|
Vulnerabilidad en formato ARJ de F-Secure Anti-Virus
|
|
VSantivirus No. 1684 Año 9, martes 15 de febrero de 2005
Vulnerabilidad en formato ARJ de F-Secure Anti-Virus
http://www.vsantivirus.com/vul-fsecure-140205.htm
Por Angela Ruiz
angela@videosoft.net.uy
Se ha reportado que varias versiones de F-Secure Antivirus, son propensas a una vulnerabilidad de desbordamiento remoto de la memoria HEAP.
Antes de la descompresión de los archivos, una biblioteca del antivirus, no comprueba apropiadamente la longitud de ciertos campos. Estos campos son copiados en el búfer del HEAP (la porción de memoria que un programa utiliza de forma dinámica). El resultado de esto, es un desbordamiento de búfer con la posible ejecución de código, aunque existen ciertas restricciones para ello.
Este fallo se produce en el componente que procesa los archivos que han sido comprimidos con la herramienta ARJ.
Una explotación exitosa, puede permitir a un atacante remoto ejecutar código en forma arbitraria en los equipos que ejecuten cualquiera de los productos vulnerables, comprometiendo seriamente la seguridad del sistema.
El ataque puede ser realizado a través de protocolos comunes, tales como SMTP, HTTP, FTP. No se requiere autenticación para comprometer un equipo o una red protegida con alguno de los productos afectados.
La vulnerabilidad también puede ser explotada mediante el envío de un correo electrónico conteniendo como adjunto un archivo especialmente modificado.
Software vulnerable
- F-Secure Anti-Virus 2004 y 2005
- F-Secure Anti-Virus Client Security version 5.55
- F-Secure Anti-Virus Linux Client Security 5.01
- F-Secure Anti-Virus Linux Server Security 5.01
- F-Secure Anti-Virus para Citrix Servers version 5.50
- F-Secure Anti-Virus para Firewalls version 6.20
- F-Secure Anti-Virus para Linux Gateways version 4.61
- F-Secure Anti-Virus para Linux Servers version 4.61
- F-Secure Anti-Virus para Linux Workstations version 4.52
- F-Secure Anti-Virus para MIMEsweeper version 5.51
- F-Secure Anti-Virus para MS Exchange version 6.31
- F-Secure Anti-Virus para Samba Servers version 4.60
- F-Secure Anti-Virus para Windows Servers version 5.50
- F-Secure Anti-Virus para Workstation version 5.43
- F-Secure Internet Gatekeeper para Linux 2.06
- F-Secure Internet Gatekeeper version 6.41
- F-Secure Internet Security 2004 y 2005
- Soluciones basadas en F-Secure Personal Express version 5.10
Solución:
Actualizar el producto utilizado por una versión no vulnerable a la brevedad posible. Existen parches y otras actualizaciones en el siguiente enlace:
http://www.f-secure.com/security/fsc-2005-1.shtml
Créditos:
Alex Wheeler (ISS X-Force)
Referencias:
F-Secure Security Bulletin FSC-2005-1
Code execution vulnerability in ARJ-archive handling
http://www.f-secure.com/security/fsc-2005-1.shtml
F-Secure AntiVirus Library Heap Overflow
http://xforce.iss.net/xforce/alerts/id/188
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|