Zone LabsUna vulnerabilidad crítica ha sido identificada en múltiples productos de Zone Labs, los cuáles pueden ser explotados por atacantes remotos para ejecutar comandos de forma arbitraria.
Este fallo se produce por un error de desbordamiento de la memoria HEAP (la porción de memoria disponible para un programa, también llamada área de memoria dinámica), en el motor de Vet Antivirus (VetE.dll), cuando éste analiza el flujo OLE (Object Linking and Embedding), y procesa cabezales malformados de objetos de macros VBA (Visual Basic para Aplicaciones).
Un atacante remoto puede enviar proyectos VBA con código embebido modificado maliciosamente para explotar dicha vulnerabilidad, y de ese modo lograr ejecutar diferentes comandos en el entorno del usuario actual.
Software afectado:
- Zone Labs ZoneAlarm Antivirus todas las versiones
- Zone Labs ZoneAlarm Security Suite todas las versiones
Software NO afectado:
- Zone Labs ZoneAlarm (versión gratuita y Pro sin antivirus).
Solución:
No existe una solución oficial al momento de publicar este aviso.
Referencias:
FrSIRT Advisory : FrSIRT/ADV-2005-0597
ZoneLabs Multiple Products Vet Engine Heap Overflow Vulnerability
http://www.frsirt.com/english/advisories/2005/0597FrSIRT Advisory : FrSIRT/ADV-2005-0596
Computer Associates Multiple Products Vet Engine Heap Overflow
http://www.frsirt.com/english/advisories/2005/0596Computer Associates Vet Antivirus RemOte Heap Overflow Security Advisory (documento PDF)
http://www.rem0te.com/public/images/vet.pdf[/size]
Computer AssociatesUna vulnerabilidad en el motor Vet de Computer Associates permite a
un atacante controlar de forma remota los sistemas que tengan
instalados una versión afectada de este motor antivirus.
El problema detectado en el motor de Vet, basado en un desbordamiento
de entero al analizar OLE, podría ser explotado de forma remota por un
atacante enviando un documento de MS Office especialmente construido
para provocar la ejecución de código arbitrario.
A efectos prácticos, un atacante podría controlar la máquina donde se
encuentre una versión afectada del motor de Vet Antivirus, incluido en
varios productos de Computer Associates, con tan sólo enviar un
documento adjunto a través del correo electrónico. Al intentar el
antivirus analizar el documento enviado provocaría la ejecución del
código del atacante de forma automática, sin necesidad de intervención
alguna por parte del usuario víctima.
La mayoría de los productos afectados son corregidos gracias a las
actualizaciones automáticas, si bien los usuarios de eTrust EZ
Antivirus 6.x y eTrust EZ Armor 2.x deberán actualizar a versiones
superiores para prevenir los ataques.
Actualización de eTrust EZ Armor 2.x a versión 3.1.
http://consumerdownloads.ca.com/myeTrust/apps/EZArmor.exe Actualización de eTrust EZ Antivirus 6.x a versión 7.
http://consumerdownloads.ca.com/myeTrust/a...EZAntivirus.exe Los productos afectados, según el aviso de Computer Associates, son:
Computer Associates: BrightStor ARCserve Backup (BAB) r11.1 Windows
Computer Associates: eTrust Antivirus 6.0 Linux
Computer Associates: eTrust Antivirus 6.0 Notes/Exchange
Computer Associates: eTrust Antivirus 6.0 Solaris
Computer Associates: eTrust Antivirus 6.0 Windows 95/98/ME
Computer Associates: eTrust Antivirus 6.0 Windows NT/2000/XP
Computer Associates: eTrust Antivirus 6.0 Windows NT/2000/XP SP1
Computer Associates: eTrust Antivirus 6.0 Windows NT/2000/XP SP2
Computer Associates: eTrust Antivirus 7.0 Notes/Exchange
Computer Associates: eTrust Antivirus 7.0 Solaris
Computer Associates: eTrust Antivirus 7.0 Windows 95/98/ME
Computer Associates: eTrust Antivirus 7.0 Windows NT/2000/XP
Computer Associates: eTrust Antivirus 7.1 Notes/Exchange
Computer Associates: eTrust Antivirus 7.1 Solaris
Computer Associates: eTrust Antivirus 7.1 Windows NT/2000/XP
Computer Associates: eTrust Antivirus for the Gateway 7.0
Computer Associates: eTrust Antivirus for the Gateway r7.1
Computer Associates: eTrust EZ Antivirus 2005 (v6.2)
Computer Associates: eTrust EZ Antivirus 6.1
Computer Associates: eTrust EZ Antivirus 6.1.0.24
Computer Associates: eTrust EZ Antivirus 6.1.3.1
Computer Associates: eTrust EZ Antivirus 6.1.4.0
Computer Associates: eTrust EZ Antivirus 6.1.5.8
Computer Associates: eTrust EZ Antivirus 6.1.7.0
Computer Associates: eTrust EZ Antivirus 6.2
Computer Associates: eTrust EZ Antivirus 6.3
Computer Associates: eTrust EZ Antivirus 6.4
Computer Associates: eTrust EZ Antivirus 7
Computer Associates: eTrust EZ Antivirus 7.0.0
Computer Associates: eTrust EZ Antivirus 7.0.1
Computer Associates: eTrust EZ Antivirus 7.0.1.4
Computer Associates: eTrust EZ Antivirus 7.0.2
Computer Associates: eTrust EZ Antivirus 7.0.2.1
Computer Associates: eTrust EZ Antivirus 7.0.3
Computer Associates: eTrust EZ Antivirus 7.0.4
Computer Associates: eTrust EZ Antivirus 7.0.5
Computer Associates: eTrust Intrusion Detection 1.4.1.13
Computer Associates: eTrust Intrusion Detection 2.0
Computer Associates: eTrust Intrusion Detection 2.0 SP1
Computer Associates: eTrust Intrusion Detection 3.0
Computer Associates: eTrust Intrusion Detection 3.0SP1
Computer Associates: eTrust Secure Content Manager 1.0
Computer Associates: eTrust Secure Content Manager 1.0 SP1
Computer Associates: eTrust Secure Content Manager 1.1
Computer Associates: EZ Armor 2.0
Computer Associates: EZ Armor 2.0.13
Computer Associates: EZ Armor 2.0.6
Computer Associates: EZ Armor 2.3
Computer Associates: EZ Armor 2.4
Computer Associates: EZ Armor 2.4.4
Computer Associates: EZ Armor 3.1
Computer Associates: EZ Armor LE 2.0
Computer Associates: EZ Armor LE 3.0.0.14
Computer Associates: InoculateIT 6.0
Computer Associates: Vet Antivirus 10.66
Más Información:
Computer Associates Vet Antivirus engine heap overflow vulnerability
http://www3.ca.com/securityadvisor/vulninf...n.aspx?id=32896 [/size]
