17:00 22/09/04


UN FORAT DE MICROSOFT TRENCA EL MITE QUE LES IMATGES NO PORTEN VIRUS


L'alarma creix per moments. La setmana passada, Microsoft va anunciar al món que, per primera vegada en la història d'Internet, les imatges poden portar virus, si es miren amb productes com Outlook o Internet Explorer. Mentre la comunitat de seguretat demana que no hi hagi pànic, un grup d'investigadors ha fet una prova de concepte que demostra que és possible aprofitar aquest forat per introduir codi maligne en un ordinador. Els experts diuen que és imminent l'arribada d'un virus que viatgi als arxius .jpeg i .jpg, els més utilitzats a Internet, i recomana a tothom que s'intal.li les actualitzacions.



LES IMATGES PODEN PORTEN VIRUS


"Les imatges no poden portar virus". Aquesta sentència ha estat, des dels principis de la informàtica i Internet, una norma inamovible i segura: tot és susceptible de portar virus però una imatge, no. La setmana passada, Microsoft trencava aquest mite en anunciar que diversos programes de la companyia tenien un error que permet que, només visualitzant una imatge .jpeg, pugui entrar codi maligne en un ordinador. Un grup d'investigadors s'han dedicat aquests dies a crear un programa que demostra que és possible explotar aquesta vulnerabilitat. L'arribada d'un virus que ho aprofiti és, diuen, qüestió de temps.

El codi fet públic pels investigadors demostra, segons Hispasec, que "és possible explotar aquest problema de Windows de forma remota i provocar un desbordament de búfer. Encara que és una prova de concepte i no arriba a mostrar una execució de codi, pot ajudar a què usuaris malvolents o creadors de virus dissenyin un programa que descarregui un trojà, virus o cucs des d'una imatge .jpg". Hispasec dóna com a imminent l'arribada d'un nou virus amagat en imatges: "Amb aquest nou avenç, és molt possible que quedi poc per l'aparició d'un atac d'aquestes característiques, fet pel qual recomanem a tots els usuaris que s'instal.lin l'actualització publicada per Microsoft o facin un Windows Update".

El 14 de setembre, Microsoft sorprenia en donar a conèixer aquesta vulnerabilitat, que qualificava de "crítica" perquè permet a un atacant executar codi de forma remota. El problema, explica Hispasec, "rau en el mòdul de tractament d'imatges .jpeg, que és en nombrosos programes Microsoft, com Office 2003 i XP, Project 2002 i 2003, Visio 2002 i 2003, Visual Studio .NET 2002 i 2003, Windows Server 2003 i Windows XP". La vulnerabilitat és del tipus "desbordament de búfer", que significa que l'atacant que el provoca pot prendre el control del sistema per a instal.lar-hi programes, veure, cambiar o esborrar dades o crear nous comptes d'usuari amb privilegis. Segons Microsoft, "Windows 98, Windows ME, Windows NT i Windows 2000 no són vulnerables, si no utilitzen programes que ho siguin, com el programa de correu Outlook i el navegador Internet Explorer".

.jpeg és una plataforma d'imatge que ha esdevingut estàndar a Internet i és la més utilitzada, en les formes .jpeg o .jpg. La va desenvolupar el Grup Mixte d'Experts Fotogràfics, les inicials del qual en anglès són JPEG. Els programes de Microsoft fallen en processar aquest tipus d'imatges i permeten que algú ho aprofiti per a injectar codi maligne a l'ordinador: "Un atacant podria tenir una web dissenyada per explotar aquesta vulnerabilitat, només que l'usuari la mirés amb Internet Explorer", explica la companyia, que posa altres exemples: "Un atacant podria crear un missatge eh HTML amb una imatge adjunta que, en veure-la o pre-veure-la amb Outlook, alliberaria un codi que explotaria la vulnerabilitat. També, l'atacant podria posar una imatge en un document d'Office i persuadir l'usuari de llegir-lo. O, senzillament, l'atacant podria posar la imatge en un sistema d'intercanvi de fitxers i convèncer l'usuari que mirés el directori on hi ha la imatge, amb el Windows Explorer". El perill és altíssim. Més tenint en compte que la majoria d'usuaris de Windows no s'instal.len les actualitzacions de seguretat.


Mercè Molist


Publicado código que explota la ultima vulnerabilidad de Windows
http://www.hispasec.com/unaaldia/2159
Microsoft Security Bulletin
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS04-028-IT.mspx





Copyleft 2004 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.

<<