Revista GRIS 01
-
Upload
herbert-de-carvalho -
Category
Documents
-
view
217 -
download
2
description
Transcript of Revista GRIS 01
PrefácioCaros leitores,
De modo a tornar a leitura mais interessante, a outrora newsletter do GRIS toma hoje o formato de uma revista digital. Esta é apenas a primeira edição, daí a grande simplicidade da revista, mas pretendemos em breve acrescentar mais conteúdo a mesma. Optamos por acrescentar este breve prefácio para fazer alguns comentários.
Primeiramente, o que é o GRIS?
O GRIS (Grupo de Resposta a Incidentes de Segurança) é um grupo formado por estudantes do curso de Ciência da Computação da Universidade Federal do Rio de Janeiro (UFRJ), atuando no DCC (Departamento de Ciência da Computação) e outras unidades solicitantes desta universidade. Tem como objetivo a detecção, resolução e prevenção de incidentes de segurança, além de oferecer suporte acadêmico aos estudantes da UFRJ que possuem interesse particular na área de Segurança da informação.
Dentre as principais atividades do GRIS estão:
Aplicar atualizações de segurança Registar e acompanhar ocorrências de segurança Auxiliar no reparo de danos causados por incidentes de segurança Analisar sistemas comprometidos buscando causas, danos e responsáveis (análise forense) Avaliar condições de segurança da rede Divulgar práticas e recomendações de segurança Oferecer educação e treinamento para administradores de sistemas
Para maiores informações, acesse: http://www.gris.dcc.ufrj.br
Sobre a revista:
Uma vez que agora podemos dispor de melhores recursos de edição (não aplicáveis a newsletter), podemos acrescentar mais texto sem tornar a leitura muito maçante, e, conseqüentemente, podemos trazer maiores informações, como as que vocês poderão conferir adiante.
Vale lembrar que esta revista é feita pelos membros do GRIS, ou seja, alunos do curso de Ciência da Computação, que levam o grupo em paralelo com a graduação. Portanto, pedimos que nos perdoe por qualquer falha que cometamos durante a edição da revista, e se possível, reporteas para que possamos nos corrigir. Pedimos ainda para que enviem possíveis sugestões e comentários para [email protected]. Sem mais delongas, esperamos que gostem e possam aproveitar.
Sinceramente,
Equipe GRIS.
Índice(Para ir diretamente para a notícia/vulnerabilidade, clique sobre seu título ou página)
Notícias
Netscape Navigator chega ao fim Página 04
Thunderbird 2.0.0.12 lançado Página 05
AVG em nova versão Página 06
Symantec lança Norton 360 versão 2.0 Página 07
Laptops em risco Página 08
Vulnerabilidades
Múltiplas Vulnerabilidades no Opera Web Browser 9.25 Página 10
Vulnerabilidade no Mozilla Thunderbird ao processar MIME Página 11
Vulnerabilidade no ICQ ao processar String de formatação Página 12
Múltiplas Vulnerabilidades no Sun Java Página 13
Múltiplas Vulnerabilidades no MySQL Página 15
Vulnerabilidade no compartilhamento de pastas do VMware Página 16
Vulnerabilidade a Buffer Overflow no Ghostscript Página 17
Vulnerabilidade na engine Symantec Decomposer Página 18
Vulnerabilidade em controle ActiveX do RealPlayer Página 19
Boletins Microsoft
Vulnerabilidade no Microsoft Outlook Página 21
Vulnerabilidade no Microsoft Excel Página 22
Vulnerabilidade no Web Components do Microsoft Office Página 23
Vulnerabilidade no Microsoft Office Página 25
Notícias
Netscape Navigator chega ao fim
AOL anuncia fim do suporte ao navegador
No dia 1 de março, a AOL, proprietária do Netscape desde 1999, decretou oficialmente o fim do suporte e descontinuação do desenvolvimento do navegador. Um anúncio prévio já havia sido feito no fim de dezembro, e concretizouse, enfim.
O navegador que chega ao fim já teve sua época de ouro, sendo considerado por muitos o melhor no início da popularização da World Wide Web. Logo após a aquisição, a equipe do Netscape começou a trabalhar na conversão da web suite para software open source, sob um novo nome: Mozilla. O Netscape 6 surge então, como o primeiro navegador baseado no Mozilla.
Em 2003, nasce a Mozilla Foundation, sob apoio da AOL, para dar sequência ao desenvolvimento da web suite open source. A America Online, por sua vez, continuou a desenvolver novas versões do navegador Netscape baseandose no trabalho da Fundação.
Contudo, enquanto a AOL investia grande quantidade de tempo e energia para reviver o Netscape Navigator, perdia mercado exponencialmente para o Internet Explorer, da Microsoft. Então, pouco a pouco o suporte ao seu desenvolvimento foi sendo reduzido, e recentemente ficou limitado a uma versão disfarçada do Firefox com algumas poucas extensões.
Tendo em vista os baixos investimentos da AOL e o sucesso da Mozilla Foundation no desenvolvimento de aclamados produtos, a empresa decidiu por encerrar o desenvolvimento do Netscape, encorajando seus usuários a adotar o Mozilla Firefox.
Para aqueles que ainda desejarem usar alguma versão do navegador, seja por conveniência ou nostalgia, o mesmo ainda está disponível em http://browser.netscape.com/downloads/archive/. No entanto, o GRIS desaconselha a utilização do navegador, uma vez que atualizações de segurança não mais serão lançados para o mesmo. Uma alternativa melhor aos nostálgicos é baixar o Mozilla Firefox e adicionar ao mesmo o tema do Netscape Navigator e suas extensões, disponíveis em https://addons.mozilla.org/enUS/firefox/user/56836/.Fonte: Blog Netscapehttp://blog.netscape.com/2007/12/28/endofsupportfornetscapewebbrowsers/
Thunderbird 2.0.0.12 lançado
Nova versão traz fixes de segurança fundamentais
Desde o dia 26 de fevereiro, a Mozilla Foundation disponibiliza a versão 2.0.0.12 do Thunderbird. Para aqueles que usam distribuições Linux Debianbased, o nome pode não ser familiar, mas o mesmo programa aparece sob o nome de Icedove (Pois o Debian não aceita softwares de marca registrada).
Para aqueles que ainda realmente não conhecem, o aplicativo é um leitor de emails e news, produzido pela Fundação desde 2004, sendo amplamente usado por usuários de Linux, porém também disponível para outros sistemas operacionais, tais como Microsoft Windows e MacOS X.
Nesta versão, nenhuma grande novidade. Porém, a versão repara 4 vulnerabilidades conhecidas, sendo uma crítica, duas de alto risco e uma de risco moderado, que de acordo com a fundação, nunca serão reparadas numa versão 1.5. Então, se você está rodando uma versão 1.X do Thunderbird, é extremamente aconselhável fazer o update.
Para aqueles que desejarem, o programa Thunderbird, em sua versão mais atualizada, está disponível no link http://www.mozilla.com/enUS/thunderbird/all.html.
Fonte: SANS Internet Storm Center – Internet Securityhttp://isc.sans.org/diary.html?storyid=4033
AVG em nova versão
Anunciado lançamento do AVG AntiVirus and Internet Security 8.0
No dia 28 de fevereiro, a empresa Winco, distribuidora do AVG no Brasil, anunciou o lançamento da versão 8.0 do conhecido aplicativo de segurança. Aparentemente, esta versão parece ser bem mais robusta que as anteriores, apresentando uma vasta gama de novidades.
A começar, citase a interface, que foi redesenhada, tornandose mais intuitiva e portanto ainda mais simples de se utilizar por um usuário iniciante. Há ainda que se citar a tecnologia Linkscanner, que atua bloqueando sites perigosos e suspeitos, e o Web Shield, que promete maior segurança no uso de programas de mensagens instantâneas..
O pacote parece bem completo. Dentre outras ferramentas, podemos citar: Antivírus, antispyware, verificador de emails, antirootkit, firewall, proteção residente e antispam.
O software ainda não possui versão Free, que será lançada no fim de março. A versão hoje disponível tem licença para 30 dias de uso. Após este tempo, os usuários devem optar por pagar a quantia aproximada de 114 reais (para um único usuário, durante um ano), mantendo assim todas as features do pacote, ou, em se tratando de usuário doméstico, passar para a versão gratuita, que conterá apenas Antivírus, AntiSpyware e a ferramenta Linkscanner, embora esta última com funcionamento parcial.
Caso queira conferir a nova versão, o download do AVG 8.0 pode ser efetuado no link http://www.grisoft.com/ww.download?prd=triais.
Fonte: Portal PCWorldhttp://pcworld.uol.com.br/noticias/2008/02/28/avglancainternetsecutiry8.0/
Symantec lança Norton 360 versão 2.0
Uma outra alternativa no mundo das soluções de segurança
Lançado dia 03 de março, o Norton 360 v2.0
O software, que já incluia, em sua versão 1.0, antivirus, antispyware, firewall, proteção contra intrusão e a tecnologia de detecção por comportamento (chamada de SONAR) traz agora alguns novos recursos, além dos citados.
Primeiramente, o pacote agora traz uma proteção contra downloads que são realizados por mero acesso, e contra outras novas e desconhecidas ameaças que exploram vulnerabilidades do Internet Explorer.
Incrementouse, ainda, o sistema de backup local, tendo em vista o sucesso do sistema de backup online já presente no Norton 360. Agora temse nas opções de backup local iPod's, HD DVD, BluRay e unidades compartilhadas, além das unidades internas, unidades de CD/DVD, USB, rede mapeada ou discos rígidos externos.
Adicionouse também o Norton Identify Safe, que traz autopreenchimento de formulário, cofre para senhas e tecnologia antiphising, de modo a proteger o usuário contra fraudes virtuais, além de ter uma navegação mais fácil por suas configurações do qua sua versão antecessora.
O pacote traz ainda algumas outras caraterísticas adicionais, como a otimização do desempenho do PC através da remoção de arquivos de registro desnecessários, limpeza do navegador de internet agora também disponível para firefox, dentre outros.
O Norton 360 versão 2.0 está disponível nos pacotes Premier Edition, Small Business Edition 5 User Pack e Small Business Edition 10 User Pack, cada qual com uma capacidade de armazenamento online diferente e, por conseguinte, um preço diferente.
Para maiores informações, acesse http://www.symantec.com.
Fonte: iMasters – UOLhttp://imasters.uol.com.br/noticia/8193/tecnologia/symantec_lanca_versao_20_do_norton_360/
Laptops em risco
Criado método simples que pode quebrar criptografia
Cientistas da Universidade de Princeton (EUA) demonstraram que criptografar os dados do seu disco rígido pode não ser o suficiente para protegêlos. Após uma pesquisa, descobriuse que é possível recuperar a chave que criptografa os dados do disco a partir da memória.
Anteriormente, acreditavase que a chamada “memória volátil” (que necessita de eletricidade para manter a informação armazenada) ficava retida por apenas alguns segundos após o desligamento da máquina, e então desaparecia. Contudo, a equipe de cientistas comprovou que as chaves de criptografia podem ser mantidas na memória e descobertas por até alguns minutos após o desligamento.
Acreditavase ainda que bastava manter a chave de encriptação em segredo para resguardar a confidencialidade das informações, contudo, após a pesquisa, descobriuse que a mesma encontrase disponível na memória dos laptops, por alguns poucos segundos ou por até razoáveis minutos. O método de obtenção da chave consiste em, uma vez tendo o laptop em mãos, cortar sua energia e religálo, de modo a burlar a proteção do sistema operacional, ganhando acesso direto a memória com o uso de outro computador ou de um HD externo. Assim, podese facilmente obter as chaves de encriptação.
Além disso, a equipe também descobriu que efetuandose o resfriamento do laptop/memória a informação permanecia disponível por muito mais tempo, algo em torno de 10 minutos ou mais. De acordo com Edward Felten, professor da universidade, se a informação permanece na memória volátil por 15 segundos à temperatura normal, resfriandose o laptop a 50ºC faria com que a mesma permanecesse por algo em torno de 15 minutos.
De acordo com os cientistas, a melhor forma de se proteger a informação contida no laptop é desligálo totalmente por alguns minutos antes de ir a qualquer local em que a segurança física do mesmo possa ser comprometida. O professor Felten ressalta que apenas travar a tela, hibernar ou suspender a sessão não fornecem a proteção adequada, uma vez que as informações se mantém na memória esperando o computador “despertar” novamente.
Diz o professor: “Esta pesquisa põe em dúvida o valor da criptografia. Creio que com o passar do tempo, os produtos de encriptação vão adaptarse a isso e encontrarão novos meios de proteger com mais eficiência a informação”. Vale lembrar que não são apenas laptops que encontramse vulneráveis, mas por sua portabilidade, são certamente muito mais afetados.
Fonte: BBC News | Technologyhttp://news.bbc.co.uk/2/hi/technology/7275407.stm
Vulnerabilidades
Para melhor compreensão desta sessão, gostaríamos de explicar brevemente a estruturação da sessão. Cada vulnerabilidade terá um cabeçalho, como o que apresentamos a seguir:
Nível: Publicada em:
CVE ID's: Fonte:
Nível:
Neste campo, é indicado o nível de criticidade da vulnerabilidade em questão, cujos possíveis rankings são: Baixo Risco, Risco Moderado, Alto Risco e Critico.
CVE ID's:
Fazse válido explicar primeiramente o que é CVE. Common Vulnerabilities and Exposures (ou CVE) é um dicionário de informações sobre vulnerabilidades de segurança já publicadas, mantido pela MITRE Corporation (http://cve.mitre.org/). Portanto, entendase por CVE ID uma sequência única de números que designa uma vulnerabilidade.
Publicada em:
Como sugere o próprio nome, indica a data de publicação da vulnerabilidade.
Fonte:
Tão sugestivo quanto a anterior, indica a fonte da qual foram retiradas as informações sobre a vulnerabilidade.
Adicionamos, inclusive, antes da descrição da vulnerabilidade, um tópico: “Para entender melhor”. Este tópico traz definições necessárias ao entendimento básico da vulnerabilidade em questão.
Múltiplas Vulnerabilidades no Opera Web Browser 9.25
Nível: Risco Moderado CVE ID's: 20081080 | 20081081 | 20081802
Publicada em: 20/02/2008 Fonte: Secunia
Foram encontradas algumas vulnerabilidades no Opera, que podem ser exploradas por indivíduos maliciosos de modo a conduzir um ataque de Crosssite scripting, ter acesso a informações sensíveis ou para burlar determinadas restrições de segurança.
Detalhes:
A primeira falha de segurança é causada devido a um erro de design do aplicativo, durante a manipulação do campo referente ao arquivo a ser enviado, que pode potencialmente ser explorado para induzir um usuário a fazer o upload de arquivos arbitrários.
A segunda é causada por um erro ao manipular comentários feitos nas propriedades de imagens, que pode ser explorado para executar scripts ao exibirse o comentário de uma imagem maliciosa.
A terceira é causada por um erro na manipulação nos valores dos atributos ao importarse XML em um documento, que pode ser explorado para burlar filtros e conduzir a ataques de Crosssite scripting se tais valores forem utilizados como conteúdo do documento.
As falhas reportadas afetam as versões abaixo da 9.26.
Solução: Atualize seu navegador Opera para a versão 9.26, em http://www.opera.com/download/.
Para maiores informações acesse:http://secunia.com/advisories/29029/
Para entender melhor:
Opera: Navegador web, desenvolvido pela companhia Opera Software. Crosssite scripting: Também chamado de XXS, este ataque permite a injeção de código malicioso por usuários maliciosos dentro de páginas acessadas por outros usuários, sendo possível, assim, conseguir informações ou acessos restritos.
Vulnerabilidade no Mozilla Thunderbird ao processar MIME
Nível: Alto Risco CVE ID's: 20080304
Publicada em: 27/02/2008 Fonte: iDefense Labs
Reportouse uma vulnerabilidade no Mozilla Thunderbird, que pode ser explorada por indivíduos maliciosos de modo a comprometer potencialmente o sistema de um usuário. Tal vulnerabilidade é causada por um erro ao analisar o tipo MIME “externalbody” numa mensagem de email. Ao calcular o número de bytes a alocar para tal ação, não é reservado espaço suficiente para todos os dados que são copiados para o buffer, gerando mais de 3 bytes do buffer “overfloweds”, através do que se pode executar um código malicioso (caracterizando um ataque do tipo Heap Buffer Overflow).
Solução:Atualize seu Thunderbird para a versão 2.0.0.12, através do link http://www.mozilla.com/enUS/thunderbird/all.html.
Para maiores informações, acesse:http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=668
Para entender melhor:
Mozilla Thunderbird: Leitor de emails, desenvolvido pela Mozilla Foundation. MIME: Multipurpose Internet Mail Extensions. Padrão que define como anexos e outros dados são manipulados na mensagem de email, criado para solucionar problemas relativos aos conjuntos de caracteres mais ricos do que o USASCII e às mensagens multimídia, envolvendo texto formatado, imagens, sons e vídeos. Tipo MIME “externalbody”: Recurso que permite o acesso a um recurso referenciado na mensagem, como um anexo. Buffer: Região da memória temporária utilizada para leitura e escrita de dados, originados de dispositivos ou processos, externos ou internos ao sistema. Ataque de Buffer Overflow: Quando o tamanho de um buffer ultrapassa a capacidade máxima de armazenamento, este excesso de dados pode acabar sendo armazenado em áreas de memória próximas, corrompendo dados, travando o programa ou até mesmo sendo executado, o que cria a possibilidade de inserção de código malicioso, o que caracteriza um ataque de buffer overflow.
Vulnerabilidade no ICQ ao processar string de formatação
Nível: Alto Risco CVE ID's: 20081120
Publicada em: 28/02/2008 Fonte: Secunia
Descobriuse uma vulnerabilidade no ICQ, que pode ser explorada por indivíduos maliciosos de modo a causar um ataque de negação de serviço ou até mesmo tomar total controle do sistema de outros usuários. Tal vulnerabilidade é causada devido a um erro na string de formatação, ao processar e converter mensagens HTML recebidas, que pode ser explorado por atacantes com a finalidade de travar um aplicativo afetado ou executar códigos arbitrários enviando uma mensagem maliciosa a um usuário do ICQ.
Solução:Marque nas configurações “Aceitar mensagens apenas de contatos” e remova contatos em que não confia da sua lista de contatos. Se a opção “Pergunteme antes de mostrar mensagens de pessoas que não conheço” estiver marcada, descarte estas mensagens que receber.
Para maiores informações, acesse:http://www.frsirt.com/english/advisories/2008/0701
Para entender melhor:
ICQ: Programa para troca de mensagens instantâneas, desenvolvido pela Mirabilis/AOL. Ataque de negação de serviço: Também conhecido como Denial of Service (DoS), tratase de um ataque que visa tornar os recursos de um sistema indisponíveis para seus utilizadores, através da sobrecarga dos recursos deste sistema (memória, processamento, etc.), de forma a forçalo a reinicializar ou impedilo de dispor de recursos para fornecer seus serviços. O ataque não se qualifica como uma invasão, mas sim como uma invalidação por sobrecarga.
Múltiplas vulnerabilidades permitem burlar restrições de segurança e execução de código no Sun Java
Nível: Crítico CVE ID's: 20081185 | 20081186 |20081187 | 20081188 | 20081189 | 20081190 | 20081191 | 20081192 | 20081193 | 20081194 | 20081195 | 20081196
Publicada em: 05/03/2008 Fonte: FrSIRT
Múltiplas vulnerabilidades foram identificadas no Sun Java, que podem ser exploradas por atacantes remotos para burlar a restrições de segurança ou tomar controle total do sistema afetado.
Detalhes:
A primeira é causada por erros nãoespecificados na Java Runtime Environment Virtual Machine, que pode permitir aplicações e applets suspeitos a ter seus privilégios elevados e adquirir permissões de leitura e escrita em arquivos ou aplicativos locais.
A segunda é causada por um erro ao processar transformações XSLT, que pode permitir aplicações e applets suspeitos a ter seus privilégios elevados e ler determinados recursos URL nãoautorizados (como alguns arquivos e páginas web) ou executar código arbitrário.
A terceira é causada por um erro de buffer overflow e brechas de segurança no Java Web Start, ao manipular alguns aplicativos, que pode ser explorada por sites maliciosos para ler e escrever em arquivos ou aplicativos locais.
A quarta é causada por um erro no Java Plugin, que pode ser explorado por applets maliciosos para executar aplicativos locais.
A quinta é causada por erros nas libs de análise de imagens e gestão de cores ao processar dados malformados, que podem ser explorados por applets suspeitos para causar um ataque de
Para entender melhor:
Java: Tecnologia para desenvolvimento, criada pela Sun Microsystems Java applet: Aplicativos desenvolvidos na linguagem de programação Java, que se utilizam da JVM (Java Virtual Machine), embutida no navegador do cliente ou existente em sua máquina, para interpretar seu bytecode (forma “intermediária” de código para o qual o Java compila códigos escritos nessa linguagem).
negação de serviço, ler e escrever em arquivos locais ou executar aplicativos locais.
A sexta é causada por um erro ao manipular código JavaScript, que pode ser explorado por sites maliciosos para ganhar acesso nãoautorizado a arquivos arbitrários.
A sétima é causada por um erro de Buffer Overflow no Java Web Start, que pode permitir a um aplicativo nãoconfiável garantir a si permissões para ler e escrever em arquivos locais ou executar aplicativos locais.
Solução:Atualize para as versões em que as falhas já foram reparadas.
JDK e JRE 6 Update 5:http://java.sun.com/javase/downloads/index.jsp
JDK e JRE 5.0 Update 15:http://java.sun.com/javase/downloads/index_jdk5.jsp
SDK e JRE 1.4.2_17:http://java.sun.com/j2se/1.4.2/download.html
Para maiores informações, acesse:http://www.frsirt.com/english/advisories/2008/0770
Múltiplas Vulnerabilidades no MySQL permitem burlar restrições de segurançae execução de código
Nível: Alto Risco CVE ID's: 20075969 | 20075970 | 20076313 | 20080226 | 20080227
Publicada em: 14/02/2008 Fonte: FrSIRT
Foram identificadas múltiplas vulnerabilidades no MySQL, que podem ser exploradas por atacantes ou usuários maliciosos para burlar as restrições de segurança, ter acesso a informações sensíveis, causar um ataque de negação de serviço ou comprometer um sistema afetado.
Detalhes:
A primeira é causada por não se conferir de maneira eficaz as permissões ao lidar com as declarações de BINLOG, que pode ser explorado por qualquer usuário conectado para obter privilégios elevados.
A segunda é causada por um erro de Buffer Overflow no yaSSL, que pode ser explorado por atacantes remotos para travar um servidor vulnerável ou executar código arbitrário.
A terceira é causada por um erro ao utilizarse RENAME TABLE em uma tabela com as opções DATA DIRECTORY e INDEX DIRECTORY explícitas, que podem ser exploradas para sobreescrever a tabela de informações do sistema.
A quarta é causada por um erro na requisição de “Alter view” que contém o valor DEFINER original, que pode ser usado por um usuário malicioso para ganhar o direito de acesso a view.
A quinta é causada por um erro ao se utilizar uma tabela FEDERATED, que pode ser explorado de modo a causar um travamento do servidor local quando um servidor remoto retornar um resultado com menos colunas do que o esperado.
Solução:Atualize para o MySQL Enterprise version 5.0.52, através do link: http://dev.mysql.com/downloads/Para maiores informações, acesse:http://www.frsirt.com/english/advisories/2008/0560/
Para entender melhor:
MySQL: Sistema de gerenciamento de banco de dados que utiliza a linguagem SQL como interface, desenvolvido pela MySQL AB. View (em MySQL): É uma tabela virtual, na qual os dados não estão fisicamente armazenados. É apenas uma visão de um grupo de colunas de uma ou mais tabelas do banco de dados.
Vulnerabilidade no recurso de compartilhamento de pastas de produtos VMware
Nível: Alto Risco CVE ID's: Não consta
Publicada em: 26/02/2008 Fonte: FrSIRT
Uma vulnerabilidade foi identificada em diversos produtos VMware, que pode ser explorada por atacantes para burlar restrições de segurança e ganhar total acesso nãoautorizado ao sistema de arquivos do host. Tal vulnerabilidade é causada por um erro no recurso de compartilhamento de pastas ao lidar com sequências UTF8 nos nomes dos arquivos ou diretórios, que permite travessia de diretórios. Tal erro pode ser explorado por um atacante com acesso a máquina virtual para escrever e ler arquivos arbitrários no sistema operacional do host através da execução de certos comandos com argumentos contendo a sequência “+.+./”, podendo levar ao comprometimento do sistema.
Tal vulnerabilidade afeta os produtos:
* VMware Workstation 6.0.2 e 5.5.4 (e anteriores a elas)* VMware Player 2.0.2 e 1.0.4 (e anteriores a elas)* VMware ACE 2.0.2 e 1.0.2 (e anteriores a elas)
Solução:
Não utilize o recurso de compartilhamento de pastas, até que um patch seja disponibilizado pelo desenvolvedor para reparar a falha.Para maiores informações, acesse:http://www.frsirt.com/english/advisories/2008/0679
Para entender melhor:
VMware: É um software/máquina virtual que permite a emulação de um sistema operacional dentro de outro, desenvolvido pela VMware Inc. Travessia de diretórios: Também conhecido como “dot dot slash attack” (ou “ataque pontopontobarra”), escalada de diretório e backtracking, este ataque se utiliza da inserção de caracteres que representem “vá para o diretório superior” no nome dos arquivos de modo a ordenar que um aplicativo acesse um arquivo que não deveria ser acessível. UTF8: O UTF8 (8bit Unicode Transformation Format) é um tipo de codificação Unicode de comprimento variável, podendo representar, além de qualquer caracter universal padrão do Unicode, caracteres ASCII.
Vulnerabilidade a Buffer Overflow na função “zseticcspace()” do Ghostscript
Nível: Alto Risco CVE ID's: 20080411
Publicada em: 28/02/2008 Fonte: SecuriTeam
Uma vulnerabilidade foi identificada no Ghostscript, que pode ser explorada por atacantes remotos para causar um ataque de negação de serviço ou comprometer um sistema afetado. Tal vulnerabilidade é causada por um erro de buffer overflow na função “zseticcspace()” [zicc.c], através da qual um atacante pode setar um valor arbitrário de tamanho a um vetor do Ghostscript, que, contudo, aceita um máximo de apenas 8 floats. Assim sendo, atacantes podem explorar o erro para travar aplicativos afetados ou executar código arbitrário, ao levar o usuário a abrir um documento PS malicioso.
Solução:Atualize para a versão 8.62, disponível em http://ghostscript.com/releases/.
Para maiores informações, acesse:http://www.securiteam.com/unixfocus/5BP010UNPO.html
Para entender melhor:
Ghostscript: Ghostscript é uma suite de softwares que provê um interpretador para a linguagem PostScript e para o Adobe Portable Document Format (PDF), e uma biblioteca de C (a Ghostscript library), cuja função é implementar os gráficos e a capacidade de filtragem (compressão/descompressão/conversão de dados) que aparecem como operações primitivas na linguagem PostScript e em PDF's. O Ghostscript foi desenvolvido pela Artifex Software.
Vulnerabilidades na engine Symantec Decomposer permitem ataques DoS e Buffer Overflow
Nível: Alto Risco CVE ID's: 20080308 | 20080309
Publicada em: 27/02/2008 Fonte: Symantec
Duas vulnerabilidades foram reportadas em diversos produtos Symantec, que podem ser exploradas por indivíduos maliciosos para causar um ataque de negação de serviço ou comprometer um sistema vulnerável.
Descrição:
Um erro no mecanismo do Symantec Decomposer, pode ser explorado para provocar um Buffer Overflow ao lidar com arquivos .RAR. O sucesso na exploração da falha permite a execução de código arbitrário. Um erro no mecanismo do Symantec Decomposer pode ser explorado para fazer com que o processo consuma memória em excesso ao lidar com arquivos .RAR, causando um DoS.
A vulnerabilidade afeta os seguintes produtos (considerar versões anteriores também):
* Symantec AntiVirus for Network Attached Storage version 4.3.16.39 * Symantec AntiVirus Scan Engine version 4.3.16.39 * Symantec AntiVirus Scan Engine for Caching/Clearswift/Messaging/MS ISA/MS SharePoint version 4.3.16.39 * Symantec AntiVirus/Filtering for Domino MPE(AIX, Linux, Solaris) * Symantec Mail Security for Microsoft Exchange version 4.6.5.12 * Symantec Mail Security for Microsoft Exchange version 5.0.4.363 * Symantec Scan Engine version 5.1.4.24
Solução:Atualize para as últimas versões, através do link http://www.symantec.com/techsupp/ ou através do LiveUpdate.Para maiores informações, acesse:http://www.symantec.com/avcenter/security/Content/2008.02.27.html
Para entender melhor:
Symantec Decomposer: Engine presente em determinados produtos Symantec responsável por decompor alguns tipos de arquivo enquanto o escaneia em busca de conteúdo malicioso.
Vulnerabilidade por erro de corrupção de memóriaem controle ActiveX do RealPlayer
Nível: Crítico CVE ID's: Não consta
Publicada em: 11/03/2008 Fonte: FrSIRT
Uma vulnerabilidade foi identificada no RealPlayer que pode ser explorada remotamente causando um ataque de negação de serviço ou permitindo total controle sobre o sistema afetado. Tal erro é causado por um erro de corrupção de memória no controle ActiveX "rmoc3260.dll" quando este está lidando com a propriedade "Console", que pode ser explorada por atacantes remotamente para travar um browser infectado ou executar um código arbitrário levando um usuário a visitar uma página web especialmente construida.
Produtos afetados:
RealNetworks RealPlayer versões 10.x RealNetworks RealPlayer versões 11.x
Solução:
Ative o kill bit para os seguintes CLSIDs: {2F542A2EEDC94BF78CB187C9919F7F93}{CFCDAA038BE411CFB84B0020AFBBCCFA}
Para maiores informações, acesse:http://www.frsirt.com/english/advisories/2008/0842
Para entender melhor:
RealPlayer: Software dedicado a reprodução de vídeos, músicas e programas de rádio via internet. KillBit: O KillBit é um componente criado pela Microsoft para resolver o problema de execução inesperada de ActiveX em seu navegador web, o Internet Explorer. Este componente permite ao usuário se prevenir da execução de alguns ActiveX enquanto navega através do Internet Explorer. Controle ActiveX: Aplicativo ActiveX que roda diretamente de páginas Web.
Boletins Microsoft
A Microsoft libera, nas quintasfeiras de cada mês, um boletim com vulnerabilidades reportadas de seus produtos. De modo que são muitos os usuários de programas Microsoft, consideramos de exímia importância a publicação das principais vulnerabilidades divulgadas pela empresa.
O cabeçalho segue similar ao das outras vulnerabilidades, sendo a única mudança a substituição de CVE por Bulletin ID (número que referenciase a uma vulnerabilidade de um boletim de segurança da Microsoft).
Portanto, nesta sessão, você confere as 4 vulnerabilidades críticas divulgadas pela microsoft neste mês de março.
Vulnerabilidades no Microsoft Outlook podem permitirexecução remota de código
Nível: Crítico Bulletin ID: MS08015
Publicada em: 11/03/2008 Fonte: Microsoft Security Bulletin
Foi reportada uma vulnerabilidade no Microsoft Outlook, que pode permitir a um possível atacante a execução de código remoto. Com isto, o mesmo poderia instalar programas, ver, mudar ou deletar dados do usuário ou criar novas contas com permissões máximas de uso. A vulnerabilidade é causada pois o aplicativo não verifica de maneira eficiente os links passados para o client outlook. Contudo, para o ataque ser bemsucedido, o usuário deve abrir uma mensagem de email que contenha uma url de “mailto” maliciosa e clicar na mesma.
Versões afetadas:
Microsoft Office Outlook 2000 Service Pack 3; Microsoft Office Outlook 2002 Service Pack 3; Microsoft Office Outlook 2003 Service Pack 2; Microsoft Office Outlook 2003 Service Pack 3; Microsoft Office Outlook 2007;
Versões não afetadas:
2007 Microsoft Office System Service Pack 1; Outlook 2007 Service Pack 1;
Solução:Aplique a correção disponibilizada pelo fabricante:http://update.microsoft.com/microsoftupdate/
Para maiores informações, acesse:http://go.microsoft.com/fwlink/?LinkId=112113
Vulnerabilidades no Microsoft Excel podem permitir
execução remota de código
Nível: Crítico Bulletin ID: MS08014
Publicada em: 11/03/2008 Fonte: Microsoft Security Bulletin
A vulnerabilidade pode ser explorada quando um usuário abre um arquivo do Excel especialmente projetado. O hacker que produziu o arquivo pode então instalar programas, ver, modificar, ou deletar dados; ou até criar novas contas de usuário com permissões completas de usuário. Aqueles que usam contas com menos direitos de usuários configurados, podem ter um impacto menor do que aqueles que operam com privilégios de administradores. As funções afetadas incluem: validação de registros, importação de arquivos, registro de estilos, análise de fórmulas, validação de Rich Text, formatação condicional e validação de macros.
Versões afetadas:
Excel 2000 Service Pack 3
Excel 2002 Service Pack 3
Excel 2003 Service Pack 2
Excel 2007
Versões não afetadas:
Excel 2003 Service Pack 3
Excel 2007 service Pack 1
Solução:
Aplique a correção disponibilizada pelo fabricante:
http://update.microsoft.com/microsoftupdate
Para maiores informações acesse:
http://go.microsoft.com/fwlink/?LinkId=112111
Vulnerabilidades no Web Components do Microsoft Office podem permitir execução remota de código
Nível: Crítico Bulletin ID: MS08017
Publicada em: 11/03/2008 Fonte: Microsoft Security Bulletin
Foram reportadas vulnerabilidades no Web Components do Microsoft Office, que podem permitir a um possível atacante a execução de código remoto. Com isto, o mesmo poderia instalar programas, ver, mudar ou deletar dados do usuário ou criar novas contas com permissões máximas de uso.
A vulnerabilidade se origina ao administrar os recursos de memória enquanto analisase uma URL de formato específico. A exploração da vulnerabilidade pode ser feita com a construção de um web site malicioso. Quando o usuário acessa a página, pode ser executado remotamente um código no computador do mesmo. Se obtiver sucesso, o atacante obtém os mesmos privilégios que o usuário logado.
Versões afetadas:
Microsoft Office Web Components 2000:
Microsoft Office 2000 Service Pack 3 Microsoft Office XP Service Pack 3 Visual Studio .NET 2002 Service Pack 1 Visual Studio .NET 2003 Service Pack 1 Microsoft BizTalk Server 2000 Microsoft BizTalk Server 2002 Microsoft Commerce Server 2000 Internet Security and Acceleration Server 2000 Service Pack 2
Versões não afetadas:
Microsoft Office Web Components 2000:
Microsoft Works 8 Microsoft Works 9 Microsoft Works Suite 2005 Microsoft Works Suite 2006
Microsoft Office 2003 Service Pack 2 Microsoft Office 2003 Service Pack 3 2007 Microsoft Office System 2007 Microsoft Office System Service Pack 1 Microsoft BizTalk Server 2004 Microsoft BizTalk Server 2006 Microsoft Commerce Server 2000 Service Pack 1, Microsoft Commerce Server 2000 Service Pack 2, and Microsoft Commerce Server 2000 Service Pack 3 Microsoft Commerce Server 2002 Microsoft Commerce Server 2007 Internet Security and Acceleration Server 2004 Internet Security and Acceleration Server 2006
Solução:
Aplique a correção disponibilizada pelo fabricante:
http://update.microsoft.com/microsoftupdate
Para maiores informações acesse:
http://go.microsoft.com/fwlink/?LinkId=112114
Vulnerabilidades no Microsoft Office podem permitir
execução remota de código
Nível: Crítico Bulletin ID: MS08016
Publicada em: 11/03/2008 Fonte: Microsoft Security Bulletin
A vulnerabilidade, reportada por duas fontes privadas pode ser explorada quando um usuário abre um arquivo do Office especialmente projetado. O hacker que produziu o arquivo pode então instalar programas, ver, modificar, ou deletar dados; ou até criar novas contas de usuário com permissões completas de usuário. Aqueles que usam contas com menos direitos de usuários configurados, podem ter um impacto menor do que aqueles que operam com privilégios de administradores. As funções afetadas incluem: avaliação risco, avaciação de células (corrupção de memória).
Versões afetadas:
Miscrosoft Office 2000 Service Pack 3
Miscrosoft Office XP Service Pack 3
Miscrosoft Office 2003 Service Pack 2
Miscrosoft Office Excel Viewer 2003 e Excel Viewer 2003 Service Pack 3
Miscrosoft Office 2004 for Mac
Versões não afetadas:
Microsoft Office 2003 Service Pack 3
Microsoft PowerPoint Viewer 2003 e Word Viewer 2003
Microsoft Visio 2002 Service Pack 2 e a versão 2003 do mesmo
Microsoft Project 2000 Service Pack 1 e a versão 2002 Service Pack 2 do mesmo
2007 Microsoft Office System e Service Pack 1 do mesmo
Microsoft Office 2008 for Mac
Solução:
Aplique a correção disponibilizada pelo fabricante:
http://update.microsoft.com/microsoftupdate
Para maiores informações acesse:
http://go.microsoft.com/fwlink/?LinkId=112112
Nota Final
Chega o fim da primeira edição da Revista GRIS.
Conforme dito anteriormente, os planos para a revista irão além, e esperamos que muito em breve possamos trazer a nossos leitores maior quantidade (e qualidade) de informação. Contudo, para que possamos ir um pouco além, gostaríamos de receber um feedback. Sugestões, elogios e críticas, serão bemvindas, e devem ser enviadas para [email protected].
Esperamos que esta edição lhes possa ter acrescido, e esperamos mais ainda que as próximas sejam cada vez melhores. Agradecemos aos nossos leitores, e até a próxima edição.
Saudações,
Equipe GRIS.