Vulnerabilidad en múltiples antivirus con archivos ZIP

23/10/2004 - 01:15 por { Memmito } (PUERCO chupapoYas) comemela | Informe spam

VSantivirus No. 1566 Año 8, miércoles 20 de octubre de 2004

Vulnerabilidad en múltiples antivirus con archivos ZIP
http://www.vsantivirus.com/20-10-04.htm

Por Angela Ruiz
angela@videosoft.net.uy

Una vulnerabilidad que afecta a la mayoría de los antivirus, podría
permitir que un código malicioso no fuera correctamente detectado.

Según un aviso publicado por iDefense, el problema ocurre por un error
en la interpretación del cabezal de los archivos comprimidos con
extensión .ZIP.

El formato .ZIP almacena la información acerca de los archivos
comprimidos en dos ubicaciones, un cabezal local y otro global. El
cabezal local (local header), se encuentra al comienzo de los datos
comprimidos de cada archivo, mientras que el cabezal global (global
header) está presente al final del archivo .ZIP.

Según iDefense, es posible modificar la indicación del tamaño que los
archivos tienen al ser descomprimidos, en ambos cabezales, sin afectar
su funcionalidad.

Esta vulnerabilidad ha sido confirmada tanto en WinZip como en las
carpetas comprimidas de Windows. Un atacante podría comprimir un
código malicioso y eludir la detección de un antivirus, modificando
dentro de los cabezales local y global, el tamaño que tendría el
archivo descomprimido, a los efectos que parezcan tener cero bytes.

Prácticamente todos los antivirus tienen la habilidad de examinar el
contenido de los archivos comprimidos. Muchos usuarios, luego que su
antivirus debidamente actualizado, ha examinado uno de estos archivos
sin detectar ningún código maligno, suelen confiarse, procediendo a
abrirlos.

iDefense confirma en su comunicado, que la vulnerabilidad fue
detectada en los productos de McAfee, Computer Associates, Kaspersky
Labs, Sophos, Eset y RAV. No son afectadas las últimas versiones de
Symantec, Bitdefender, Trend Micro y Panda Software. Otros antivirus
no fueron testeados.

NOD32, el antivirus de Eset, ha sido el primero en solucionar dicho
problema, desde su actualización automática del pasado 16 de setiembre
(hace ya más de un mes).

Según informa Eset, "la vulnerabilidad fue causada por el hecho que
algún software de compresión y descompresión de archivos (incluido
WinZip), maneja en forma incorrecta archivos comprimidos cuyos
encabezados han sido deliberadamente modificados, permitiendo así la
creación de archivos dañados."

"Eset ha realizado las modificaciones apropiadas al código encargado
de examinar los archivos comprimidos, a los efectos de manejar
correctamente esa clase de archivos, inmediatamente después de recibir
la notificación de iDefense. Estos cambios están contenidos en la
versión de módulo soporte de archivos comprimidos 1.020 (y
posteriores), liberada el 16 de setiembre de 2004 (actualmente el
módulo es el 1.021). La actualización estuvo disponible para todos los
usuarios de NOD32 en forma automática, en la actualización de firmas
de ese mismo día".

Otros antivirus han reaccionado de diferente forma. McAfee publicó
actualizaciones el 6 y 13 de octubre. Sophos anunció actualizaciones a
su máquina de escaneo para el 20 y 22 de octubre (versión 3.87),
aunque aclara que no ha sido reportada ninguna incidencia de código
malicioso que explote este fallo.

Kaspersky solucionará el problema en su próxima actualización
acumulativa (anunciada para este mes). Computer Associates solo aclara
que el problema no ha afectado a ninguno de sus usuarios, y que el
mismo será solucionado a la brevedad para proteger a sus clientes de
posibles incidencias.

RAV (el fabricante de antivirus adquirido por Microsoft), no ha
emitido ninguna respuesta oficial.

iDefense aconseja a quienes no tengan un software antivirus
actualizado a los efectos de responder a esta amenaza, a incluir
filtros perimetrales para toda clase de archivos comprimidos.

Más información:

Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability
www.idefense.com/application/poi/display?id3&type=vulnerabilities&flashstatus=true

Nota: Video Soft, empresa creadora de VSAntivirus, es distribuidora de
los productos de Eset para Uruguay.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Copyright 1996-2004 Video Soft BBS

Siga el debate

1 respuesta

Tengo una respuesta

Preguntas similare

Vulnerabilidad "Magic Byte" en múltiples antivirus

Leer las respuestas

#1 Nennito

23/10/2004 - 13:17 | Informe spam

"{ Memmito } (PUERCO chupapoYas) comemela"
escribió en el mensaje news:3cy6j3cdonb3$

!!! ME CAGO Y ME MEO EN EL ESPÍRITU SANTO EN LA BOCA DE TÚ PUTREFACTA MADRE
Y EN TODA TÚ MIERDA DE FAMILIA !!!

!!! QUE OJALÁ QUEDES TETRAPLÉGICO DE UN ACCIDENTTE DE TRÁFICO, Y QUE PASES
LARGOS AÑOS EN UNA CAMA LLENO DE TUBOS, SUFRIÉNDO LOS DOLORES MÁS
INSOPORTABLES Y CAGÁNDO CONTINUAMENTE HECES LÍQUIDAS POR TÚ PUTREFACTO CULO
ME CAGO Y ME MEO EN DIOS SÓ ESCORIA DE MIERDA PUTREFACTA !!!

!!! ME CAGO Y ME MEO EN DIOS, EN LA VIRGEN, EN LA HOSTIA EN TODOS LOS SANTOS
Y EN EL ESPÍRITU SANTO !!!

!!! SO MEMO DE MIERDA ME CAGO Y ME MEO EN LA BOCA DE TÚ PUTREFACTA MADRE, EN
TODA TÚ MIERDA DE FAMILIA PUTREFACTA, Y EN TODOS TÚS CADÁVERES !!!

Acabando con los spamers se acaba con el spam.

Denuncia a los Spamers redireccionando sus mensajes
con propiedades a la administraciones correspondientes.

Incumplimiento LSSI --> info arroba mcyt.es
Software Pirata --> webmaster arroba bsa.org
Delitos Informáticos --> delitos.tecnologicos arroba policia.es
Delitos Informáticos --> uco-delitoinformatico arroba guardiacivil.es
Pornografia Infantil --> denuncias.pornografia.infantil arroba policia.es
Pornografia Infantil --> uco-denunciapedofilia arroba guardiacivil.es
Porn. Inf. Internac. --> children arroba interpol.int

************************

Estaría dispuesto a uno de mís ojos donar
sí mi grave enfermedad mental
por un cáncer o lo que ahora llaman sida pudiera cambiar.
* Nennito *

IP Fija: 80.34.155.11

Siga el debate Respuesta

Responder a este mensaje

Ads by Google

Hacer una pregunta

Tengo una respuesta

Busqueda sugerida