|
Desbordamiento de stack en McAfee AntiVirus Library
|
|
VSantivirus No. 1716 Año 9, sábado 19 de marzo de 2005
Desbordamiento de stack en McAfee AntiVirus Library
http://www.vsantivirus.com/vul-mcafee-190305.htm
Por Angela Ruiz
angela@videosoft.net.uy
Los usuarios de los productos antivirus de McAfee, fueron advertidos de una vulnerabilidad potencialmente grave que afecta la seguridad de sus sistemas.
El problema, descubierto por los investigadores de ISS, ocurre por un fallo en el procesamiento de archivos con extensión .LHA (un conocido formato de compresión), que provoca un desbordamiento de búfer en un componente del antivirus.
La vulnerabilidad afecta a las versiones de McAfee AntiVirus Library anteriores a la 4400.
El fallo se produce porque uno de los módulos de McAfee Antivirus Library no comprueba la longitud de ciertos datos en el cabezal de los archivos LHA, sobrescribiendo el stack y permitiendo la ejecución de código arbitrario en el contexto del sistema.
La pila (stack), es el espacio de memoria reservada para almacenar las direcciones de retorno en la ejecución de cada rutina y otra información importante para la ejecución de los programas.
La vulnerabilidad puede ser aprovechada por un atacante remoto no autorizado, sin ninguna clase de autenticación y sin requerir la interacción con el usuario, mediante el envío de un correo electrónico conteniendo un archivo LHA modificado maliciosamente.
Factores adicionales de ataques podrían ser implementados a través de otros protocolos comunes tales como HTTP, FTP, POP3, SMB, etc., aunque en estos casos se requeriría la interacción con el usuario.
Productos afectados:
- McAfee Internet Security Suite (todas las versiones)
- McAfee VirusScan (todas las versiones)
Sistemas operativos: Windows 98, Windows Me, Windows 2000, Windows XP.
Solución:
Las versiones de escritorio, de servidores y de puertas de enlace, deben ser actualizadas a una versión posterior a la afectada, en caso de que no se hayan actualizado automáticamente.
Los usuarios con versiones del motor de análisis 4.4.00 no son afectados por esta vulnerabilidad.
Más información:
Vulnerability Announcement for VirusScan Engine 4.3.20
http://ts.mcafeehelp.com/faq3.asp?docid=378097
Créditos:
Alex Wheeler (ISS X-Force)
Más información:
McAfee AntiVirus Library Stack Overflow
http://xforce.iss.net/xforce/alerts/id/190
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|