| Artículos | 01 DIC 2005

Telefonía insegura

Tags: Histórico
Gonzalo Alvarez.
Este mes presentamos varias vulnerabilidades en aplicaciones diversas, pero tan populares como Skype, WinRAR, Internet Explorer o el propio sistema operativo de Microsoft.

Vulnerabilidades críticas en Skype
Skype es una aplicación de telefonía a través de Internet que permite realizar llamadas gratuitas entre ordenadores y llamadas de pago a teléfonos convencionales. En los últimos meses ha incrementado espectacularmente su número de usuarios, convirtiéndose en una de las aplicaciones de telefonía más populares de Internet.
Skype es capaz de aceptar URL de tipo callto:// y skype://. Cuando se le envía una URL construida maliciosamente usando esas URL, se podría llegar a ejecutar código arbitrario como consecuencia de varias vulnerabilidades de desbordamiento de búfer.
Por otro lado, explotando una vulnerabilidad diferente en una rutina de gestión de red, un atacante podría conseguir hacer colgar remotamente a un cliente de Skype por medio del envío de una ráfaga de tráfico maliciosamente construida, abriendo así la puerta a posibles ataques de denegación de servicio (DoS).

Solución
Skype ha publicado la versión 1.4 del programa que corrige las vulnerabilidades anteriores. Puede descargarse desde www.skype.com/download.


Fallo de seguridad en WinRAR
WinRAR es un potente gestor de archivos, usado mayoritariamente para comprimir y descomprimir archivos en formatos RAR y ZIP. Soporta además otros muchos tipos de formato de compresión. Su gran versatilidad y elevada capacidad de compresión lo están convirtiendo en una elección habitual en archivos multimedia, por lo que el número de sus usuarios no para de crecer.
Recientemente se han detectado varias vulnerabilidades en WinRAR relacionadas con desbordamientos de búfer que podrían permitir a un atacante ejecutar código malintencionado en el equipo de la víctima.

Solución
RARLAB ha publicado la versión 3.51 donde se corrigen las vulnerabilidades descubiertas. Se puede descargar desde www.win-rar.com/download.html.


Múltiples agujeros en Windows
Cada mes se presentan nuevos agujeros de seguridad en aplicaciones de Windows o en sus sistemas operativos. Este mes, Internet Explorer ha corregido una vulnerabilidad crítica en el control de formas de biblioteca DDS de Microsoft (Msdds.dll) y otros objetos COM que al ejecutarse en Internet Explorer permitirían a un atacante tomar el control completo de un sistema afectado. Si un usuario inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo del sistema afectado. De esta forma, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.
Además, se han descubierto dos vulnerabilidades importantes en la shell de Windows que podrían permitir a un atacante la ejecución remota de código. Ambas vulnerabilidades surgen como consecuencia de sendos desbordamientos de búfer durante la gestión de archivos de enlace y de accesos directos (con extensión .lnk). Un atacante que convenza a un usuario para que abra un archivo .lnk que tenga propiedades maliciosamente diseñadas podría ejecutar código arbitrario en el equipo de la víctima.

Solución
Se recomienda a los usuarios de Internet Explorer y de Windows en general que apliquen las actualizaciones inmediatamente, bien a través del servicio de actualizaciones automáticas de Windows Update o bien manualmente mediante el parche disponible en www.microsoft.com/spain/technet/seguridad/boletines/ms05-052-it.mspx. para la vulnerabilidad de Internet Explorer, y en www.microsoft.com/spain/technet/seguridad/boletines/MS05-049-IT.mspx. para las vulnerabilidades de la shell.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información