Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Danae en 20 de Diciembre de 2004, 06:21:34 pm

Título: WinRAR: Ejecución de código con archivo ZIP corrupto
Publicado por: Danae en 20 de Diciembre de 2004, 06:21:34 pm

WinRAR: Ejecución de código con archivo ZIP corrupto
 
 WinRAR es una popular utilidad de compresión de archivos para Windows, que soporta el formato de compresión RAR y ZIP.

Una vulnerabilidad en la manera que WinRAR maneja los nombres de archivos largos, puede provocar un desbordamiento de búfer con la posibilidad de ejecución de código, cuando se procesa un archivo ZIP.

Para lograr que WinRAR ejecute un código arbitrario, un atacante debe convencer a un usuario para que éste intente borrar cierto archivo de un paquete ZIP especialmente modificado.

Sin embargo, existe un factor mitigante. WinRAR trunca los nombres de archivos a 1023 bytes, y el tamaño para un desbordamiento de búfer queda reducido a 500 bytes, el cuál sería el máximo tamaño para el código de un exploit.

Además de ello, el búfer contiene también el texto "Are you sure you want to delete", que se inserta antes del nombre del archivo. Cómo el texto varía en versiones de WinRAR para diferentes idiomas, un exploit creado para una versión en un idioma determinado, solo funcionaría en dicha versión.

Existe un exploit que demuestra esta vulnerabilidad.

Productos vulnerables:
Son vulnerables las siguientes versiones del programa:
- WinRAR versión 3.41 y anteriores

Solución:
La última versión a la fecha de este artículo (3.41) es vulnerable. Rarlab prometió solucionarlo en futuras versiones.
El exploit fue hecho público a pesar de que se había solicitado no revelar detalles del error hasta su solución.
Se sugiere no abrir archivos ZIP con la utilidad WinRAR, ni borrar archivos dentro de paquetes ZIP.

Créditos:
Dark Eagle
Vafa Khoshaein (exploit)

Referencias:
RARLAB, home of WinRAR and RAR archivers
http://www.rarlab.com/index.htm
WinRAR Corrupt ZIP File Vulnerability
http://www.securiteam.com/windowsntfocus/6B00J1PC1Y.html

Publicado en: http://www.vsantivirus.com/vul-winrar-zip-161204.htm

Título: WinRAR: Ejecución de código con archivo ZIP corrupto
Publicado por: destroyer en 20 de Diciembre de 2004, 06:39:59 pm

Gracias danae.

Un saludo