Por si fuera poco, ICQ y MSIE permiten la ejecución arbitraria de código


Los archivos .SCM (ICQ soundscheme), contienen archivos de sonido .WAV que consisten en varios esquemas de sonido usados por el ICQ, el conocido cliente de mensajería instantánea.





La acción por defecto para estos archivos es abrirse sin confirmación del usuario, y colocar los archivos .WAV en una ubicación conocida en el disco duro, dentro de carpetas predefinidas del ICQ.

Un exploit puede hacer que se descargue un archivo .SCM que contenga un falso .WAV, logrando la ejecución remota de este segundo archivo.

La demostración disponible en Internet, disfraza un archivo .MHT (un formato de correo electrónico), suplantando a un WAV verdadero. Dicho archivo MHT contiene un ejecutable incluido en formato base64.

Usando una conocida vulnerabilidad del Internet Explorer que permite la ejecución de código en forma local sin la intervención del usuario (del tipo "Content-Type:"), se puede lograr que este archivo embebido en el archivo MHT se ejecute por si solo.

El exploit podría modificarse para ejecutar cualquier clase de código, incluso a través de otra clase de archivos.
Es suficiente descargar de una página HTML en que se haya hecho un uso malicioso de las etiquetas IFRAME, un archivo SCM modificado, para que el contenido de este falso SCM se ejecute en nuestra computadora, abriendo el camino para cualquier clase de código malicioso, como un virus o un troyano.

Por otra parte las posibilidades de explotar esta falla desde un correo electrónico con formato HTML también deberían ser consideradas.


* Solución manual

Una solución momentánea (mientras ICQ no prevea un parche para esta falla), es cambiar el comportamiento habitual de los archivos .SCM luego de que el cliente ICQ es instalado en una computadora.

Si usted tiene ICQ en su PC, seleccione desde una ventana del Explorador de Windows (no el Internet Explorer), y seleccione Herramientas, Opciones de carpetas, la lengüeta "Tipos de archivos". Busque la extensión SCM, pinche en "Opciones avanzadas" y tilde la casilla "Confirmar apertura después de la descarga".



Otras noticias de interés:

Importante actualización para Microsoft Office y VBA
Microsoft ha publicado una actualización(*) que corrige una vulnerabilidad que afecta a los usuarios de Microsoft Office, o de cualquier aplicación que utilice Microsoft Visual Basic para Aplicaciones (VBA), y posibilita que un atacante ejecute có...
Apple presenta a Safari 4
Tras un largo periodo en estado beta, Apple por fin ha puesto a disposición de los usuarios la versión final de Safari 4. Además de integrar numerosas novedades y mejoras en cuanto a rendimiento y estabilidad, Safari 4 es mucho más seguro al corr...
Windows Live Messenger 8.1 vulnerable a ataques
Un desbordamiento de búfer en el componente GDI de Windows, puede provocar el fallo de Windows Live Messenger. La ejecución remota de código también es posible. ...
Boletines de seguridad de Microsoft en agosto
Tal y como adelantamos, este martes Microsoft ha publicado los boletines de seguridad correspondientes a su ciclo habitual de actualizaciones. Finalmente han sido once los boletines publicados (del MS08-041 al MS08-051) en vez de los doce anunciados....
Producción nacional en la Ley de Contenido o Ley Mordaza
Entre hoy y mañana aprobarán la norma. Los artículos 13,14,15,16 y 17 de la Ley de Responsabilidad Social de Radio y Televisión que se presentan a continuación, tienen que ver con los productores independientes, la democratización de los servic...
¿Quién inventó el CD-ROM?
La invención del soporte más extendido del mundo para almacenar datos y audio es casi un misterio en el que nadie se pone de acuerdo. Según un reciente artículo de SiliconUser, la idea partió de James Russell en el año 1965, aunque no llegaría...
Mozilla llama la atención a: Apple, Google y Microsoft
El desarrollador Asa Dotzler, uno de los más respetados voceros de la Fundación Mozilla (creadores del navegador Firefox), enfrentó desde su blog fuertemente a los tres gigantes Apple, Google y Microsoft, por instalar aplicaciones a los usuarios s...
Divulgación del código fuente de las aplicaciones JRUN
Es posible obtener el código fuente de las aplicaciones .ASA y .JSP residentes en un servidor JRun 4.0 simplemente añadiendo unos caracteres especiales en la URL....
Zombi virus infecta más de un millón de teléfonos en China
Según el Shanghai Daily, un zombi virus ha infectado más de un millón de teléfonos móviles en China, generando cobros de 2 millones de yuanes o $300.000 en mensajes SMS todos los días. Disfrazándose como una aplicación anti-virus, el malware ...
Aparece el primer troyano secuestrador de archivos
La imaginación de aquellos que quieren aprovechar Internet para su beneficio personal, defraudando a otros, no tiene límite. Ahora, los virus encriptan archivos y piden un “rescate” por su recuperación....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • arbitraria
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • codigo
  • computer
  • debian
  • ejecucion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • fuera
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • icq
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • msie
  • mysql
  • noticia
  • opensource
  • permiten
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra