Controlado desde el
19/10/97 por NedStat
|
Ejecución de código con ICQ e Internet Explorer
|
|
VSantivirus No. 1330 Año 8, viernes 27 de febrero de 2004
Ejecución de código con ICQ e Internet Explorer
http://www.vsantivirus.com/vul-icq-scm-ie.htm
Por Marcelo A. Rodriguez
marcelo-ar@videosoft.net.uy
ICQ, acrónimo de "I Seek You" (te busco), es una aplicación que ofrece un servicio de mensajería en línea a través de Internet, permitiendo hacer saber a otras personas conocidas, que uno está conectado (online). A través de él se pueden intercambiar mensajes y archivos, conversar (chat), establecer conexiones de voz y video, etc.
Se ha identificado una debilidad en ICQ, que puede ser explotada en combinación con vulnerabilidades y funcionalidades conocidas del Internet Explorer para comprometer los sistemas de los usuarios.
El problema es que los archivos "sound scheme" (.SCM) de ICQ crean archivos .WAV en la sub carpeta "Sounds" (ubicada bajo la carpeta ICQ) con nombres arbitrarios. Es posible para sitios web maliciosos controlar el contenido de estos archivos .WAV.
Lo anterior se puede usar para colocar contenido malicioso en un archivo de ubicación conocida en el sistema del usuario atacado. Esto, combinado con ciertas vulnerabilidades y funcionalidades conocidas del IE, que permiten que estos archivos sean leídos, podría permitir la ejecución de código script en el contexto de seguridad de la zona "Mi PC".
Se sabe que esto esta siendo actualmente explotado por el gusano W32/Bizex.A (http://www.vsantivirus.com/bizex-a.htm).
Versiones afectadas:
ICQ 1.x, ICQ 2000, ICQ 2001, ICQ 2002, ICQ 2003a, ICQ 99 e ICQ Lite.
Nota: Esta falla parece ser la misma que la reportada en julio de 2002:
ICQ y MSIE permiten la ejecución arbitraria de código
http://www.vsantivirus.com/vul-scm.htm
Sugerencias:
Cómo se menciona en el artículo "ICQ y MSIE permiten la ejecución arbitraria de código", http://www.vsantivirus.com/vul-scm.htm, se recomienda cambiar el comportamiento habitual de los archivos .SCM luego de que el cliente ICQ es instalado en una computadora.
Para ello, si usted tiene ICQ en su PC, seleccione desde una ventana del Explorador de Windows (no el Internet Explorer), y seleccione Herramientas, Opciones de carpetas, la lengüeta "Tipos de archivos". Busque la extensión SCM, pinche en "Opciones avanzadas" y tilde la casilla "Confirmar apertura después de la descarga".
Otras sugerencias:
Inhabilitar los ActiveX en Internet Explorer para todas las Zonas, excepto para los sitios de confianza, como se indica aquí:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Inhabilitar ActiveX en la Zona "Mi PC" como se sugiere aquí:
Solución parcial para ejecución de comandos sin ActiveX
http://www.vsantivirus.com/sol-innerhtm.htm
Publicado en:
http://secunia.com/advisories/10970/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|