Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

ICQ y MSIE permiten la ejecución arbitraria de código
 
VSantivirus No. 740 - Año 6 - Miércoles 17 de julio de 2002

ICQ y MSIE permiten la ejecución arbitraria de código
http://www.vsantivirus.com/vul-scm.htm

Aviso de seguridad: ICQ y MSIE permiten la ejecución arbitraria de código
Nombre original: ICQ and MSIE Allow Execution of Arbitrary Code
Fecha original: 17/jul/02
Autor/descubridor: Jelmer <jelmer@kuperus.xs4all.nl>
Aplicación vulnerable: ICQ e Internet Explorer
Severidad: Alta
Riesgo: Ejecución arbitraria de código en forma remota

Los archivos .SCM (ICQ soundscheme), contienen archivos de sonido .WAV que consisten en varios esquemas de sonido usados por el ICQ, el conocido cliente de mensajería instantánea.

La acción por defecto para estos archivos es abrirse sin confirmación del usuario, y colocar los archivos .WAV en una ubicación conocida en el disco duro, dentro de carpetas predefinidas del ICQ.

Un exploit puede hacer que se descargue un archivo .SCM que contenga un falso .WAV, logrando la ejecución remota de este segundo archivo.

La demostración disponible en Internet, disfraza un archivo .MHT (un formato de correo electrónico), suplantando a un WAV verdadero. Dicho archivo MHT contiene un ejecutable incluido en formato base64.

Usando una conocida vulnerabilidad del Internet Explorer que permite la ejecución de código en forma local sin la intervención del usuario (del tipo "Content-Type:"), se puede lograr que este archivo embebido en el archivo MHT se ejecute por si solo.

El exploit podría modificarse para ejecutar cualquier clase de código, incluso a través de otra clase de archivos.

Es suficiente descargar de una página HTML en que se haya hecho un uso malicioso de las etiquetas IFRAME, un archivo SCM modificado, para que el contenido de este falso SCM se ejecute en nuestra computadora, abriendo el camino para cualquier clase de código malicioso, como un virus o un troyano.

Por otra parte las posibilidades de explotar esta falla desde un correo electrónico con formato HTML también deberían ser consideradas.


Solución manual

Una solución momentánea (mientras ICQ no prevea un parche para esta falla), es cambiar el comportamiento habitual de los archivos .SCM luego de que el cliente ICQ es instalado en una computadora.

Si usted tiene ICQ en su PC, seleccione desde una ventana del Explorador de Windows (no el Internet Explorer), y seleccione Herramientas, Opciones de carpetas, la lengüeta "Tipos de archivos". Busque la extensión SCM, pinche en "Opciones avanzadas" y tilde la casilla "Confirmar apertura después de la descarga".


Glosario

ICQ ("I Seek You", Te busco) - Programa que ofrece un servicio de mensajería en línea a través de Internet, permitiendo hacer saber a otras personas conocidas, que uno está conectado (online). A través de él se pueden intercambiar mensajes y archivos, conversar (chat), establecer conexiones de voz y video, etc.

EXPLOIT - Programa o método concreto que saca provecho de una falla o agujero de seguridad de una aplicación o sistema, generalmente para un uso malicioso de dicha vulnerabilidad.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS