Avisos 08 de November, 2012

Múltiples vulnerabilitats a l'antivirus Sophos

L'investigador de seguretat Tavis Ormandy ha publicat un detallat informe amb múltiples fallades de seguretat detectats en l'antivirus Sophos. El fabricant ha publicat les corresponents actualitzacions per solucionar les vulnerabilitats reportades.

Impacte

 
Execució remota de codi, escalada de privilegis, denegació de servei.
 
Recursos afectats
 
Sophos Antivirus anterior a la versió actualitzada del 5 de Novembre.
 
Solució
 
Instal•lar les ultimes actualitzacions del producte. Els pegats per solucionar la majoria de les vulnerabilitats reportades van ser desplegats abans del 5 de novembre de 2012. Només una de les vulnerabilitats encara no ha estat solucionada, el fabricant té previst publicar l'actualització a partir del 28 de Novembre.
 
Detall
 
L'informe inclou diverses vulnerabilitats als components de l'antivirus. A més, la instal • lació del producte provoca la desactivació de mesures de seguretat del sistema operatiu i el navegador, que augmenten la superfície d'atac per a altres vulnerabilitats.
 
Desbordament de sencers en l'anàlisi de controls de tipus Visual Basic 6. Les metadades als executables de VB6 podrien provocar un desbordament de memòria basat en heap.
Salt de protecció ASLR a través de sophos_detoured_x64.dll. Aquesta llibreria proporciona una protecció semblant a ASLR per sistemes Windows XP, però no suporta ASLR en si mateixa, el que permet saltar-se aquesta protecció en Windows Vista i 7.
L'antivirus Sophos instal•la un proveïdor de serveis en capes (Layered Service Provider o LSP) a Internet Explorer, que carrega fitxers DLL des directoris de baixa integritat. Això provoca la desactivació efectiva de la manera protegit d'Internet Explorer.
XSS de tipus universal. La plantilla per a la pàgina de bloc LSP conté una vulnerabilitat d'execució de codi en llocs creuats, fent inefectiva la "política de mateix origen" (Same Origin Policy) a tot el navegador.
Corrupció de memòria als components d'anàlisi de fitxers de tipus Microsoft CAB.
Corrupció de memòria a la màquina virtual d'anàlisi de fitxers RAR.
Escalada de privilegis mitjançant el servei d'actualització de red.
Desbordament de memoria intermèdia en el des-xifrat de fitxers de tipus PDF.
 
Totes les vulnerabilitats van ser reportades de forma privada al fabricant, i no s'ha detectat una explotació activa.
 
Referències
 
Avís de seguretat de Symantec SYM12-017
Avís de seguretat de US-CERT
 

 

Publicat a: Avisos