Buscar
Buscar:
Mensajes de hoy » Búsqueda avanzada »

Ejecución de código en Symantec AntiVirus (RAR)


 
 Old 22 dic 2005, 16:04   #1 (permalink)  
Miembro activo
 
Avatar de vuelve usuario s-o-f-t-o-n-i-c
 
Registrado: enero 2005
Ubicación: EN TU OJOS
Mensajes: 2.080
Predeterminado Ejecución de código en Symantec AntiVirus (RAR)
Según anuncia Secunia, Alex Wheeler ha reportado una vulnerabilidad en Symantec AntiVirus, la cuál potencialmente puede ser explotada por personas maliciosas para comprometer los sistemas vulnerables.

La vulnerabilidad es provocada por un error de límites en la librería "Dec2Rar.dll" cuando se copian datos tomando como referencia los valores indicados en las cabeceras de los archivos RAR. Esto puede ser explotado para causar un desbordamiento de búfer con la posibilidad de sobrescribir la memoria heap (área dinámica utilizada por los programas durante su ejecución).

Este problema facilita la ejecución de código arbitrario cuando el antivirus examina un archivo comprimido con la extensión RAR, si el mismo ha sido modificado maliciosamente.

Esta vulnerabilidad ha sido reportada en la versión 3.2.14.3 de Dec2Rar.dll, y potencialmente afecta a todos los productos de Symantec que utilicen esta DLL.

Esta alerta se emite por haber sido hecho público el problema.


Software afectado:

- Symantec AntiVirus Corporate Edition 10.x
- Symantec AntiVirus Corporate Edition 8.x
- Symantec AntiVirus Corporate Edition 9.x
- Symantec AntiVirus para Caching 4.x
- Symantec AntiVirus para Network Attached Storage 4.x
- Symantec AntiVirus para SMTP Gateways 3.x
- Symantec AntiVirus Scan Engine 4.x
- Symantec AntiVirus/Filtering para Domino 3.x
- Symantec Brightmail AntiSpam 4.x
- Symantec Brightmail AntiSpam 5.x
- Symantec Brightmail AntiSpam 6.x
- Symantec Client Security 1.x
- Symantec Client Security 2.x
- Symantec Mail Security para Domino 4.x
- Symantec Mail Security para Exchange 4.x
- Symantec Mail Security para SMTP 4.x
- Symantec Norton AntiVirus 2001
- Symantec Norton AntiVirus 2002
- Symantec Norton AntiVirus 2003
- Symantec Norton AntiVirus 2004
- Symantec Norton AntiVirus 2005
- Symantec Norton AntiVirus 5
- Symantec Norton AntiVirus 5.0 para OS/2
- Symantec Norton AntiVirus Corporate Edition 7.x
- Symantec Norton AntiVirus para Macintosh 10.x
- Symantec Norton AntiVirus para Macintosh 9.x
- Symantec Norton AntiVirus para Microsoft Exchange 2.x
- Symantec Norton AntiVirus para Microsoft Exchange 3.x
- Symantec Norton AntiVirus Solution 7.5
- Symantec Norton Internet Security 2001
- Symantec Norton Internet Security 2002
- Symantec Norton Internet Security 2003
- Symantec Norton Internet Security 2003 Professional
- Symantec Norton Internet Security 2004
- Symantec Norton Internet Security 2004 Professional
- Symantec Norton Internet Security 2005
- Symantec Norton Internet Security para Macintosh 3.x
- Symantec Web Security 2.x
- Symantec Web Security 3.x


Solución:

El fabricante publicó una solución parcial al problema, mediante la actualización de firmas para la detección de archivos .RAR malformados, hasta que se publique una actualización que corrija la vulnerabilidad.

Se recomienda filtrar archivos con extensión .RAR para que no sean examinados por el antivirus.


Referencias:

Symantec Antivirus Library RemØte Heap Overflows
http://www.rem0te.com/public/images/symc2.pdf

Secunia Advisory: SA18131
Symantec AntiVirus RAR Archive Decompression Buffer Overflow
http://secunia.com/advisories/18131/

http://www.vsantivirus.com/vul-symantec-rar-201205.htm
CATALUNYA
Is Not Spain
o Non è La Spagna

Το Catalunya δεν είναι Ισπανία
copyright



Linux Registered User #454510


equisdé
vuelve usuario s-o-f-t-o-n-i-c is offline   Citar y responder
 
 Old 22 dic 2005, 16:33   #2 (permalink)  
Miembro activo
 
Avatar de naif
 
Registrado: octubre 2005
Ubicación: Buenos Aires, Argentina
Mensajes: 1.534
Predeterminado Re: Ejecución de código en Symantec AntiVirus (RAR)
Cita:
usuario softonic escribió:
Según anuncia Secunia, Alex Wheeler ha reportado una vulnerabilidad en Symantec AntiVirus, la cuál potencialmente puede ser explotada por personas maliciosas para comprometer los sistemas vulnerables.

La vulnerabilidad es provocada por un error de límites en la librería "Dec2Rar.dll" cuando se copian datos tomando como referencia los valores indicados en las cabeceras de los archivos RAR. Esto puede ser explotado para causar un desbordamiento de búfer con la posibilidad de sobrescribir la memoria heap (área dinámica utilizada por los programas durante su ejecución).

Este problema facilita la ejecución de código arbitrario cuando el antivirus examina un archivo comprimido con la extensión RAR, si el mismo ha sido modificado maliciosamente.

Esta vulnerabilidad ha sido reportada en la versión 3.2.14.3 de Dec2Rar.dll, y potencialmente afecta a todos los productos de Symantec que utilicen esta DLL.

Esta alerta se emite por haber sido hecho público el problema.


Software afectado:

- Symantec AntiVirus Corporate Edition 10.x
- Symantec AntiVirus Corporate Edition 8.x
- Symantec AntiVirus Corporate Edition 9.x
- Symantec AntiVirus para Caching 4.x
- Symantec AntiVirus para Network Attached Storage 4.x
- Symantec AntiVirus para SMTP Gateways 3.x
- Symantec AntiVirus Scan Engine 4.x
- Symantec AntiVirus/Filtering para Domino 3.x
- Symantec Brightmail AntiSpam 4.x
- Symantec Brightmail AntiSpam 5.x
- Symantec Brightmail AntiSpam 6.x
- Symantec Client Security 1.x
- Symantec Client Security 2.x
- Symantec Mail Security para Domino 4.x
- Symantec Mail Security para Exchange 4.x
- Symantec Mail Security para SMTP 4.x
- Symantec Norton AntiVirus 2001
- Symantec Norton AntiVirus 2002
- Symantec Norton AntiVirus 2003
- Symantec Norton AntiVirus 2004
- Symantec Norton AntiVirus 2005
- Symantec Norton AntiVirus 5
- Symantec Norton AntiVirus 5.0 para OS/2
- Symantec Norton AntiVirus Corporate Edition 7.x
- Symantec Norton AntiVirus para Macintosh 10.x
- Symantec Norton AntiVirus para Macintosh 9.x
- Symantec Norton AntiVirus para Microsoft Exchange 2.x
- Symantec Norton AntiVirus para Microsoft Exchange 3.x
- Symantec Norton AntiVirus Solution 7.5
- Symantec Norton Internet Security 2001
- Symantec Norton Internet Security 2002
- Symantec Norton Internet Security 2003
- Symantec Norton Internet Security 2003 Professional
- Symantec Norton Internet Security 2004
- Symantec Norton Internet Security 2004 Professional
- Symantec Norton Internet Security 2005
- Symantec Norton Internet Security para Macintosh 3.x
- Symantec Web Security 2.x
- Symantec Web Security 3.x


Solución:

El fabricante publicó una solución parcial al problema, mediante la actualización de firmas para la detección de archivos .RAR malformados, hasta que se publique una actualización que corrija la vulnerabilidad.

Se recomienda filtrar archivos con extensión .RAR para que no sean examinados por el antivirus.


Referencias:

Symantec Antivirus Library RemØte Heap Overflows
http://www.rem0te.com/public/images/symc2.pdf

Secunia Advisory: SA18131
Symantec AntiVirus RAR Archive Decompression Buffer Overflow
http://secunia.com/advisories/18131/

http://www.vsantivirus.com/vul-symantec-rar-201205.htm
Grax por la info, mi primo usa norton
Loka Loka, Loka Loka
naif is offline   Citar y responder
 
 Old 23 dic 2005, 18:42   #3 (permalink)  
Miembro activo
 
Avatar de vuelve usuario s-o-f-t-o-n-i-c
 
Registrado: enero 2005
Ubicación: EN TU OJOS
Mensajes: 2.080
Predeterminado Re: Ejecución de código en Symantec AntiVirus (RAR)
Cita:
naif escribió:
Grax por la info, mi primo usa norton

De nada, suerte con tu primo.
CATALUNYA
Is Not Spain
o Non è La Spagna

Το Catalunya δεν είναι Ισπανία
copyright



Linux Registered User #454510


equisdé
vuelve usuario s-o-f-t-o-n-i-c is offline   Citar y responder
 
 Old 23 dic 2005, 19:28   #4 (permalink)  
Miembro activo
 
Avatar de naif
 
Registrado: octubre 2005
Ubicación: Buenos Aires, Argentina
Mensajes: 1.534
Predeterminado Re: Ejecución de código en Symantec AntiVirus (RAR)
Cita:
usuario softonic escribió:
De nada, suerte con tu primo.
Mmmm, se le metio un virus y le rompio la pc, ahora la tiene que formatear...
Loka Loka, Loka Loka
naif is offline   Citar y responder
 
 Old 23 dic 2005, 19:29   #5 (permalink)  
Miembro activo
 
Avatar de vuelve usuario s-o-f-t-o-n-i-c
 
Registrado: enero 2005
Ubicación: EN TU OJOS
Mensajes: 2.080
Predeterminado Re: Ejecución de código en Symantec AntiVirus (RAR)
Cita:
naif escribió:
Mmmm, se le metio un virus y le rompio la pc, ahora la tiene que formatear...

Pues vaya que putada pobre xaval, con lo que cabrea que se te pete el pc, y encima por un virus.
CATALUNYA
Is Not Spain
o Non è La Spagna

Το Catalunya δεν είναι Ισπανία
copyright



Linux Registered User #454510


equisdé
vuelve usuario s-o-f-t-o-n-i-c is offline   Citar y responder
 
 Old 23 dic 2005, 19:32   #6 (permalink)  
Miembro activo
 
Avatar de naif
 
Registrado: octubre 2005
Ubicación: Buenos Aires, Argentina
Mensajes: 1.534
Predeterminado Re: Ejecución de código en Symantec AntiVirus (RAR)
Cita:
usuario softonic escribió:
Pues vaya que putada pobre xaval, con lo que cabrea que se te pete el pc, y encima por un virus.
Te explico: se le metio un virus, el norton no lo detectaba, de repente se le cerro el norton y se apago la pc, no la pudo prender mas :S
tiene norton 2005
Loka Loka, Loka Loka
naif is offline   Citar y responder
 
 Old 23 dic 2005, 19:37   #7 (permalink)  
Miembro activo
 
Avatar de vuelve usuario s-o-f-t-o-n-i-c
 
Registrado: enero 2005
Ubicación: EN TU OJOS
Mensajes: 2.080
Predeterminado Re: Ejecución de código en Symantec AntiVirus (RAR)
Cita:
naif escribió:
Te explico: se le metio un virus, el norton no lo detectaba, de repente se le cerro el norton y se apago la pc, no la pudo prender mas :S
tiene norton 2005

Yo le recomiendo que se canvie a Nod32 o McAfee y se deje de tonerias con Norton, con ese antivirus no esta seguro.
CATALUNYA
Is Not Spain
o Non è La Spagna

Το Catalunya δεν είναι Ισπανία
copyright



Linux Registered User #454510


equisdé
vuelve usuario s-o-f-t-o-n-i-c is offline   Citar y responder
 
 Old 23 dic 2005, 19:37   #8 (permalink)  
Miembro activo
 
Avatar de naif
 
Registrado: octubre 2005
Ubicación: Buenos Aires, Argentina
Mensajes: 1.534
Predeterminado Re: Ejecución de código en Symantec AntiVirus (RAR)
Cita:
usuario softonic escribió:
Yo le recomiendo que se canvie a Nod32 o McAfee y se deje de tonerias con Norton, con ese antivirus no esta seguro.
Dice que se va a poner Nod32
Loka Loka, Loka Loka
naif is offline   Citar y responder
 
 Old 14 feb 2007, 02:55   #9 (permalink)  
Miembro activo
 
Avatar de Yuki_N.>
 
Registrado: febrero 2007
Ubicación: ...
Mensajes: 2.106
Predeterminado Re: Ejecución de código en Symantec AntiVirus (RAR)
yo tengo el 2007
Yuki_N.> is offline   Citar y responder
 
 Old 14 feb 2007, 08:45   #10 (permalink)  
Miembro activo
 
Avatar de wanm28
 
Registrado: febrero 2005
Ubicación: en la tierra de los sueños"puxa asturias"
Mensajes: 17.725
Predeterminado Re: Ejecución de código en Symantec AntiVirus (RAR)
Cita:
naif escribió:
Dice que se va a poner Nod32

q tal naif




buena eleccion para mi esa o kaspersky las mejores
(h5)(6)wanm(a)(h5)
wanm28 is offline   Citar y responder
Responder

« Nod32 analiza los correos de msn?? | Rootkit: la gran amenaza de 2007 »

Herramientas
Estilo
Modo lineal Modo lineal


 

Tema Iniciado por Foro Respuestas Último mensaje
informacion de antivirus javv Seguridad 46 29 oct 2007 23:18
Firmas antivirus más allá del malware tradicional wanm28 Seguridad 3 20 may 2006 22:22
Antivirus vulnerables al "Filename Bypassing" Ahharu_Sama Seguridad 1 01 oct 2005 02:31
Actualización crítica para antivirus de Computer Associates(eTrust EZ Antivirus ) wanm28 Seguridad 2 26 may 2005 19:43
Grave vulnerabilidad remota en Firefox 1.0.3 permite ejecución de código wanm28 Seguridad 2 11 may 2005 00:03



Buscar
Escribe aquí lo que quieres encontrar:
Mensajes de hoy » Búsqueda avanzada »


Acceso a todos los temas