Controlado desde el
19/10/97 por NedStat
|
Fallo en "E-mail Protection" de ZoneAlarm
|
|
VSantivirus No. 1381 Año 8, sábado 17 de abril de 2004
Fallo en "E-mail Protection" de ZoneAlarm
http://www.vsantivirus.com/vul-za-email.htm
Por Marcelo A. Rodriguez
marcelo-ar@videosoft.net.uy
Se ha descubierto una vulnerabilidad en la prestación "E-mail Protection" del popular cortafuegos ZoneAlarm. Un usuario remoto puede enviar un adjunto especialmente manipulado para traspasar esta protección de seguridad.
ZoneAlarm posee una funcionalidad llamada "E-Mail Protection" ("Protección de correo electrónico" en la versión en español), que protege al PC de correos electrónicos entrantes con adjuntos potencialmente peligrosos, los cuales son puestos en cuarentena.
La versión gratuita de ZoneAlarm solo protege de los archivos ".vbs", la versión PRO (de pago), brinda protección para 45 tipos de archivos más, incluidos los ".exe", ".com", y ".scr".
Damjan Kreft reporta que un usuario remoto puede enviar un mensaje de correo electrónico conteniendo un adjunto con ciertos caracteres en su nombre, y de ese modo, lograr que "ZoneAlarm E-mail Protection" falle y no ponga en cuarentena al archivo. Dichos caracteres son tres específicos del alfabeto Esloveno.
Según el reporte, ZoneLabs fue notificado de este fallo, sin obtener respuesta por el momento.
El fallo ha sido comprobado al menos, en ZoneAlarm 4.5.538.001 (la última es la 4.5.594.000, de la cuál existe una versión en español).
Nota VSA: Si bien el fallo puede provocar una falsa sensación de seguridad en quienes solo confían en el cortafuegos para la protección de su correo, no es una vulnerabilidad que pudiera considerarse crítica, ya que únicamente impide que se renombren los adjuntos con ciertas extensiones (básicamente en eso consiste la acción de "poner en cuarentena"). Y ZA no examina si los adjuntos están infectados, solo los renombra.
Sencillamente un cortafuegos no debe suplantar a un antivirus, y siempre deberíamos tener instalados los dos tipos de protección: el cortafuegos para cerrar el paso a intrusos y troyanos, y un antivirus actualizado monitoreando la apertura de cualquier archivo infectado.
De todos modos, el espectro de acción para una acción maliciosa, es mucho menor en los usuarios de la versión gratuita del ZA, ya que la misma bloquea un solo tipo de extensión en los archivos adjuntos.
Y la regla más importante que nunca debemos olvidar, es la de no abrir adjuntos no solicitados.
Reportado por:
Damjan Kreft <damjan.kreft@siol.net>
Publicado en:
http://www.securitytracker.com/alerts/2004/Apr/1009822.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|