|
Ejecución de código en Symantec AntiVirus (RAR)
|
|
VSantivirus No. 1992 Año 9, jueves 22 de diciembre de 2005
Ejecución de código en Symantec AntiVirus (RAR)
http://www.vsantivirus.com/
Por Angela Ruiz
angela@videosoft.net.uy
Según anuncia Secunia, Alex Wheeler ha reportado una vulnerabilidad en Symantec AntiVirus, la cuál potencialmente puede ser explotada por personas maliciosas para comprometer los sistemas vulnerables.
La vulnerabilidad es provocada por un error de límites en la librería "Dec2Rar.dll" cuando se copian datos tomando como referencia los valores indicados en las cabeceras de los archivos RAR. Esto puede ser explotado para causar un desbordamiento de búfer con la posibilidad de sobrescribir la memoria heap (área dinámica utilizada por los programas durante su ejecución).
Este problema facilita la ejecución de código arbitrario cuando el antivirus examina un archivo comprimido con la extensión RAR, si el mismo ha sido modificado maliciosamente.
Esta vulnerabilidad ha sido reportada en la versión 3.2.14.3 de Dec2Rar.dll, y potencialmente afecta a todos los productos de Symantec que utilicen esta DLL.
Esta alerta se emite por haber sido hecho público el problema.
Software afectado:
- Symantec AntiVirus Corporate Edition 10.x
- Symantec AntiVirus Corporate Edition 8.x
- Symantec AntiVirus Corporate Edition 9.x
- Symantec AntiVirus para Caching 4.x
- Symantec AntiVirus para Network Attached Storage 4.x
- Symantec AntiVirus para SMTP Gateways 3.x
- Symantec AntiVirus Scan Engine 4.x
- Symantec AntiVirus/Filtering para Domino 3.x
- Symantec Brightmail AntiSpam 4.x
- Symantec Brightmail AntiSpam 5.x
- Symantec Brightmail AntiSpam 6.x
- Symantec Client Security 1.x
- Symantec Client Security 2.x
- Symantec Mail Security para Domino 4.x
- Symantec Mail Security para Exchange 4.x
- Symantec Mail Security para SMTP 4.x
- Symantec Norton AntiVirus 2001
- Symantec Norton AntiVirus 2002
- Symantec Norton AntiVirus 2003
- Symantec Norton AntiVirus 2004
- Symantec Norton AntiVirus 2005
- Symantec Norton AntiVirus 5
- Symantec Norton AntiVirus 5.0 para OS/2
- Symantec Norton AntiVirus Corporate Edition 7.x
- Symantec Norton AntiVirus para Macintosh 10.x
- Symantec Norton AntiVirus para Macintosh 9.x
- Symantec Norton AntiVirus para Microsoft Exchange 2.x
- Symantec Norton AntiVirus para Microsoft Exchange 3.x
- Symantec Norton AntiVirus Solution 7.5
- Symantec Norton Internet Security 2001
- Symantec Norton Internet Security 2002
- Symantec Norton Internet Security 2003
- Symantec Norton Internet Security 2003 Professional
- Symantec Norton Internet Security 2004
- Symantec Norton Internet Security 2004 Professional
- Symantec Norton Internet Security 2005
- Symantec Norton Internet Security para Macintosh 3.x
- Symantec Web Security 2.x
- Symantec Web Security 3.x
Solución:
El fabricante publicó una solución parcial al problema, mediante la actualización de firmas para la detección de archivos .RAR malformados, hasta que se publique una actualización que corrija la vulnerabilidad.
Se recomienda filtrar archivos con extensión .RAR para que no sean examinados por el antivirus.
Reporte de X-Force (23/12/05)
X-Force ha analizado la vulnerabilidad recientemente descubierta en Symantec AntiVirus, que afecta al componente utilizado en la identificación y descompresión de los archivos .RAR.
Un atacante podría crear un archivo .RAR modificado manualmente, para poder aprovecharse de la vulnerabilidad y provocar el desbordamiento de búfer con sobrescritura de la memoria heap, y la posibilidad de ejecutar código de forma remota.
Sin embargo, para que el problema sea explotado exitosamente, se requiere un archivo RAR de un gran tamaño (35 o 40 Megas), por lo que los vectores de ataque se reducen a la descarga de archivos de sitios no seguros (redes P2P, sitios de descarga no comprobados, etc.), y es muy poco probable que sea utilizado por un gusano para propagarse a través del correo electrónico, por las dimensiones del archivo adjunto requerido.
Referencias:
Symantec Antivirus Library RemØte Heap Overflows
http://www.rem0te.com/public/images/symc2.pdf
Secunia Advisory: SA18131
Symantec AntiVirus RAR Archive Decompression Buffer Overflow
http://secunia.com/advisories/18131/
Symantec RAR File Parser Remote Heap Overflow
http://xforce.iss.net/xforce/alerts/id/210
Créditos:
Alex Wheeler
[Última modificación: 23/12/05 17:47 -0200]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|