[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA - UNAM
Boletín de Seguridad UNAM-CERT 2004-022
Buffer Overflow en Microsoft Internet Explorer
----------------------------------------------------------------------
El CERT/UNAM-CERT, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, ha emitido éste boletín donde
informa que Internet Explorer (IE) de Microsoft contiene una
vulnerabilidad de buffer overflow que puede permitir a un intruso
remoto ejecutar código arbitrario con los privilegios del usuario
ejecutando IE.
Fecha de liberación: 10 de Noviembre de 2004
Ultima Revisión: --------------
Fuente: CERT/CC y diversos reportes de
Equipos de Respuesta a Incidentes,
así como Foros y Listas de
Discusión.
Sistemas Afectados
==================
* Sistemas ejecutando Microsoft Windows:
* Internet Explorer, versiones 6.0 y posteriores; también pueden
ser afectadas versiones previas de Internet Explorer.
* Otros programas que utilicen el control ActiveX WebBrowser.
I. Descripción
==============
Existe una vulnerabilidad de buffer overflow en la forma como IE
maneja los atributos SRC y NAME de varios elementos, incluyendo
FRAME, IFRAME y EMBED. Debido a que IE falla al verificar
apropiadamente el tamaño de los atributos NAME y SRC, un documento
HTML especialmente diseñado pueda causar un buffer overflow en la
pila de memoria. Debido a la naturaleza dinámica de la pila,
usualmente es difícil para los intrusos ejecutar código arbitrario
utilizando este tipo de vulnerabilidad.
Sin embargo, si la pila de memoria esta preparada de una forma
especial, un intruso podría ejecutar código arbitrario más
fácilmente. Se han observado públicamente exploits utilizando
scripts para preparar la pila, aunque esto puede ser llevado a cabo
sin utilizar scripts. Sin la capacidad de preparar la pila, el
impacto puede ser limitado a una negación de servicio.
Esta vulnerabilidad está descrita con mayor detalle en la Nota de
Vulnerabilidad VU#842160 <http://www.kb.cert.org/vuls/id/842160>.
II. Impacto
===========
Convenciendo a un usuario de visualizar un documento HTML diseñado
especialmente (por ejemplo una página Web o un mensaje de correo
electrónico en formato HTML), un intruso podría ejecutar código
arbitrario con los privilegios del usuario. El intruso podría
también causar que IE falle (o cualquier programa que utilice el
control ActiveX WebBrowser).
Los reportes indican que esta vulnerabilidad está siendo explotada
por código malicioso propagándose a través del correo electrónico.
Cuando un usuario da un clic en el URL de un mensaje de correo
malicioso, IE abre y despliega un documento HTML que explota la
vulnerabilidad. Este código malicioso puede ser referenciado como
MyDoom.{AG,AH,AI} o Bofra.
III. Solución
=============
Hasta que una solución completa este disponible de Microsoft,
considere las siguientes soluciones temporales:
* Instalar el Service Pack 2 de Windows XP*
El Service Pack 2
<http://www.us-cert.gov/cas/alerts/SA04-243A.html> para
Windows parece que no es afectado por esta vulnerabilidad. Si
está utilizando Windows XP, actualice a SP2.
* Deshabilitar los Controles Active scripting y Active X*
Para ayudar a protegerse contra ataques que usan scripts para
preparar la pila, deshabilite Active scripting en cualquier
zona utilizada para manejar contenido HTML no confiable
(típicamente la Zona de Internet y la Zona de Sitios
Restringidos). Se pueden encontrar instrucciones para
deshabilitar Active scripting en la Zona de Internet en el
documento FAQ sobre Scripts de Web Maliciosos
<http://www.cert.org/tech_tips/malicious_code_FAQ.html>.
* No haga clic en vínculos no solicitados*
No haga clic en URLs no solicitados recibidos a través de
correo electrónico, mensajería instantánea, foros de Web,
canales de chats (IRC). Mientras ésta es una buena práctica de
seguridad, siguiendo este comportamiento no prevendrá la
explotación de esta vulnerabilidad en todos los casos. Por
ejemplo, un sitio Web confiable podría ser comprometido y
modificado para entregar el exploit a clientes desprevenidos.
* Lea y envíe correo electrónico en formato de texto*
Outlook 2003, Outlook 2002 SP1 y Outlook 6 SP1 pueden ser
configurados para visualizar los mensajes de correo
electrónico en formato de texto. Considere la seguridad de los
usuarios de Internet y el envío de correo electrónico cuando
sea posible. Tome en cuenta que leer y enviar correo
electrónico en texto plano no prevendrá necesariamente la
explotación de esta vulnerabilidad.
* Mantenga actualizado su software antivirus*
El software antivirus con la definición de virus actualizada
puede identificar y prevenir algunos intentos de intrusión.
Variaciones de los exploits o de los vectores de ataques no
pueden ser detectados. No confíe solamente en el software
antivirus para defenderse contra esta vulnerabilidad. Mayor
información acerca de virus y fabricantes de software
antivirus está disponible en la página de recursos de
antivirus del UNAM-CERT y del US-CERT.
Apéndice A. Referencias
=======================
o Nota de Vulnerabilidad VU#842160 -
<http://www.kb.cert.org/vuls/id/842160>
o Windows XP SP2 -
<http://www.us-cert.gov/cas/alerts/SA04-243A.html>
o FAQ sobre Scripts de Web Maliciosos -
<http://www.cert.org/tech_tips/malicious_code_FAQ.html>
o Página de Recursos de Virus de Cómputo de US-CERT -
<http://www.us-cert.gov/other_sources/viruses.html>
o Sobre el Navegador (Internet Explorer - WebBrowser) -
<http://msdn.microsoft.com/workshop/browser/overview/Overview.asp>
----------------------------------------------------------------------
Autor de la Versión Original:
Will Dormann y Art Manion
<mailto:cert en cert org?subject=TA04-315A%20Feedback%20VU%23842160>.
----------------------------------------------------------------------
El Departamento de Seguridad en Computo/UNAM-CERT agradece el
apoyo en la elaboración, revisión y traducción de este boletín a:
o Fernando Zaragoza Hernández (fzaragoz en seguridad unam mx)
----------------------------------------------------------------------
Información
===========
Éste documento se encuentra disponible en su formato original
en la siguiente dirección:
http://www.us-cert.gov/cas/techalerts/TA04-315A.html
La versión en español del documento se encuentra disponible en:
http://www.seguridad.unam.mx/
http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-022.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo
DGSCA - UNAM
E-Mail : unam-cert en seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQZLNt3AvLUtwgRsVAQET6gf8DH8cxt7gb6sOcexjLJaGgQ4VS8MP+ZWX
JDPPGoRBdzsXuWS4B82bZQpFae+W6J3ACl520DZ1s7MkQU+nof6GAFDF7bExNACf
Q0X4PNOybuzbWkfpkQaG6tpVaRlSlMvN8+FiMgA2SEz5X9bsYQF3iczDwKt21h7m
/okXSb9N3SsjcWh+vkIfEpP4JEPF7FtaHrBpVb/q8u2ZY0RWhEwjw5RGUgR4xqc0
hbLT8l0itgLd1T67lcq3JBqiLGYit6mKTu1IafdRx3SVKfmhFfbocMqpqFnWrBSN
yzxAEjkdcIIbewFDP7Ru8Z/jXBiLxB7TSzF/zuCSDyejCwPsMU3Glw==
=HS6j
-----END PGP SIGNATURE-----