PrefácioCaros leitores,

De modo a tornar a leitura mais interessante, a outrora newsletter do GRIS toma hoje o formato de uma revista digital. Esta é apenas a primeira edição, daí a grande simplicidade da revista, mas pretendemos em breve acrescentar mais conteúdo a mesma. Optamos por acrescentar este breve prefácio para fazer alguns comentários. 

Primeiramente, o que é o GRIS?

O GRIS (Grupo de Resposta a Incidentes de Segurança) é um grupo formado por estudantes do curso de Ciência da Computação da Universidade Federal do Rio de Janeiro (UFRJ), atuando no DCC (Departamento de Ciência da Computação) e outras unidades solicitantes desta universidade. Tem como objetivo a detecção, resolução e prevenção de incidentes de segurança, além de oferecer suporte acadêmico aos estudantes da UFRJ que possuem interesse particular na área de Segurança da informação.

Dentre as principais atividades do GRIS estão:

­ Aplicar atualizações de segurança­ Registar e acompanhar ocorrências de segurança­ Auxiliar no reparo de danos causados por incidentes de segurança­ Analisar sistemas comprometidos buscando causas, danos e responsáveis (análise forense)­ Avaliar condições de segurança da rede­ Divulgar práticas e recomendações de segurança­ Oferecer educação e treinamento para administradores de sistemas

Para maiores informações, acesse: http://www.gris.dcc.ufrj.br

Sobre a revista:

Uma vez  que  agora  podemos  dispor   de  melhores   recursos  de   edição   (não  aplicáveis   a newsletter),   podemos   acrescentar   mais   texto   sem   tornar   a   leitura   muito   maçante,   e, conseqüentemente,   podemos   trazer   maiores   informações,   como  as   que  vocês   poderão   conferir adiante.

Vale lembrar que esta revista é feita pelos membros do GRIS, ou seja, alunos do curso de Ciência da Computação, que levam o grupo em paralelo com a graduação. Portanto, pedimos que nos perdoe por qualquer falha que cometamos durante a edição da revista, e se possível, reporte­as para que possamos nos corrigir. Pedimos ainda para que enviem possíveis sugestões e comentários para gris@gris.dcc.ufrj.br. Sem mais delongas, esperamos que gostem e possam aproveitar.

 Sinceramente,

Equipe GRIS.

Índice(Para ir diretamente para a notícia/vulnerabilidade, clique sobre seu título ou página)

  Notícias

  Netscape Navigator chega ao fim         Página 04

Thunderbird 2.0.0.12 lançado Página 05

AVG em nova versão          Página 06

Symantec lança Norton 360 versão 2.0       Página 07

            Laptops em risco                     Página 08

  Vulnerabilidades

  Múltiplas Vulnerabilidades no Opera Web Browser 9.25                              Página 10

   Vulnerabilidade no Mozilla Thunderbird ao processar MIME           Página 11

   Vulnerabilidade no ICQ ao processar String de formatação                     Página 12

     Múltiplas Vulnerabilidades no Sun Java                        Página 13 

Múltiplas Vulnerabilidades no MySQL             Página 15

Vulnerabilidade no compartilhamento de pastas do VMware          Página 16

Vulnerabilidade a Buffer Overflow no Ghostscript            Página 17

Vulnerabilidade na engine Symantec Decomposer       Página 18

  Vulnerabilidade em controle ActiveX do RealPlayer                           Página 19

  Boletins Microsoft

Vulnerabilidade no Microsoft Outlook                  Página 21

Vulnerabilidade no Microsoft Excel                   Página 22

Vulnerabilidade no Web Components do Microsoft Office                Página 23

Vulnerabilidade no Microsoft Office                         Página 25

Notícias

Netscape Navigator chega ao fim

AOL anuncia fim do suporte ao navegador

No dia 1 de março, a AOL, proprietária do Netscape desde 1999, decretou oficialmente o fim do suporte e descontinuação do desenvolvimento do navegador.   Um anúncio prévio já havia sido feito no fim de dezembro, e concretizou­se, enfim.

O navegador que chega ao fim já teve sua época de ouro, sendo considerado por muitos o melhor  no   início  da  popularização da  World  Wide  Web.  Logo  após  a  aquisição,  a   equipe  do Netscape começou a trabalhar na conversão da web suite para software open source, sob um novo nome: Mozilla. O Netscape 6 surge então, como o primeiro navegador baseado no Mozilla.

Em   2003,   nasce   a   Mozilla   Foundation,   sob   apoio   da   AOL,   para   dar   sequência   ao desenvolvimento   da   web   suite   open   source.   A   America   Online,   por   sua   vez,   continuou   a desenvolver novas versões do navegador Netscape baseando­se no trabalho da Fundação.

Contudo, enquanto a AOL investia grande quantidade de tempo e energia para reviver o Netscape  Navigator,  perdia  mercado  exponencialmente  para  o   Internet  Explorer,  da  Microsoft. Então, pouco a pouco o suporte ao seu desenvolvimento foi sendo reduzido, e recentemente ficou limitado a uma versão disfarçada do Firefox com algumas poucas extensões.

Tendo em vista os baixos investimentos da AOL e o sucesso da Mozilla Foundation no desenvolvimento de aclamados produtos,  a empresa decidiu por encerrar o desenvolvimento do Netscape, encorajando seus usuários a adotar o Mozilla Firefox. 

Para aqueles que ainda desejarem usar alguma versão do navegador, seja por conveniência ou nostalgia, o mesmo ainda está disponível em  http://browser.netscape.com/downloads/archive/. No entanto, o GRIS desaconselha a utilização do navegador, uma vez que atualizações de segurança não mais serão lançados para o mesmo. Uma alternativa melhor aos nostálgicos é baixar o Mozilla Firefox e adicionar ao mesmo o tema do Netscape Navigator e suas extensões,  disponíveis em https://addons.mozilla.org/en­US/firefox/user/56836/.Fonte: Blog Netscapehttp://blog.netscape.com/2007/12/28/end­of­support­for­netscape­web­browsers/

Thunderbird 2.0.0.12 lançado

Nova versão traz fixes de segurança fundamentais

Desde  o   dia   26  de   fevereiro,   a  Mozilla   Foundation  disponibiliza   a   versão   2.0.0.12  do Thunderbird.   Para   aqueles   que  usam  distribuições   Linux  Debian­based,   o   nome   pode   não   ser familiar,  mas  o  mesmo programa  aparece   sob  o  nome  de   Icedove   (Pois  o  Debian  não   aceita softwares de marca registrada).

Para aqueles que ainda realmente não conhecem, o aplicativo é um leitor de e­mails e news, produzido  pela  Fundação desde  2004,   sendo amplamente  usado por  usuários  de  Linux,  porém também disponível para outros sistemas operacionais, tais como Microsoft Windows e MacOS X.

Nesta   versão,   nenhuma   grande   novidade.   Porém,   a   versão   repara   4   vulnerabilidades conhecidas, sendo uma crítica, duas de alto risco e uma de risco moderado, que de acordo com a fundação, nunca serão reparadas numa versão 1.5. Então, se você está rodando uma versão 1.X do Thunderbird, é extremamente aconselhável fazer o update.

Para aqueles que desejarem, o programa Thunderbird, em sua versão mais atualizada, está disponível no link http://www.mozilla.com/en­US/thunderbird/all.html.

Fonte: SANS Internet Storm Center – Internet Securityhttp://isc.sans.org/diary.html?storyid=4033

AVG em nova versão

Anunciado lançamento do AVG Anti­Virus and Internet Security 8.0

No dia 28 de fevereiro,  a  empresa Winco,  distribuidora do AVG no Brasil,  anunciou o lançamento da versão 8.0 do conhecido aplicativo de segurança. Aparentemente, esta versão parece ser bem mais robusta que as  anteriores, apresentando uma vasta gama de novidades.

A começar, cita­se a interface, que foi redesenhada, tornando­se mais intuitiva e portanto ainda mais simples de se utilizar por um usuário iniciante.   Há  ainda que se citar a  tecnologia Linkscanner, que atua bloqueando sites perigosos e suspeitos, e o Web Shield, que promete maior segurança no uso de programas de mensagens instantâneas.. 

O pacote parece bem completo. Dentre outras ferramentas, podemos citar: Anti­vírus, anti­spyware, verificador de e­mails, anti­rootkit, firewall, proteção residente e anti­spam.

O software ainda não possui versão Free, que será lançada no fim de março. A versão hoje disponível tem licença para 30 dias de uso. Após este tempo, os usuários devem optar por pagar a quantia aproximada de 114 reais (para um único usuário, durante um ano), mantendo assim todas as features do pacote, ou, em se tratando de usuário doméstico, passar para a versão gratuita, que conterá   apenas  Anti­vírus,  Anti­Spyware  e   a   ferramenta  Linkscanner,   embora  esta  última  com funcionamento parcial. 

Caso queira conferir a nova versão, o download do AVG 8.0   pode ser efetuado no link http://www.grisoft.com/ww.download?prd=triais.

Fonte: Portal PCWorldhttp://pcworld.uol.com.br/noticias/2008/02/28/avg­lanca­internet­secutiry­8.0/

 Symantec lança Norton 360 versão 2.0

Uma outra alternativa no mundo das soluções de segurança

Lançado dia 03 de março, o Norton 360 v2.0

O software,  que  já   incluia,  em sua versão 1.0,  antivirus,  antispyware,   firewall,  proteção contra intrusão e a tecnologia de detecção por comportamento (chamada de SONAR) traz agora alguns novos recursos, além dos citados.

Primeiramente, o pacote agora traz uma proteção contra downloads que são realizados por mero acesso, e contra outras novas e desconhecidas ameaças que exploram vulnerabilidades do Internet Explorer. 

Incrementou­se, ainda, o sistema de backup local, tendo em vista o sucesso do sistema de backup online já  presente no Norton 360. Agora tem­se nas opções de backup local iPod's, HD DVD,  Blu­Ray e  unidades  compartilhadas,  além das  unidades   internas,  unidades  de  CD/DVD, USB, rede mapeada ou discos rígidos externos.

Adicionou­se também o Norton Identify Safe, que traz auto­preenchimento de formulário, cofre para senhas e tecnologia anti­phising, de modo a proteger o usuário contra fraudes virtuais, além de ter uma navegação mais fácil por suas configurações do qua sua versão antecessora.

O   pacote   traz   ainda   algumas   outras   caraterísticas   adicionais,   como   a   otimização   do desempenho   do   PC   através   da   remoção   de   arquivos   de   registro   desnecessários,   limpeza   do navegador de internet agora também disponível para firefox, dentre outros.

O  Norton  360  versão  2.0   está   disponível  nos  pacotes  Premier  Edition,  Small  Business Edition 5 User Pack e Small Business Edition 10 User Pack, cada qual com uma capacidade de armazenamento online diferente e, por conseguinte, um preço diferente.

Para maiores informações, acesse http://www.symantec.com.

Fonte: iMasters – UOLhttp://imasters.uol.com.br/noticia/8193/tecnologia/symantec_lanca_versao_20_do_norton_360/

Laptops em risco

Criado método simples que pode quebrar criptografia

Cientistas da Universidade de Princeton (EUA) demonstraram que criptografar os dados do seu disco rígido pode não ser o suficiente para protegê­los.  Após uma pesquisa, descobriu­se que é possível recuperar a chave que criptografa os dados do disco a partir da memória.

Anteriormente,   acreditava­se   que   a   chamada   “memória   volátil”   (que   necessita   de eletricidade para manter a informação armazenada) ficava retida por apenas alguns segundos após o desligamento da máquina, e então desaparecia. Contudo, a equipe de cientistas comprovou que as chaves de criptografia podem ser mantidas na memória e descobertas por até alguns minutos após o desligamento.

Acreditava­se ainda que bastava manter a chave de encriptação em segredo para resguardar a confidencialidade das informações, contudo, após a pesquisa, descobriu­se que a mesma encontra­se disponível na memória dos laptops, por alguns poucos segundos ou por até razoáveis minutos. O método de obtenção da chave consiste em, uma vez tendo o laptop em mãos, cortar sua energia e religá­lo, de modo a burlar a proteção do sistema operacional, ganhando acesso direto a memória com o uso de outro computador ou de um HD externo. Assim, pode­se facilmente obter as chaves de encriptação.

Além disso, a equipe também descobriu que efetuando­se o resfriamento do laptop/memória a informação permanecia disponível por muito mais tempo, algo em torno de 10 minutos ou mais. De acordo com Edward Felten, professor da universidade, se a informação permanece na memória volátil  por  15 segundos à   temperatura normal,   resfriando­se  o  laptop a   ­50ºC  faria  com que a mesma permanecesse por algo em torno de 15 minutos.

De acordo com os cientistas, a melhor forma de se proteger a informação contida no laptop é desligá­lo totalmente por alguns minutos antes de ir a qualquer local em que a segurança física do mesmo possa ser comprometida. O professor Felten ressalta que apenas travar a tela, hibernar ou suspender a sessão não fornecem a proteção adequada, uma vez que as informações se mantém na memória esperando o computador “despertar” novamente.

Diz o professor: “Esta pesquisa põe em dúvida o valor da criptografia. Creio que com o passar do tempo, os produtos de encriptação vão adaptar­se a isso e encontrarão novos meios de proteger   com   mais   eficiência   a   informação”.   Vale   lembrar   que   não   são   apenas   laptops   que encontram­se vulneráveis, mas por sua portabilidade, são certamente muito mais afetados.

Fonte: BBC News | Technologyhttp://news.bbc.co.uk/2/hi/technology/7275407.stm

Vulnerabilidades

Para melhor compreensão desta sessão, gostaríamos de explicar brevemente a estruturação da sessão. Cada vulnerabilidade terá um cabeçalho, como o que apresentamos a seguir:

Nível:  Publicada em:

CVE ID's: Fonte: 

Nível:  

Neste   campo,   é   indicado   o   nível   de   criticidade   da   vulnerabilidade   em  questão,   cujos  possíveis rankings são: Baixo Risco, Risco Moderado, Alto Risco e Critico.

CVE ID's:

Faz­se válido explicar primeiramente o que é CVE. Common Vulnerabilities and Exposures (ou   CVE)   é   um   dicionário   de   informações   sobre   vulnerabilidades   de   segurança   já  publicadas, mantido pela MITRE Corporation (http://cve.mitre.org/). Portanto, entenda­se  por CVE ID uma sequência única de números que designa uma vulnerabilidade. 

Publicada em:

Como sugere o próprio nome, indica a data de publicação da vulnerabilidade.

Fonte:

Tão sugestivo quanto a anterior, indica a fonte da qual foram retiradas as informações sobre a vulnerabilidade.

Adicionamos, inclusive, antes da descrição da vulnerabilidade, um tópico: “Para entender melhor”.  Este   tópico  traz definições  necessárias ao entendimento básico da  vulnerabilidade em questão.

Múltiplas Vulnerabilidades no Opera Web Browser 9.25

Nível:               Risco Moderado CVE ID's: 2008­1080 | 2008­1081 | 2008­1802

Publicada em:      20/02/2008 Fonte:                       Secunia

Foram   encontradas   algumas   vulnerabilidades   no   Opera,   que   podem   ser   exploradas   por indivíduos   maliciosos   de   modo   a   conduzir   um   ataque   de   Cross­site   scripting,   ter   acesso   a informações sensíveis ou para burlar determinadas restrições de segurança.

Detalhes:

A primeira falha de segurança é causada devido a um erro de design do aplicativo, durante a manipulação do campo referente ao arquivo a ser enviado, que pode potencialmente ser explorado para induzir um usuário a fazer o upload de arquivos arbitrários.

A segunda é  causada por um erro ao manipular comentários  feitos nas propriedades de imagens, que pode ser explorado para executar scripts ao exibir­se o comentário de uma imagem maliciosa.

A terceira é causada por um erro na manipulação nos valores dos atributos ao importar­se XML em um documento, que pode ser explorado para burlar filtros e conduzir a ataques de Cross­site scripting se tais valores forem utilizados como conteúdo do documento.

As falhas reportadas afetam as versões abaixo da 9.26.

Solução: Atualize seu navegador Opera para a versão 9.26, em http://www.opera.com/download/. 

Para maiores informações acesse:http://secunia.com/advisories/29029/

Para entender melhor:

­ Opera: Navegador web, desenvolvido pela companhia Opera Software.­ Cross­site scripting: Também chamado de XXS, este ataque permite a injeção de código malicioso por usuários maliciosos dentro de páginas acessadas por outros usuários, sendo  possível, assim, conseguir informações ou acessos restritos.

Vulnerabilidade no Mozilla Thunderbird ao processar MIME

Nível:                     Alto Risco CVE ID's:               2008­0304

Publicada em:        27/02/2008 Fonte:                  iDefense Labs

Reportou­se   uma   vulnerabilidade   no   Mozilla   Thunderbird,   que   pode   ser   explorada   por indivíduos   maliciosos   de   modo   a   comprometer   potencialmente   o   sistema   de   um   usuário.   Tal vulnerabilidade é causada por um erro ao analisar o tipo MIME “external­body” numa mensagem de e­mail.  Ao calcular o número de bytes a alocar para tal ação, não é reservado espaço suficiente para   todos   os   dados   que   são   copiados   para   o   buffer,   gerando   mais   de   3   bytes   do   buffer “overfloweds”, através do que se pode executar um código malicioso (caracterizando um ataque do tipo Heap Buffer Overflow).

Solução:Atualize seu Thunderbird para a versão 2.0.0.12, através do link http://www.mozilla.com/en­US/thunderbird/all.html.

Para maiores informações, acesse:http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=668

Para entender melhor:

­ Mozilla Thunderbird: Leitor de e­mails, desenvolvido pela Mozilla Foundation.­ MIME: Multipurpose Internet Mail Extensions. Padrão que define como anexos e outros dados são   manipulados   na   mensagem   de   e­mail,   criado   para   solucionar   problemas   relativos   aos conjuntos de caracteres mais ricos do que o US­ASCII e às mensagens multimídia, envolvendo texto formatado, imagens, sons e vídeos.­  Tipo  MIME “external­body”:  Recurso  que  permite  o   acesso  a  um  recurso   referenciado  na mensagem, como um anexo.­ Buffer: Região da memória temporária utilizada para leitura e escrita de dados, originados de dispositivos ou processos, externos ou internos ao sistema.­ Ataque de Buffer Overflow: Quando o tamanho de um buffer ultrapassa a capacidade máxima de armazenamento, este excesso de dados pode acabar sendo armazenado em áreas  de memória próximas, corrompendo dados, travando o programa ou até mesmo sendo executado, o que cria a possibilidade de inserção de código malicioso, o que caracteriza um ataque de buffer overflow.

Vulnerabilidade no ICQ ao processar string de formatação

Nível:                   Alto Risco CVE ID's:               2008­1120

Publicada em:      28/02/2008 Fonte:                       Secunia

Descobriu­se uma vulnerabilidade no ICQ, que pode ser explorada por indivíduos maliciosos de modo a causar um ataque de negação de serviço ou até mesmo tomar total controle do sistema de outros usuários. Tal vulnerabilidade é causada devido a um erro na string de formatação, ao processar e converter mensagens HTML recebidas, que pode ser explorado por atacantes com a finalidade de travar um aplicativo afetado ou executar códigos arbitrários enviando uma mensagem maliciosa a um usuário do ICQ.

Solução:Marque nas configurações “Aceitar mensagens apenas de contatos” e remova contatos em que não confia da sua lista de contatos. Se a opção “Pergunte­me antes de mostrar mensagens de pessoas que não conheço” estiver marcada, descarte estas mensagens que receber.

Para maiores informações, acesse:http://www.frsirt.com/english/advisories/2008/0701

Para entender melhor:

­ ICQ: Programa para troca de mensagens instantâneas, desenvolvido pela Mirabilis/AOL.­ Ataque de negação de serviço: Também conhecido como Denial of Service (DoS), trata­se de um ataque que visa tornar os recursos de um sistema indisponíveis para seus utilizadores, através da sobrecarga dos recursos deste sistema (memória, processamento, etc.), de forma a força­lo a reinicializar ou impedi­lo de dispor de recursos para fornecer seus serviços. O ataque não se qualifica como uma invasão, mas sim como uma invalidação por sobrecarga.

Múltiplas vulnerabilidades permitem burlar restrições de segurança e execução de código no Sun Java

Nível:                      Crítico CVE ID's: 2008­1185 | 2008­1186 |2008­1187 | 2008­1188 | 2008­1189 | 2008­1190 | 2008­1191 | 2008­1192 | 2008­1193 | 2008­1194 | 2008­1195 | 2008­1196

Publicada em:      05/03/2008 Fonte:                       FrSIRT

 

Múltiplas vulnerabilidades foram identificadas no Sun Java, que podem ser exploradas por atacantes remotos para burlar a restrições de segurança ou tomar controle total do sistema afetado.

Detalhes:

A primeira é causada por erros não­especificados na Java Runtime Environment Virtual Machine, que pode permitir aplicações e applets suspeitos a ter seus privilégios elevados e adquirir permissões  de leitura e escrita em arquivos ou aplicativos locais.

A segunda é causada por um erro ao processar transformações XSLT, que pode permitir aplicações e applets suspeitos a ter seus privilégios elevados e ler determinados recursos URL não­autorizados (como alguns arquivos e páginas web) ou executar código arbitrário.

A terceira é causada por um erro de buffer overflow e brechas de segurança no Java Web Start, ao manipular alguns aplicativos, que pode ser explorada por sites maliciosos para ler e escrever em arquivos ou aplicativos locais. 

A quarta é causada por um erro no Java Plug­in, que pode ser explorado por applets maliciosos para executar aplicativos locais.

A quinta é causada por erros nas libs de análise de imagens e gestão de cores ao processar dados mal­formados, que podem ser explorados por applets suspeitos para causar um ataque de 

Para entender melhor:

 ­ Java: Tecnologia para desenvolvimento, criada pela Sun Microsystems­ Java applet: Aplicativos desenvolvidos na linguagem de programação Java, que se utilizam da JVM (Java Virtual Machine), embutida no navegador do cliente ou existente em sua máquina, para interpretar seu bytecode (forma “intermediária” de código para o qual o Java compila códigos escritos nessa linguagem).

negação de serviço, ler e escrever em arquivos locais ou executar aplicativos locais.

A sexta é causada por um erro ao manipular código JavaScript, que pode ser explorado por sites maliciosos para ganhar acesso não­autorizado a arquivos arbitrários.

A sétima é causada por um erro de Buffer Overflow no Java Web Start, que pode permitir a um aplicativo não­confiável garantir a si permissões para ler e escrever em arquivos locais ou executar aplicativos locais.

Solução:Atualize para as versões em que as falhas já foram reparadas.

JDK e JRE 6 Update 5:http://java.sun.com/javase/downloads/index.jsp

JDK e JRE 5.0 Update 15:http://java.sun.com/javase/downloads/index_jdk5.jsp

SDK e JRE 1.4.2_17:http://java.sun.com/j2se/1.4.2/download.html

Para maiores informações, acesse:http://www.frsirt.com/english/advisories/2008/0770

Múltiplas Vulnerabilidades no MySQL permitem burlar restrições de segurançae execução de código

Nível:                   Alto Risco CVE ID's: 2007­5969 | 2007­5970 | 2007­6313 | 2008­0226 | 2008­0227

Publicada em:      14/02/2008 Fonte:                       FrSIRT

Foram identificadas múltiplas vulnerabilidades no MySQL, que podem ser exploradas por atacantes ou usuários maliciosos para burlar as restrições de segurança, ter acesso a informações sensíveis, causar um ataque de negação de serviço ou comprometer um sistema afetado.

Detalhes:

A primeira é causada por não se conferir de maneira eficaz as permissões ao lidar com as declarações   de   BINLOG,   que   pode   ser   explorado   por   qualquer   usuário   conectado   para   obter privilégios elevados.

A segunda é causada por um erro de Buffer Overflow no yaSSL, que pode ser explorado por atacantes remotos para travar um servidor vulnerável ou executar código arbitrário.

A terceira é causada por um erro ao utilizar­se RENAME TABLE em uma tabela com as opções DATA DIRECTORY e INDEX DIRECTORY explícitas, que podem ser exploradas para sobreescrever a tabela de informações do sistema.

A quarta é causada por um erro na requisição de “Alter view” que contém o valor DEFINER original, que pode ser usado por um usuário malicioso para ganhar o direito de acesso a view.

A quinta é  causada por  um erro ao se utilizar  uma  tabela FEDERATED, que pode ser explorado de modo a causar um travamento do servidor local quando um servidor remoto retornar um resultado com menos colunas do que o esperado.

Solução:Atualize para o MySQL Enterprise version 5.0.52, através do link: http://dev.mysql.com/downloads/Para maiores informações, acesse:http://www.frsirt.com/english/advisories/2008/0560/

Para entender melhor:

­  MySQL:  Sistema de  gerenciamento de banco de dados que utiliza a   linguagem SQL como interface, desenvolvido pela MySQL AB.­ View (em MySQL): É uma tabela virtual, na qual os dados não estão fisicamente armazenados. É apenas uma visão de um grupo de colunas de uma ou mais tabelas do banco de dados.

Vulnerabilidade no recurso de compartilhamento de pastas de produtos VMware 

Nível:                   Alto Risco CVE ID's:             Não consta

Publicada em:      26/02/2008 Fonte:                       FrSIRT

Uma vulnerabilidade foi identificada em diversos produtos VMware, que pode ser explorada por atacantes para burlar restrições de segurança e ganhar total acesso não­autorizado ao sistema de arquivos do host. Tal vulnerabilidade é causada por um erro no recurso de compartilhamento de pastas ao lidar com sequências UTF­8 nos nomes dos arquivos ou diretórios, que permite travessia de diretórios. Tal erro pode ser explorado por um atacante com acesso a máquina virtual para escrever e ler arquivos arbitrários no sistema operacional do host através da execução de certos comandos com argumentos contendo a sequência “+.+./”, podendo levar ao comprometimento do sistema.

Tal vulnerabilidade afeta os produtos:

* VMware Workstation 6.0.2 e 5.5.4 (e anteriores a elas)* VMware Player 2.0.2 e 1.0.4  (e anteriores a elas)* VMware ACE 2.0.2 e 1.0.2 (e anteriores a elas)

Solução:

Não utilize o recurso de compartilhamento de pastas, até que um patch seja disponibilizado pelo desenvolvedor para reparar a falha.Para maiores informações, acesse:http://www.frsirt.com/english/advisories/2008/0679

Para entender melhor:

­ VMware: É um software/máquina virtual que permite a emulação de um sistema operacional dentro de outro, desenvolvido pela VMware Inc.­ Travessia de diretórios: Também conhecido como “dot dot slash attack” (ou “ataque ponto­ponto­barra”), escalada de diretório e backtracking, este ataque se utiliza da inserção de caracteres que representem “vá  para o  diretório  superior” no nome dos  arquivos de modo a ordenar que um aplicativo acesse um arquivo que não deveria ser acessível.­ UTF­8: O UTF­8 (8­bit Unicode Transformation Format) é um tipo de codificação Unicode de comprimento variável, podendo representar, além de qualquer caracter universal padrão do Unicode, caracteres ASCII.

Vulnerabilidade a Buffer Overflow na função “zseticcspace()” do Ghostscript

Nível:                   Alto Risco CVE ID's:                 2008­0411

Publicada em:      28/02/2008 Fonte:                       SecuriTeam

Uma vulnerabilidade foi identificada no Ghostscript, que pode ser explorada por atacantes remotos para causar um ataque de negação de serviço ou comprometer um sistema afetado. Tal vulnerabilidade  é   causada  por  um erro  de  buffer  overflow na   função “zseticcspace()”   [zicc.c], através da qual um atacante pode setar um valor arbitrário de tamanho a um vetor do Ghostscript, que, contudo, aceita um máximo de apenas 8 floats. Assim sendo, atacantes podem explorar o erro para   travar   aplicativos   afetados   ou   executar   código   arbitrário,   ao   levar   o   usuário   a   abrir   um documento PS malicioso. 

Solução:Atualize para a versão 8.62, disponível em http://ghostscript.com/releases/.

Para maiores informações, acesse:http://www.securiteam.com/unixfocus/5BP010UNPO.html

Para entender melhor:

­ Ghostscript: Ghostscript é uma suite de softwares que provê um interpretador para a linguagem PostScript   e   para   o   Adobe   Portable   Document   Format   (PDF),   e   uma   biblioteca   de   C   (a Ghostscript   library),   cuja   função   é   implementar   os   gráficos   e   a   capacidade   de   filtragem (compressão/descompressão/conversão de dados) que aparecem como operações primitivas na linguagem PostScript e em PDF's. O Ghostscript foi desenvolvido pela Artifex Software.

Vulnerabilidades na engine Symantec Decomposer permitem ataques DoS e Buffer Overflow

Nível:                   Alto Risco CVE ID's:     2008­0308 | 2008­0309

Publicada em:      27/02/2008 Fonte:                       Symantec

Duas vulnerabilidades foram reportadas em diversos produtos Symantec, que podem ser exploradas por indivíduos maliciosos para causar um ataque de negação de serviço ou comprometer um sistema vulnerável.

Descrição:

Um erro no mecanismo do Symantec Decomposer, pode ser explorado para provocar um Buffer Overflow ao lidar com arquivos .RAR. O sucesso na exploração da falha permite a execução de código arbitrário. Um erro no mecanismo do Symantec Decomposer pode ser explorado para fazer com que o processo consuma memória em excesso ao lidar com arquivos .RAR, causando um DoS.

A vulnerabilidade afeta os seguintes produtos (considerar versões anteriores também):

 * Symantec AntiVirus for Network Attached Storage version 4.3.16.39  * Symantec AntiVirus Scan Engine version 4.3.16.39  * Symantec AntiVirus Scan Engine for Caching/Clearswift/Messaging/MS ISA/MS SharePoint version 4.3.16.39  * Symantec AntiVirus/Filtering for Domino MPE(AIX, Linux, Solaris) * Symantec Mail Security for Microsoft Exchange version 4.6.5.12 * Symantec Mail Security for Microsoft Exchange version 5.0.4.363 * Symantec Scan Engine version 5.1.4.24

Solução:Atualize para as últimas versões, através do link http://www.symantec.com/techsupp/ ou através do LiveUpdate.Para maiores informações, acesse:http://www.symantec.com/avcenter/security/Content/2008.02.27.html

Para entender melhor:

­ Symantec Decomposer: Engine presente em determinados produtos Symantec responsável por decompor alguns tipos de arquivo enquanto o escaneia em busca de conteúdo malicioso.

Vulnerabilidade por erro de corrupção de memóriaem controle ActiveX do RealPlayer

Nível:                        Crítico CVE ID's:               Não consta

Publicada em:        11/03/2008 Fonte:                       FrSIRT

Uma vulnerabilidade foi identificada no RealPlayer que pode ser explorada remotamente causando um ataque de negação de serviço ou permitindo total controle sobre o sistema afetado. Tal erro é causado por um erro de corrupção de memória no controle ActiveX "rmoc3260.dll" quando este está lidando com a propriedade "Console", que pode ser explorada por atacantes remotamente para travar um browser infectado ou executar um código arbitrário levando um usuário a visitar uma página web especialmente construida.

Produtos afetados: 

­ RealNetworks RealPlayer versões 10.x ­ RealNetworks RealPlayer versões 11.x

Solução:

Ative o kill bit para os seguintes CLSIDs: {2F542A2E­EDC9­4BF7­8CB1­87C9919F7F93}{CFCDAA03­8BE4­11CF­B84B­0020AFBBCCFA}

Para maiores informações, acesse:http://www.frsirt.com/english/advisories/2008/0842

Para entender melhor:

­ RealPlayer: Software dedicado a reprodução de vídeos, músicas e programas de rádio via internet.­ KillBit: O KillBit é um componente criado pela Microsoft para resolver o problema de execução inesperada de ActiveX em seu navegador web, o Internet Explorer. Este componente permite ao usuário se prevenir da execução de alguns ActiveX enquanto navega através do Internet Explorer. ­ Controle ActiveX: Aplicativo ActiveX que roda diretamente de páginas Web.

Boletins Microsoft

A   Microsoft   libera,   nas   quintas­feiras   de   cada   mês,   um   boletim   com   vulnerabilidades reportadas   de   seus   produtos.   De   modo   que   são   muitos   os   usuários   de   programas   Microsoft, consideramos de exímia importância a publicação das principais vulnerabilidades divulgadas pela empresa. 

O   cabeçalho   segue   similar   ao   das   outras   vulnerabilidades,   sendo   a   única   mudança   a substituição  de  CVE por  Bulletin   ID  (número que   referencia­se  a  uma vulnerabilidade  de  um boletim de segurança da Microsoft). 

Portanto, nesta sessão, você confere as 4 vulnerabilidades críticas divulgadas pela microsoft neste mês de março.

Vulnerabilidades no Microsoft Outlook podem permitirexecução remota de código

Nível:                     Crítico Bulletin ID:           MS08­015 

Publicada em:     11/03/2008 Fonte:        Microsoft Security Bulletin

Foi reportada uma vulnerabilidade no Microsoft Outlook, que pode permitir a um possível atacante a execução de código remoto. Com isto, o mesmo poderia instalar programas, ver, mudar ou   deletar   dados   do   usuário   ou   criar   novas   contas   com   permissões   máximas   de   uso.   A vulnerabilidade é causada pois o aplicativo não verifica de maneira eficiente os links passados para o client outlook. Contudo, para o ataque ser bem­sucedido, o usuário deve abrir uma mensagem de e­mail que contenha uma url de “mailto” maliciosa e clicar na mesma.

Versões afetadas:

­ Microsoft Office Outlook 2000 Service Pack 3;­ Microsoft Office Outlook 2002 Service Pack 3;­ Microsoft Office Outlook 2003 Service Pack 2;­ Microsoft Office Outlook 2003 Service Pack 3;­ Microsoft Office Outlook 2007;

Versões não afetadas:

­ 2007 Microsoft Office System Service Pack 1;­ Outlook 2007 Service Pack 1;

Solução:Aplique a correção disponibilizada pelo fabricante:http://update.microsoft.com/microsoftupdate/

Para maiores informações, acesse:http://go.microsoft.com/fwlink/?LinkId=112113

Vulnerabilidades no Microsoft Excel podem permitir

execução remota de código

Nível:                  Crítico Bulletin ID: MS08­014

Publicada em: 11/03/2008 Fonte: Microsoft Security Bulletin

A vulnerabilidade pode ser explorada quando um usuário abre um arquivo do Excel especialmente projetado. O hacker que produziu o arquivo pode então instalar programas,  ver, modificar, ou deletar dados; ou até criar novas contas de usuário com permissões completas de usuário. Aqueles que usam contas com menos direitos de usuários configurados, podem ter um impacto menor do que aqueles que operam com privilégios de administradores. As funções afetadas incluem: validação de registros, importação de arquivos, registro de estilos, análise de fórmulas, validação de Rich Text, formatação condicional e validação de macros.

Versões afetadas:

­ Excel 2000 Service Pack 3

­ Excel 2002 Service Pack 3

­ Excel 2003 Service Pack 2

­ Excel 2007

Versões não afetadas:

­ Excel 2003 Service Pack 3

­ Excel 2007 service Pack 1

Solução:

Aplique a correção disponibilizada pelo fabricante:

http://update.microsoft.com/microsoftupdate

Para maiores informações acesse:

http://go.microsoft.com/fwlink/?LinkId=112111

Vulnerabilidades no Web Components do Microsoft Office podem permitir execução remota de código

Nível:                     Crítico Bulletin ID:           MS08­017

Publicada em:     11/03/2008 Fonte:        Microsoft Security Bulletin

Foram reportadas vulnerabilidades no Web Components do Microsoft Office, que podem permitir a um possível atacante a execução de código remoto. Com isto, o mesmo poderia instalar programas, ver, mudar ou deletar dados do usuário ou criar novas contas com permissões máximas de uso. 

A vulnerabilidade se origina ao administrar os recursos de memória enquanto analisa­se uma URL de formato específico. A exploração da vulnerabilidade pode ser feita com a construção de um web site malicioso. Quando o usuário acessa a página, pode ser executado remotamente um código no  computador  do  mesmo.  Se  obtiver   sucesso,  o  atacante  obtém os mesmos privilégios  que  o usuário logado.

Versões afetadas:

Microsoft Office Web Components 2000:

­ Microsoft Office 2000 Service Pack 3­ Microsoft Office XP Service Pack 3­ Visual Studio .NET 2002 Service Pack 1­ Visual Studio .NET 2003 Service Pack 1­ Microsoft BizTalk Server 2000­ Microsoft BizTalk Server 2002­ Microsoft Commerce Server 2000­ Internet Security and Acceleration Server 2000 Service Pack 2

Versões não afetadas:

Microsoft Office Web Components 2000:

­ Microsoft Works 8­ Microsoft Works 9­ Microsoft Works Suite 2005­ Microsoft Works Suite 2006

­ Microsoft Office 2003 Service Pack 2­ Microsoft Office 2003 Service Pack 3­ 2007 Microsoft Office System­ 2007 Microsoft Office System Service Pack 1­ Microsoft BizTalk Server 2004­ Microsoft BizTalk Server 2006­ Microsoft Commerce Server 2000 Service Pack 1, Microsoft Commerce Server    2000 Service Pack 2, and Microsoft Commerce Server 2000 Service Pack 3­ Microsoft Commerce Server 2002­ Microsoft Commerce Server 2007­ Internet Security and Acceleration Server 2004­ Internet Security and Acceleration Server 2006

Solução:

Aplique a correção disponibilizada pelo fabricante:

http://update.microsoft.com/microsoftupdate

Para maiores informações acesse:

http://go.microsoft.com/fwlink/?LinkId=112114

Vulnerabilidades no Microsoft Office podem permitir

execução remota de código

Nível:                  Crítico Bulletin ID: MS08­016

Publicada em: 11/03/2008 Fonte: Microsoft Security Bulletin

A vulnerabilidade, reportada por duas fontes privadas pode ser explorada quando um usuário abre um arquivo do Office especialmente projetado. O hacker que produziu o arquivo pode então instalar programas,  ver, modificar, ou deletar dados; ou até criar novas contas de usuário com permissões completas de usuário. Aqueles que usam contas com menos direitos de usuários configurados, podem ter um impacto menor do que aqueles que operam com privilégios de administradores. As funções afetadas incluem: avaliação risco, avaciação de células (corrupção de memória).

Versões afetadas:

­ Miscrosoft Office 2000 Service Pack 3

­ Miscrosoft Office XP Service Pack 3

­ Miscrosoft Office 2003 Service Pack 2

­ Miscrosoft Office Excel Viewer 2003 e Excel Viewer 2003 Service Pack 3

­ Miscrosoft Office 2004 for Mac

Versões não afetadas:

­ Microsoft Office 2003 Service Pack 3

­ Microsoft PowerPoint Viewer 2003 e Word Viewer 2003

­ Microsoft Visio 2002 Service Pack 2 e a versão 2003 do mesmo

­ Microsoft Project 2000 Service Pack 1 e  a versão 2002 Service Pack 2 do mesmo

­ 2007 Microsoft Office System e Service Pack 1 do mesmo

­ Microsoft Office 2008 for Mac

Solução:

Aplique a correção disponibilizada pelo fabricante:

http://update.microsoft.com/microsoftupdate

Para maiores informações acesse:

http://go.microsoft.com/fwlink/?LinkId=112112

Nota Final

Chega o fim da primeira edição da Revista GRIS. 

Conforme dito anteriormente, os planos para a revista irão além, e esperamos que muito em breve possamos trazer a nossos leitores maior quantidade (e qualidade) de informação. Contudo, para que possamos ir um pouco além, gostaríamos de receber um feedback. Sugestões, elogios e críticas, serão bem­vindas, e devem ser enviadas para gris@gris.dcc.ufrj.br.

Esperamos que esta edição lhes possa ter acrescido, e esperamos mais ainda que as próximas sejam cada vez melhores. Agradecemos aos nossos leitores, e até a próxima edição.

Saudações,

Equipe GRIS.