Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Desbordamiento de búfer en Yahoo! Instant Messenger
 
VSantivirus No. 1249 Año 8, Lunes 8 de diciembre de 2003

 Desbordamiento de búfer en Yahoo! Instant Messenger
http://www.vsantivirus.com/vul-yim56.htm

Por Angela Ruiz
angela@videosoft.net.uy

Un desbordamiento de búfer en el componente YAUTO.DLL, de la utilidad Yahoo! Instant Messenger, puede provocar que un sitio Web malintencionado, descargue y ejecute en la computadora del usuario, cualquier clase de código, incluyendo virus, gusanos o troyanos.

Yahoo! Instant Messenger (YIM) es un popular programa de mensajería instantánea utilizado por millones de usuarios.

YAUTO.DLL es un componente ActiveX/COM, que YIM instala y registra bajo la identificación (ProgID) "YAuto.NSAuto.1".

En este componente, existe una función llamada "Open(String Url)", que puede causar un desbordamiento de búfer si recibe un URL excesivamente largo.

Cómo se trata de un componente ActiveX, esta vulnerabilidad puede ser explotada desde un sitio Web que utilice el identificador de clase (CLSID) correcto, y llame a la función en forma directa.

El descubridor de la falla ha comprobado la explotación de la misma, con la consiguiente descarga y posterior ejecución de un troyano, en forma totalmente silenciosa para el usuario.

Yahoo! ha publicado una actualización de su mensajero que corrige esta falla, y aunque esto se ha hecho público a través de algún comunicado, aún hoy no aparece en su sitio una información clara sobre la necesidad de la urgente descarga del producto.

La vulnerabilidad fue hecha pública, porque su descubridor no encontró una dirección correcta a la cuál dirigirse, y finalmente tampoco recibió respuesta desde la única que localizó, una dirección electrónica perdida en el web de la compañía.

Nosotros buscamos en la página que se indica al final de este artículo, y no existe alguna forma clara de reportar cualquier problema u error encontrado (actualmente se ha agregado esta información).

No es la primera vez que reconocidas compañías, descuidan este importante canal de comunicación con sus usuarios.

Aunque la opción recomendada es descargar la última versión del Yahoo! Instant Messenger, una solución alternativa es el borrado del componente YAUTO.DLL en el directorio de instalación del programa.

Son vulnerables la versión 5.6.0.1347 y anteriores.


Créditos:

Tri Huynh (SentryUnion), <trihuynh@zeeup.com>

Referencias:

Yahoo! Messenger
http://messenger.yahoo.com

Security Updates
http://messenger.yahoo.com/security/update4.html


Actualizaciones:

08/dic/03 - Se agrega información sobre la actualización en el sitio de Yahoo!


Glosario:

ActiveX - Engloba diversas tecnologías de Microsoft usadas para crear contenido interactivo, independientemente del lenguaje. Los componentes ActiveX se pueden controlar mediante un lenguaje de secuencias de comandos como Visual Basic Scripting (VBScript) o JavaScript (JScript). Todos los subprogramas Java, al ejecutarse en la máquina virtual para Java, son automáticamente componentes ActiveX y utilizan la extensión .CLASS. Los componentes ActiveX que se ejecutan dentro del proceso de la aplicación son .OCX o .DLL, mientras que los que se ejecutan fuera son .EXE.

COM (Modelo de Objetos Componentes). El modelo de programación orientada a objetos que define cómo interactúan los mismos con una aplicación determinada o entre distintas aplicaciones.

Desbordamiento de búfer - El búfer no es otra cosa que un área determinada en la memoria, usada por una aplicación para guardar ciertos datos necesarios para su funcionamiento. Esta área tiene un tamaño previamente definido en el programa, pero si se envían más bytes de los permitidos, la información sobrepasa los límites impuestos, cayendo en muchos casos sobre partes ejecutables del código principal. Un uso malintencionado de estos datos, puede hacer que esa parte contenga instrucciones preparadas para activar ciertas acciones no pensadas por el programador de la aplicación.

URL (Uniform Resources Locator o Localizador Uniforme de Recursos) - Básicamente solemos referirnos a cualquier dirección de Internet. En realidad se trata de una estandarización de recursos que permite encontrar estas direcciones. Dicho de otra manera, se trata de un "apuntador" a la ubicación de cualquier archivo, directorio o equipo, como por ejemplo una página HTML. La dirección URL también especifica el protocolo de Internet apropiado, como HTTP o FTP.

CLSID (Class identifier, o Identificador de clase). Un identificador universal exclusivo (UUID) que identifica un componente COM. Cada componente COM tiene su CLSID en el registro de Windows de forma que otras aplicaciones puedan cargarlo.





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS