.EXE). Pero otras ubicaciones que contengan algún espacio en blanco en su nombre, y que coincidan con la ubicación de alguna de las aplicaciones vulnerables, pueden ser usadas en este ataque.

Algunos fabricantes ya han respondido. Apple lanzó la versión 6 de iTunes que corrige este problema. Kaspersky dice que su versión actual de KAV para File Servers ya no es vulnerable.

Microsoft ha confirmado que la versión Beta 2 de su producto antispyware a lanzarse a fin de año, corregirá este problema.


Software vulnerable:

- iTunes 4.7.1.30
- Kaspersky Anti-Virus (Windows File Servers 5.0)
- Microsoft Antispyware 1.0.509 (Beta 1)
- RealPlayer 10.5
- VMWare Workstation 5.0.0 build-13124


Soluciones:

Algunos fabricantes han corregido sus productos. De todos modos, una medida que puede minimizar el riesgo de explotación maliciosa por parte de un atacante, es vigilar que no se almacenen archivos no esperados en ubicaciones tales como la raíz de la unidad del disco duro.


Relacionados:

Multiple Vendor Insecure Call to CreateProcess() Vulnerability 
http://www.idefense.com/application/poi/display?id=340






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS