Herramienta para explotar vulnerabilidad JPEG[Publicado con autorización de Enciclopedia Virus]
Una herramienta diseñada para explotar la vulnerabilidad en el procesamiento de archivos JPEG, ha sido liberada en Internet, y está a disposición de cualquiera que desee descargarla y usarla.
La herramienta permite que cualquiera pueda modificar una imagen en ese formato, de modo que al ser visualizada la misma en un sistema vulnerable, se descargue y ejecute un archivo desde una página web a elección del autor.
El programa, es el primero conocido que se aprovecha directamente de la vulnerabilidad en el procesamiento de imágenes JPEG recientemente reparado por Microsoft. El parche fue publicado el pasado 14 de setiembre, pero aún hoy existen cientos de miles de usuarios que no han actualizado su software.
Un desbordamiento de búfer al manejarse ese tipo de formato, que afecta a casi cincuenta programas, puede permitir la ejecución remota de código simplemente por visualizar una imagen.
La herramienta pone al alcance de cualquiera, aún sin demasiados conocimientos, el poder crear imágenes que al ser vistas en el Internet Explorer, o a través del Outlook Express o inclusive usando alguno de los componentes de Office, puedan comprometer seriamente al equipo.
Cómo la herramienta permite seleccionar cualquier ejecutable para ser descargado y luego ejecutado automáticamente al verse la imagen comprometida, las posibilidades de inyectar cualquier clase de software malicioso en la computadora de la víctima, son infinitas.
El fallo se produce en la librería GDI+, usada por numerosas aplicaciones. Aunque Windows XP con el Service Pack 2 no es afectado en forma directa, si se ejecuta cualquiera de las otras aplicaciones vulnerables, el sistema será igualmente comprometido. No basta con descargar los parches para un programa, si no se hace lo mismo con los demás programas afectados.
El problema es mucho mayor de lo que algunos piensan, incentivado por el hecho de que hasta ahora las imágenes JPEG eran consideradas inofensivas, y a que un gran porcentaje del contenido visual encontrado en Internet, utiliza ese formato.
Usando la herramienta ahora distribuida en la red, un escritor de virus podría crear un peligroso gusano y modificar una inocente imagen para que el usuario se infecte de inmediato al visualizarla. Una infección de este tipo podría causar estragos, y en pocos segundos.
Los administradores de sistemas, deberían desde ahora incluir los archivos con extensión .JPG y .JPEG como potencialmente peligrosos.
Fabricantes de antivirus como NOD32, ya incluyen una detección genérica para esta clase de exploits, por lo que se reitera la recomendación de mantener actualizados los antivirus, además de descargar de inmediato los parches necesarios para su sistema.
Más información:
Actualización de seguridad de septiembre de 2004
para procesamiento de JPEG (GDI+)
http://www.eu.microsoft.com/spain/seguridad/boletines/MS04-028-USER.mspxBoletín de seguridad de Microsoft MS04-028
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS04-028-IT.mspxInfectarse por ver una imagen ya no es un mito
http://www.vsantivirus.com/ev-15-09-04.htm¡Peligro inminente de virus en imágenes JPEG!
http://www.vsantivirus.com/18-09-04-jpeg.htmMS04-028 Ejecución de código en proceso JPEG (833987)
http://www.vsantivirus.com/vulms04-028.htmVirus en imágenes JPEG: Cuenta regresiva
http://www.vsantivirus.com/23-09-04.htmPublicado en:
http://www.vsantivirus.com/
