Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en el antivirus Sophos |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Denegación de Servicio |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado | Sophos Antivirus, anterior a la versión actualizada del 5 de Noviembre. |
Descripción |
|
El investigador de seguridad Tavis Ormandy ha publicado un detallado informe con múltiples fallos de seguridad detectados en el antivirus Sophos. El fabricante ha publicado las correspondientes actualizaciones para solucionar las vulnerabilidades reportadas. El informe incluye varias vulnerabilidades en los componentes del antivirus. Además, la instalación del producto provoca la desactivación de medidas de seguridad del sistema operativo y el navegador, que aumentan la superficie de ataque para otras vulnerabilidades. - Desbordamiento de enteros en el análisis de controles de tipo Visual Basic 6. Los metadatos a los ejecutables de VB6 podrían provocar un desbordamiento de memoria basado en heap. - Salto de protección ASLR a través de sophos_detoured_x64.dll. Esta librería proporciona una protección similar a ASLR para sistemas Windows XP, pero no soporta ASLR en sí misma, lo que permite saltarse esta protección en Windows Vista y 7. - El antivirus Sophos instala un proveedor de servicios en capas (Layered Service Provider o LSP) en Internet Explorer, que carga archivos dll desde directorios de baja integridad. Esto provoca la desactivación efectiva de la manera protegido de Internet Explorer. - XSS de tipo universal. La plantilla para la página de bloque LSP contiene una vulnerabilidad de ejecución de código en lugares cruzados, haciendo inefectiva la "política de mismo origen" (Same Origin Policy) en todo el navegador. - Corrupción de memoria en los componentes de análisis de archivos de tipo Microsoft CAB. - Corrupción de memoria en la máquina virtual de análisis de archivos RAR. - Escalada de privilegios mediante el servicio de actualización de red. - Desbordamiento de memoria intermedia en el des-cifrado de archivos de tipo PDF. Todas las vulnerabilidades fueron reportadas de forma privada al fabricante, y no se ha detectado una explotación activa. |
|
Solución |
|
Instalar las últimas actualizaciones del producto. Los parches para solucionar la mayoría de las vulnerabilidades reportadas fueron desplegados antes del 5 de noviembre de 2012. Sólo una de las vulnerabilidades aún no ha sido solucionada, el fabricante tiene previsto publicar la actualización a partir del 28 de Noviembre. | |
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
Aviso de seguridad de Symantec SYM12-017 http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20121107_00 Aviso de seguridad de US-CERT http://www.kb.cert.org/vuls/id/985625 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2012-11-11 |