• Lunes 23 de Diciembre de 2024, 14:39

Autor Tema:  Ejecución De Código En Symantec Antivirus (rar)  (Leído 1094 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Ejecución De Código En Symantec Antivirus (rar)
« en: Jueves 22 de Diciembre de 2005, 18:24 »
0
Según anuncia Secunia, Alex Wheeler ha reportado una vulnerabilidad en Symantec AntiVirus, la cuál potencialmente puede ser explotada por personas maliciosas para comprometer los sistemas vulnerables.

La vulnerabilidad es provocada por un error de límites en la librería "Dec2Rar.dll" cuando se copian datos tomando como referencia los valores indicados en las cabeceras de los archivos RAR. Esto puede ser explotado para causar un desbordamiento de búfer con la posibilidad de sobrescribir la memoria heap (área dinámica utilizada por los programas durante su ejecución).

Este problema facilita la ejecución de código arbitrario cuando el antivirus examina un archivo comprimido con la extensión RAR, si el mismo ha sido modificado maliciosamente.

Esta vulnerabilidad ha sido reportada en la versión 3.2.14.3 de Dec2Rar.dll, y potencialmente afecta a todos los productos de Symantec que utilicen esta DLL.

Esta alerta se emite por haber sido hecho público el problema.


Software afectado:

- Symantec AntiVirus Corporate Edition 10.x
- Symantec AntiVirus Corporate Edition 8.x
- Symantec AntiVirus Corporate Edition 9.x
- Symantec AntiVirus para Caching 4.x
- Symantec AntiVirus para Network Attached Storage 4.x
- Symantec AntiVirus para SMTP Gateways 3.x
- Symantec AntiVirus Scan Engine 4.x
- Symantec AntiVirus/Filtering para Domino 3.x
- Symantec Brightmail AntiSpam 4.x
- Symantec Brightmail AntiSpam 5.x
- Symantec Brightmail AntiSpam 6.x
- Symantec Client Security 1.x
- Symantec Client Security 2.x
- Symantec Mail Security para Domino 4.x
- Symantec Mail Security para Exchange 4.x
- Symantec Mail Security para SMTP 4.x
- Symantec Norton AntiVirus 2001
- Symantec Norton AntiVirus 2002
- Symantec Norton AntiVirus 2003
- Symantec Norton AntiVirus 2004
- Symantec Norton AntiVirus 2005
- Symantec Norton AntiVirus 5
- Symantec Norton AntiVirus 5.0 para OS/2
- Symantec Norton AntiVirus Corporate Edition 7.x
- Symantec Norton AntiVirus para Macintosh 10.x
- Symantec Norton AntiVirus para Macintosh 9.x
- Symantec Norton AntiVirus para Microsoft Exchange 2.x
- Symantec Norton AntiVirus para Microsoft Exchange 3.x
- Symantec Norton AntiVirus Solution 7.5
- Symantec Norton Internet Security 2001
- Symantec Norton Internet Security 2002
- Symantec Norton Internet Security 2003
- Symantec Norton Internet Security 2003 Professional
- Symantec Norton Internet Security 2004
- Symantec Norton Internet Security 2004 Professional
- Symantec Norton Internet Security 2005
- Symantec Norton Internet Security para Macintosh 3.x
- Symantec Web Security 2.x
- Symantec Web Security 3.x

Solución:

El fabricante publicó una solución parcial al problema, mediante la actualización de firmas para la detección de archivos .RAR malformados, hasta que se publique una actualización que corrija la vulnerabilidad.

Se recomienda filtrar archivos con extensión .RAR para que no sean examinados por el antivirus.


Referencias:

Symantec Antivirus Library RemØte Heap Overflows
http://www.rem0te.com/public/images/symc2.pdf

Secunia Advisory: SA18131
Symantec AntiVirus RAR Archive Decompression Buffer Overflow
http://secunia.com/advisories/18131/
El pasado son solo recuerdos, el futuro son solo sueños