Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

WinRAR: Ejecución de código con archivo ZIP corrupto

29/12/2004 - 11:42 por Mostrar Escritorio | Informe spam
Ayuda Hacer una pregunta
WinRAR: Ejecución de código con archivo ZIP corrupto
http://www.vsantivirus.com/vul-winr...161204.htm

Por Angela Ruiz
XXXangela@videosoft.net.uy

WinRAR es una popular utilidad de compresión de archivos para Windows,
que soporta el formato de compresión RAR y ZIP.

Una vulnerabilidad en la manera que WinRAR maneja los nombres de
archivos largos, puede provocar un desbordamiento de búfer con la
posibilidad de ejecución de código, cuando se procesa un archivo ZIP.

Para lograr que WinRAR ejecute un código arbitrario, un atacante debe
convencer a un usuario para que éste intente borrar cierto archivo de
un paquete ZIP especialmente modificado.

Sin embargo, existe un factor mitigante. WinRAR trunca los nombres de
archivos a 1023 bytes, y el tamaño para un desbordamiento de búfer
queda reducido a 500 bytes, el cuál sería el máximo tamaño para el
código de un exploit.

Además de ello, el búfer contiene también el texto "Are you sure you
want to delete", que se inserta antes del nombre del archivo. Cómo el
texto varía en versiones de WinRAR para diferentes idiomas, un exploit
creado para una versión en un idioma determinado, solo funcionaría en
dicha versión.

Existe un exploit que demuestra esta vulnerabilidad.


Productos vulnerables:

Son vulnerables las siguientes versiones del programa:

- WinRAR versión 3.41 y anteriores


Solución:

28/12/04: Descargar y ejecutar la versión 3.42 (o superior) que
corrige esta vulnerabilidad desde el siguiente enlace:
http://winrar.com.es/.

Mientras no se instale dicha versión, se sugiere no abrir archivos ZIP
con la utilidad WinRAR, ni borrar archivos dentro de paquetes ZIP.


Créditos:

Dark Eagle
Vafa Khoshaein (exploit)


Referencias:

WinRAR España
http://winrar.com.es/

RARLAB, home of WinRAR and RAR archivers
http://www.rarlab.com/index.htm

WinRAR Corrupt ZIP File Vulnerability
http://www.securiteam.com/windowsnt...1PC1Y.html


Actualizaciones:

28/12/04 - 15:49 -0200 (Solución: versión WinRAR 3.42)


Publicado anteriormente:

VSantivirus No. 1627 Año 8, lunes 20 de diciembre de 2004




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
email Siga el debateRespuesta 56 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#36 Adriana
01/01/2005 - 11:41 | Informe spam
SUPERBURRO!!!!,
"Santiago José López Borrazás" escribió en el mensaje
news:
Hash: SHA1

Fecha: Fri, 31 Dec 2004 10:56:35 +0100
Quién: El Nazgûl
Asunto: Re: WinRAR: Ejecución de código con archivo ZIP corrupto
Message-ID:

| Sinceramente, no sé para qué respondéis a esta clase de posts.
|
| A este individuo lo tengo ya fichado, pues no hace más que dar la vara
con
| noticias que ya no lo son. Su ip es 220.168.142.225. ¿Piensa que con
cambiar
| el nombre no se le va a detectar?

Tranquilo, que el sinvergüenza, no hace más que postear en proxy-socks,
tal
como ya aparece en dicha IP y otras tantas que aparecen. Y si te fijas, lo
hace con un servidor de SunSITE para despistar, porque sabe que con otras
máquinas de USENET NO podrá postear.

Yo no sé para que postea con varios proxy-socks, si al final, lo único que
va a conseguir, es que se filtren todos controladamente por los
administradores.

Respuesta Responder a este mensaje
#37 Adriana
01/01/2005 - 11:41 | Informe spam
SUPERBURRO!!!!,
"Santiago José López Borrazás" escribió en el mensaje
news:
Hash: SHA1

Fecha: Fri, 31 Dec 2004 10:56:35 +0100
Quién: El Nazgûl
Asunto: Re: WinRAR: Ejecución de código con archivo ZIP corrupto
Message-ID:

| Sinceramente, no sé para qué respondéis a esta clase de posts.
|
| A este individuo lo tengo ya fichado, pues no hace más que dar la vara
con
| noticias que ya no lo son. Su ip es 220.168.142.225. ¿Piensa que con
cambiar
| el nombre no se le va a detectar?

Tranquilo, que el sinvergüenza, no hace más que postear en proxy-socks,
tal
como ya aparece en dicha IP y otras tantas que aparecen. Y si te fijas, lo
hace con un servidor de SunSITE para despistar, porque sabe que con otras
máquinas de USENET NO podrá postear.

Yo no sé para que postea con varios proxy-socks, si al final, lo único que
va a conseguir, es que se filtren todos controladamente por los
administradores.

Respuesta Responder a este mensaje
#38 Adriana
01/01/2005 - 11:41 | Informe spam
SUPERBURRO!!!!,
"Santiago José López Borrazás" escribió en el mensaje
news:
Hash: SHA1

Fecha: Fri, 31 Dec 2004 10:56:35 +0100
Quién: El Nazgûl
Asunto: Re: WinRAR: Ejecución de código con archivo ZIP corrupto
Message-ID:

| Sinceramente, no sé para qué respondéis a esta clase de posts.
|
| A este individuo lo tengo ya fichado, pues no hace más que dar la vara
con
| noticias que ya no lo son. Su ip es 220.168.142.225. ¿Piensa que con
cambiar
| el nombre no se le va a detectar?

Tranquilo, que el sinvergüenza, no hace más que postear en proxy-socks,
tal
como ya aparece en dicha IP y otras tantas que aparecen. Y si te fijas, lo
hace con un servidor de SunSITE para despistar, porque sabe que con otras
máquinas de USENET NO podrá postear.

Yo no sé para que postea con varios proxy-socks, si al final, lo único que
va a conseguir, es que se filtren todos controladamente por los
administradores.

Respuesta Responder a este mensaje
#39 Adriana
01/01/2005 - 11:44 | Informe spam
SUPERBURRISIMO!!!!! y si usas el cerebro? Creo sería conveniente para ti
y para el resto del mundo.
"El Nazgûl" <El_NazgulCONVIERTE[arroba]ESTOsofthome.net> escribió en el
mensaje news:
Al menos me entretengo eliminándolos manualmente

XDDDDDDDDDDDDDDDDDDDDD

Salu2 desde Utumno
El Nazgûl ;-)

Respuesta Responder a este mensaje
#40 Adriana
01/01/2005 - 11:44 | Informe spam
SUPERBURRISIMO!!!!! y si usas el cerebro? Creo sería conveniente para ti
y para el resto del mundo.
"El Nazgûl" <El_NazgulCONVIERTE[arroba]ESTOsofthome.net> escribió en el
mensaje news:
Al menos me entretengo eliminándolos manualmente

XDDDDDDDDDDDDDDDDDDDDD

Salu2 desde Utumno
El Nazgûl ;-)

Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida