17:00
22/09/04
UN FORAT DE MICROSOFT TRENCA EL MITE QUE
LES IMATGES NO PORTEN VIRUS
L'alarma creix per moments. La setmana passada, Microsoft va anunciar
al món que, per primera vegada en la història d'Internet,
les imatges poden portar virus, si es miren amb productes com Outlook o
Internet Explorer. Mentre la comunitat de seguretat demana que no hi
hagi pànic, un grup d'investigadors ha fet una prova de concepte
que demostra que és possible aprofitar aquest forat per
introduir codi maligne en un ordinador. Els experts diuen que és
imminent l'arribada d'un virus que viatgi als arxius .jpeg i .jpg, els
més utilitzats a Internet, i recomana a tothom que s'intal.li
les actualitzacions.
LES
IMATGES PODEN PORTEN VIRUS
"Les imatges no poden portar virus". Aquesta sentència ha estat,
des dels principis de la informàtica i Internet, una norma
inamovible i segura: tot és susceptible de portar virus
però una imatge, no. La setmana passada, Microsoft trencava
aquest mite en anunciar que diversos programes de la companyia tenien
un error que permet que, només visualitzant una imatge .jpeg,
pugui entrar codi maligne en un ordinador. Un grup d'investigadors
s'han dedicat aquests dies a crear un programa que demostra que
és possible explotar aquesta vulnerabilitat. L'arribada d'un
virus que ho aprofiti és, diuen, qüestió de temps.
El codi fet públic pels investigadors demostra, segons Hispasec,
que "és possible explotar aquest problema de Windows de forma
remota i provocar un desbordament de búfer. Encara que és
una prova de concepte i no arriba a mostrar una execució de
codi, pot ajudar a què usuaris malvolents o creadors de virus
dissenyin un programa que descarregui un trojà, virus o cucs des
d'una imatge .jpg". Hispasec dóna com a imminent l'arribada d'un
nou virus amagat en imatges: "Amb aquest nou avenç, és
molt possible que quedi poc per l'aparició d'un atac d'aquestes
característiques, fet pel qual recomanem a tots els usuaris que
s'instal.lin l'actualització publicada per Microsoft o facin un
Windows Update".
El 14 de setembre, Microsoft sorprenia en donar a conèixer
aquesta vulnerabilitat, que qualificava de "crítica"
perquè permet a un atacant executar codi de forma remota. El
problema, explica Hispasec, "rau en el mòdul de tractament
d'imatges .jpeg, que és en nombrosos programes Microsoft, com
Office 2003 i XP, Project 2002 i 2003, Visio 2002 i 2003, Visual Studio
.NET 2002 i 2003, Windows Server 2003 i Windows XP". La vulnerabilitat
és del tipus "desbordament de búfer", que significa que
l'atacant que el provoca pot prendre el control del sistema per a
instal.lar-hi programes, veure, cambiar o esborrar dades o crear nous
comptes d'usuari amb privilegis. Segons Microsoft, "Windows 98, Windows
ME, Windows NT i Windows 2000 no són vulnerables, si no
utilitzen programes que ho siguin, com el programa de correu Outlook i
el navegador Internet Explorer".
.jpeg és una plataforma d'imatge que ha esdevingut
estàndar a Internet i és la més utilitzada, en les
formes .jpeg o .jpg. La va desenvolupar el Grup Mixte d'Experts
Fotogràfics, les inicials del qual en anglès són
JPEG. Els programes de Microsoft fallen en processar aquest tipus
d'imatges i permeten que algú ho aprofiti per a injectar codi
maligne a l'ordinador: "Un atacant podria tenir una web dissenyada per
explotar aquesta vulnerabilitat, només que l'usuari la
mirés amb Internet Explorer", explica la companyia, que posa
altres exemples: "Un atacant podria crear un missatge eh HTML amb una
imatge adjunta que, en veure-la o pre-veure-la amb Outlook, alliberaria
un codi que explotaria la vulnerabilitat. També, l'atacant
podria posar una imatge en un document d'Office i persuadir l'usuari de
llegir-lo. O, senzillament, l'atacant podria posar la imatge en un
sistema d'intercanvi de fitxers i convèncer l'usuari que
mirés el directori on hi ha la imatge, amb el Windows Explorer".
El perill és altíssim. Més tenint en compte que la
majoria d'usuaris de Windows no s'instal.len les actualitzacions de
seguretat.
Mercè Molist
Publicado código que explota la ultima vulnerabilidad de Windows
http://www.hispasec.com/unaaldia/2159
Microsoft Security Bulletin
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS04-028-IT.mspx
Copyleft 2004 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.
<<