Page 1


Prefácio Caros leitores, De modo a tornar a leitura mais interessante, a outrora newsletter do GRIS toma hoje o  formato de uma revista digital. Esta é apenas a primeira edição, daí a grande simplicidade da  revista, mas pretendemos em breve acrescentar mais conteúdo a mesma. Optamos por acrescentar  este breve prefácio para fazer alguns comentários.  Primeiramente, o que é o GRIS? O GRIS (Grupo de Resposta a Incidentes de Segurança) é um grupo formado por estudantes  do curso de Ciência da Computação da Universidade Federal do Rio de Janeiro (UFRJ), atuando no  DCC (Departamento de Ciência da Computação) e outras unidades solicitantes desta universidade.  Tem como objetivo a detecção, resolução e prevenção de incidentes de segurança, além de oferecer  suporte acadêmico aos estudantes da UFRJ que possuem interesse particular na área de Segurança  da informação. Dentre as principais atividades do GRIS estão: ­ Aplicar atualizações de segurança ­ Registar e acompanhar ocorrências de segurança ­ Auxiliar no reparo de danos causados por incidentes de segurança ­ Analisar sistemas comprometidos buscando causas, danos e responsáveis (análise forense) ­ Avaliar condições de segurança da rede ­ Divulgar práticas e recomendações de segurança ­ Oferecer educação e treinamento para administradores de sistemas Para maiores informações, acesse: http://www.gris.dcc.ufrj.br

Sobre a revista: Uma   vez   que   agora   podemos   dispor   de   melhores   recursos   de   edição   (não   aplicáveis   a  newsletter),   podemos   acrescentar   mais   texto   sem   tornar   a   leitura   muito   maçante,   e,  conseqüentemente,   podemos   trazer   maiores   informações,   como   as   que   vocês   poderão   conferir  adiante. Vale lembrar que esta revista é feita pelos membros do GRIS, ou seja, alunos do curso de  Ciência da Computação, que levam o grupo em paralelo com a graduação. Portanto, pedimos que  nos perdoe por qualquer falha que cometamos durante a edição da revista, e se possível, reporte­as  para que possamos nos corrigir. Pedimos ainda para que enviem possíveis sugestões e comentários  para gris@gris.dcc.ufrj.br. Sem mais delongas, esperamos que gostem e possam aproveitar.   Sinceramente, Equipe GRIS.


Índice (Para ir diretamente para a notícia/vulnerabilidade, clique sobre seu título ou página)

   

Notícias

Netscape Navigator chega ao fim        

Página 04

Thunderbird 2.0.0.12 lançado

Página 05

AVG em nova versão         

Página 06

Symantec lança Norton 360 versão 2.0      

Página 07

            Laptops em risco                    

Vulnerabilidades

   

Página 08

Múltiplas Vulnerabilidades no Opera Web Browser 9.25                           Vulnerabilidade no Mozilla Thunderbird ao processar MIME

          Página 11

   Vulnerabilidade no ICQ ao processar String de formatação          

          Página 12

     Múltiplas Vulnerabilidades no Sun Java                 

 

      Página 10

      Página 13 

Múltiplas Vulnerabilidades no MySQL      

      Página 15

Vulnerabilidade no compartilhamento de pastas do VMware   

      Página 16

Vulnerabilidade a Buffer Overflow no Ghostscript     

      Página 17

Vulnerabilidade na engine Symantec Decomposer

      Página 18

Vulnerabilidade em controle ActiveX do RealPlayer                    

      Página 19

 

Boletins Microsoft

Vulnerabilidade no Microsoft Outlook           

      Página 21

Vulnerabilidade no Microsoft Excel            

      Página 22

Vulnerabilidade no Web Components do Microsoft Office         

      Página 23

Vulnerabilidade no Microsoft Office                  

      Página 25


Notícias

Netscape Navigator chega ao fim AOL anuncia fim do suporte ao navegador

No dia 1 de março, a AOL, proprietária do Netscape desde 1999, decretou oficialmente o  fim do suporte e descontinuação do desenvolvimento do navegador.  Um anúncio prévio já havia  sido feito no fim de dezembro, e concretizou­se, enfim. O navegador que chega ao fim já teve sua época de ouro, sendo considerado por muitos o  melhor   no   início   da   popularização   da   World   Wide   Web.   Logo   após   a   aquisição,   a   equipe   do  Netscape começou a trabalhar na conversão da web suite para software open source, sob um novo  nome: Mozilla. O Netscape 6 surge então, como o primeiro navegador baseado no Mozilla. Em   2003,   nasce   a   Mozilla   Foundation,   sob   apoio   da   AOL,   para   dar   sequência   ao  desenvolvimento   da   web   suite   open   source.   A   America   Online,   por   sua   vez,   continuou   a  desenvolver novas versões do navegador Netscape baseando­se no trabalho da Fundação. Contudo, enquanto a AOL investia grande quantidade de tempo e energia para reviver o  Netscape   Navigator,   perdia   mercado   exponencialmente   para   o   Internet   Explorer,   da   Microsoft.  Então, pouco a pouco o suporte ao seu desenvolvimento foi sendo reduzido, e recentemente ficou  limitado a uma versão disfarçada do Firefox com algumas poucas extensões. Tendo em vista os baixos investimentos da AOL e o sucesso da Mozilla Foundation no  desenvolvimento de aclamados produtos, a empresa decidiu por encerrar o desenvolvimento do  Netscape, encorajando seus usuários a adotar o Mozilla Firefox.  Para aqueles que ainda desejarem usar alguma versão do navegador, seja por conveniência  ou nostalgia, o mesmo ainda está disponível em  http://browser.netscape.com/downloads/archive/.  No entanto, o GRIS desaconselha a utilização do navegador, uma vez que atualizações de segurança  não mais serão lançados para o mesmo. Uma alternativa melhor aos nostálgicos é baixar o Mozilla  Firefox e adicionar ao mesmo o tema do Netscape Navigator e suas extensões, disponíveis em  https://addons.mozilla.org/en­US/firefox/user/56836/. Fonte:  Blog Netscape http://blog.netscape.com/2007/12/28/end­of­support­for­netscape­web­browsers/


Thunderbird 2.0.0.12 lançado Nova versão traz fixes de segurança fundamentais

Desde   o   dia   26   de   fevereiro,   a   Mozilla   Foundation   disponibiliza   a   versão   2.0.0.12   do  Thunderbird.   Para   aqueles   que   usam   distribuições   Linux   Debian­based,   o   nome   pode   não   ser  familiar,   mas   o   mesmo   programa   aparece   sob   o   nome   de   Icedove   (Pois   o   Debian   não   aceita  softwares de marca registrada). Para aqueles que ainda realmente não conhecem, o aplicativo é um leitor de e­mails e news,  produzido   pela   Fundação   desde   2004,   sendo   amplamente   usado   por   usuários   de   Linux,   porém  também disponível para outros sistemas operacionais, tais como Microsoft Windows e MacOS X. Nesta   versão,   nenhuma   grande   novidade.   Porém,   a   versão   repara   4   vulnerabilidades  conhecidas, sendo uma crítica, duas de alto risco e uma de risco moderado, que de acordo com a  fundação, nunca serão reparadas numa versão 1.5. Então, se você está rodando uma versão 1.X do  Thunderbird, é extremamente aconselhável fazer o update. Para aqueles que desejarem, o programa Thunderbird, em sua versão mais atualizada, está  disponível no link http://www.mozilla.com/en­US/thunderbird/all.html. Fonte: SANS Internet Storm Center – Internet Security http://isc.sans.org/diary.html?storyid=4033


AVG em nova versão Anunciado lançamento do AVG Anti­Virus and Internet Security 8.0

No dia 28 de fevereiro,  a empresa Winco, distribuidora do AVG no Brasil, anunciou  o  lançamento da versão 8.0 do conhecido aplicativo de segurança. Aparentemente, esta versão parece  ser bem mais robusta que as  anteriores, apresentando uma vasta gama de novidades. A começar, cita­se a interface, que foi redesenhada, tornando­se mais intuitiva e portanto  ainda mais simples de se utilizar por um usuário iniciante.   Há ainda que se citar a tecnologia  Linkscanner, que atua bloqueando sites perigosos e suspeitos, e o Web Shield, que promete maior  segurança no uso de programas de mensagens instantâneas..  O pacote parece bem completo. Dentre outras ferramentas, podemos citar: Anti­vírus, anti­ spyware, verificador de e­mails, anti­rootkit, firewall, proteção residente e anti­spam. O software ainda não possui versão Free, que será lançada no fim de março. A versão hoje  disponível tem licença para 30 dias de uso. Após este tempo, os usuários devem optar por pagar a  quantia aproximada de 114 reais (para um único usuário, durante um ano), mantendo assim todas as  features do pacote, ou, em se tratando de usuário doméstico, passar para a versão gratuita, que  conterá   apenas   Anti­vírus,   Anti­Spyware   e   a   ferramenta   Linkscanner,   embora   esta   última   com  funcionamento parcial.  Caso queira conferir a nova versão, o download do AVG 8.0   pode ser efetuado no link  http://www.grisoft.com/ww.download?prd=triais. Fonte: Portal PCWorld http://pcworld.uol.com.br/noticias/2008/02/28/avg­lanca­internet­secutiry­8.0/


Symantec lança Norton 360 versão 2.0 Uma outra alternativa no mundo das soluções de segurança

Lançado dia 03 de março, o Norton 360 v2.0 O  software, que já incluia, em sua versão 1.0, antivirus, antispyware, firewall, proteção  contra intrusão e a tecnologia de detecção por comportamento (chamada de SONAR) traz agora  alguns novos recursos, além dos citados. Primeiramente, o pacote agora traz uma proteção contra downloads que são realizados por  mero acesso, e contra outras novas e desconhecidas ameaças que exploram vulnerabilidades do  Internet Explorer.  Incrementou­se, ainda, o sistema de backup local, tendo em vista o sucesso do sistema de  backup online já presente no Norton 360. Agora tem­se nas opções de backup local iPod's, HD  DVD,   Blu­Ray   e   unidades   compartilhadas,   além   das   unidades   internas,   unidades   de   CD/DVD,  USB, rede mapeada ou discos rígidos externos. Adicionou­se também o Norton Identify Safe, que traz auto­preenchimento de formulário,  cofre para senhas e tecnologia anti­phising, de modo a proteger o usuário contra fraudes virtuais,  além de ter uma navegação mais fácil por suas configurações do qua sua versão antecessora. O   pacote   traz   ainda   algumas   outras   caraterísticas   adicionais,   como   a   otimização   do  desempenho   do   PC   através   da   remoção   de   arquivos   de   registro   desnecessários,   limpeza   do  navegador de internet agora também disponível para firefox, dentre outros. O   Norton   360   versão   2.0   está   disponível   nos   pacotes   Premier   Edition,   Small   Business  Edition 5 User Pack e Small Business Edition 10 User Pack, cada qual com uma capacidade de  armazenamento online diferente e, por conseguinte, um preço diferente. Para maiores informações, acesse http://www.symantec.com. Fonte: iMasters – UOL http://imasters.uol.com.br/noticia/8193/tecnologia/symantec_lanca_versao_20_do_norton_360/


Laptops em risco Criado método simples que pode quebrar criptografia

Cientistas da Universidade de Princeton (EUA) demonstraram que criptografar os dados do  seu disco rígido pode não ser o suficiente para protegê­los.  Após uma pesquisa, descobriu­se que é  possível recuperar a chave que criptografa os dados do disco a partir da memória. Anteriormente,   acreditava­se   que   a   chamada   “memória   volátil”   (que   necessita   de  eletricidade para manter a informação armazenada) ficava retida por apenas alguns segundos após o  desligamento da máquina, e então desaparecia. Contudo, a equipe de cientistas comprovou que as  chaves de criptografia podem ser mantidas na memória e descobertas por até alguns minutos após o  desligamento. Acreditava­se ainda que bastava manter a chave de encriptação em segredo para resguardar  a confidencialidade das informações, contudo, após a pesquisa, descobriu­se que a mesma encontra­ se disponível na memória dos laptops, por alguns poucos segundos ou por até razoáveis minutos. O  método de obtenção da chave consiste em, uma vez tendo o laptop em mãos, cortar sua energia e  religá­lo, de modo a burlar a proteção do sistema operacional, ganhando acesso direto a memória  com o uso de outro computador ou de um HD externo. Assim, pode­se facilmente obter as chaves  de encriptação. Além disso, a equipe também descobriu que efetuando­se o resfriamento do laptop/memória  a informação permanecia disponível por muito mais tempo, algo em torno de 10 minutos ou mais.  De acordo com Edward Felten, professor da universidade, se a informação permanece na memória  volátil  por   15   segundos  à  temperatura  normal, resfriando­se  o  laptop  a  ­50ºC  faria  com  que  a  mesma permanecesse por algo em torno de 15 minutos. De acordo com os cientistas, a melhor forma de se proteger a informação contida no laptop é  desligá­lo totalmente por alguns minutos antes de ir a qualquer local em que a segurança física do  mesmo possa ser comprometida. O professor Felten ressalta que apenas travar a tela, hibernar ou  suspender a sessão não fornecem a proteção adequada, uma vez que as informações se mantém na  memória esperando o computador “despertar” novamente. Diz o professor: “Esta pesquisa põe em dúvida o valor da criptografia. Creio que com o  passar do tempo, os produtos de encriptação vão adaptar­se a isso e encontrarão novos meios de  proteger   com   mais   eficiência   a   informação”.   Vale   lembrar   que   não   são   apenas   laptops   que  encontram­se vulneráveis, mas por sua portabilidade, são certamente muito mais afetados. Fonte: BBC News | Technology http://news.bbc.co.uk/2/hi/technology/7275407.stm


Vulnerabilidades

Para melhor compreensão desta sessão, gostaríamos de explicar brevemente a estruturação  da sessão. Cada vulnerabilidade terá um cabeçalho, como o que apresentamos a seguir:

Nível: 

Publicada em:

CVE ID's:

Fonte: 

Nível:   Neste   campo,   é   indicado   o   nível   de   criticidade   da   vulnerabilidade   em   questão,   cujos   possíveis rankings são: Baixo Risco, Risco Moderado, Alto Risco e Critico. CVE ID's: Faz­se válido explicar primeiramente o que é CVE. Common Vulnerabilities and Exposures  (ou   CVE)   é   um   dicionário   de   informações   sobre   vulnerabilidades   de   segurança   já   publicadas, mantido pela MITRE Corporation (http://cve.mitre.org/). Portanto, entenda­se   por CVE ID uma sequência única de números que designa uma vulnerabilidade.  Publicada em: Como sugere o próprio nome, indica a data de publicação da vulnerabilidade. Fonte: Tão sugestivo quanto a anterior, indica a fonte da qual foram retiradas as informações sobre  a vulnerabilidade.

Adicionamos, inclusive, antes da descrição da vulnerabilidade, um tópico: “Para entender  melhor”.   Este tópico traz definições  necessárias ao entendimento básico da  vulnerabilidade  em  questão.


Múltiplas Vulnerabilidades no Opera Web Browser 9.25

Nível:               Risco Moderado

CVE ID's: 2008­1080 | 2008­1081 | 2008­1802

Publicada em:      20/02/2008

Fonte:                       Secunia Para entender melhor:

­ Opera: Navegador web, desenvolvido pela companhia Opera Software. ­ Cross­site scripting: Também chamado de XXS, este ataque permite a injeção de código malicioso  por usuários maliciosos dentro de páginas acessadas por outros usuários, sendo  possível, assim,  conseguir informações ou acessos restritos.

Foram   encontradas   algumas   vulnerabilidades   no   Opera,   que   podem   ser   exploradas   por  indivíduos   maliciosos   de   modo   a   conduzir   um   ataque   de   Cross­site   scripting,   ter   acesso   a  informações sensíveis ou para burlar determinadas restrições de segurança. Detalhes: A primeira falha de segurança é causada devido a um erro de design do aplicativo, durante a  manipulação do campo referente ao arquivo a ser enviado, que pode potencialmente ser explorado  para induzir um usuário a fazer o upload de arquivos arbitrários. A  segunda é causada por um erro  ao manipular comentários feitos nas propriedades  de  imagens, que pode ser explorado para executar scripts ao exibir­se o comentário de uma imagem  maliciosa. A terceira é causada por um erro na manipulação nos valores dos atributos ao importar­se  XML em um documento, que pode ser explorado para burlar filtros e conduzir a ataques de Cross­ site scripting se tais valores forem utilizados como conteúdo do documento. As falhas reportadas afetam as versões abaixo da 9.26. Solução:  Atualize seu navegador Opera para a versão 9.26, em http://www.opera.com/download/.  Para maiores informações acesse: http://secunia.com/advisories/29029/


Vulnerabilidade no Mozilla Thunderbird ao processar MIME

Nível:                     Alto Risco

CVE ID's:               2008­0304

Publicada em:        27/02/2008

Fonte:                  iDefense Labs

Para entender melhor: ­ Mozilla Thunderbird: Leitor de e­mails, desenvolvido pela Mozilla Foundation. ­ MIME: Multipurpose Internet Mail Extensions. Padrão que define como anexos e outros dados  são   manipulados   na   mensagem   de   e­mail,   criado   para   solucionar   problemas   relativos   aos  conjuntos de caracteres mais ricos do que o US­ASCII e às mensagens multimídia, envolvendo  texto formatado, imagens, sons e vídeos. ­   Tipo   MIME   “external­body”:   Recurso   que   permite   o   acesso   a   um   recurso   referenciado   na  mensagem, como um anexo. ­ Buffer: Região da memória temporária utilizada para leitura e escrita de dados, originados de  dispositivos ou processos, externos ou internos ao sistema. ­ Ataque de Buffer Overflow: Quando o tamanho de um buffer ultrapassa a capacidade máxima de  armazenamento, este excesso de dados pode acabar sendo armazenado em áreas  de memória  próximas, corrompendo dados, travando o programa ou até mesmo sendo executado, o que cria a  possibilidade de inserção de código malicioso, o que caracteriza um ataque de buffer overflow.

Reportou­se   uma   vulnerabilidade   no   Mozilla   Thunderbird,   que   pode   ser   explorada   por  indivíduos   maliciosos   de   modo   a   comprometer   potencialmente   o   sistema   de   um   usuário.   Tal  vulnerabilidade é causada por um erro ao analisar o tipo MIME “external­body” numa mensagem  de e­mail.  Ao calcular o número de bytes a alocar para tal ação, não é reservado espaço suficiente  para   todos   os   dados   que   são   copiados   para   o   buffer,   gerando   mais   de   3   bytes   do   buffer  “overfloweds”, através do que se pode executar um código malicioso (caracterizando um ataque do  tipo Heap Buffer Overflow). Solução: Atualize seu Thunderbird para a versão 2.0.0.12, através do link http://www.mozilla.com/en­ US/thunderbird/all.html. Para maiores informações, acesse: http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=668


Vulnerabilidade no ICQ ao processar string de formatação

Nível:                   Alto Risco

CVE ID's:               2008­1120

Publicada em:      28/02/2008

Fonte:                       Secunia Para entender melhor:

­ ICQ: Programa para troca de mensagens instantâneas, desenvolvido pela Mirabilis/AOL. ­ Ataque de negação de serviço: Também conhecido como Denial of Service (DoS), trata­se de um  ataque que visa tornar os recursos de um sistema indisponíveis para seus utilizadores, através da  sobrecarga dos recursos deste sistema (memória, processamento, etc.), de forma a força­lo a  reinicializar ou impedi­lo de dispor de recursos para fornecer seus serviços. O ataque não se  qualifica como uma invasão, mas sim como uma invalidação por sobrecarga. Descobriu­se uma vulnerabilidade no ICQ, que pode ser explorada por indivíduos  maliciosos de modo a causar um ataque de negação de serviço ou até mesmo tomar total controle do  sistema de outros usuários. Tal vulnerabilidade é causada devido a um erro na string de formatação,  ao processar e converter mensagens HTML recebidas, que pode ser explorado por atacantes com a  finalidade de travar um aplicativo afetado ou executar códigos arbitrários enviando uma mensagem  maliciosa a um usuário do ICQ. Solução: Marque nas configurações “Aceitar mensagens apenas de contatos” e remova contatos em que não  confia da sua lista de contatos. Se a opção “Pergunte­me antes de mostrar mensagens de pessoas  que não conheço” estiver marcada, descarte estas mensagens que receber. Para maiores informações, acesse: http://www.frsirt.com/english/advisories/2008/0701


Múltiplas vulnerabilidades permitem burlar restrições de segurança e execução  de código no Sun Java

Nível:                      Crítico

CVE ID's: 2008­1185 | 2008­1186 |2008­1187 | 2008­1188 |  2008­1189 | 2008­1190 | 2008­1191 | 2008­1192 | 2008­1193 |  2008­1194 | 2008­1195 | 2008­1196

Publicada em:      05/03/2008

Fonte:                       FrSIRT Para entender melhor:

 

 ­ Java: Tecnologia para desenvolvimento, criada pela Sun Microsystems ­ Java applet: Aplicativos desenvolvidos na linguagem de programação Java, que se utilizam da  JVM (Java Virtual Machine), embutida no navegador do cliente ou existente em sua máquina,  para interpretar seu bytecode (forma “intermediária” de código para o qual o Java compila  códigos escritos nessa linguagem).

Múltiplas vulnerabilidades foram identificadas no Sun Java, que podem ser exploradas por  atacantes remotos para burlar a restrições de segurança ou tomar controle total do sistema afetado. Detalhes: A primeira é causada por erros não­especificados na Java Runtime Environment Virtual  Machine, que pode permitir aplicações e applets suspeitos a ter seus privilégios elevados e adquirir  permissões  de leitura e escrita em arquivos ou aplicativos locais. A segunda é causada por um erro ao processar transformações XSLT, que pode permitir  aplicações e applets suspeitos a ter seus privilégios elevados e ler determinados recursos URL não­ autorizados (como alguns arquivos e páginas web) ou executar código arbitrário. A terceira é causada por um erro de buffer overflow e brechas de segurança no Java Web  Start, ao manipular alguns aplicativos, que pode ser explorada por sites maliciosos para ler e  escrever em arquivos ou aplicativos locais.  A quarta é causada por um erro no Java Plug­in, que pode ser explorado por applets  maliciosos para executar aplicativos locais. A quinta é causada por erros nas libs de análise de imagens e gestão de cores ao processar  dados mal­formados, que podem ser explorados por applets suspeitos para causar um ataque de 


negação de serviço, ler e escrever em arquivos locais ou executar aplicativos locais. A sexta é causada por um erro ao manipular código JavaScript, que pode ser explorado por  sites maliciosos para ganhar acesso não­autorizado a arquivos arbitrários. A sétima é causada por um erro de Buffer Overflow no Java Web Start, que pode permitir a  um aplicativo não­confiável garantir a si permissões para ler e escrever em arquivos locais ou  executar aplicativos locais. Solução: Atualize para as versões em que as falhas já foram reparadas. JDK e JRE 6 Update 5: http://java.sun.com/javase/downloads/index.jsp JDK e JRE 5.0 Update 15: http://java.sun.com/javase/downloads/index_jdk5.jsp SDK e JRE 1.4.2_17: http://java.sun.com/j2se/1.4.2/download.html Para maiores informações, acesse: http://www.frsirt.com/english/advisories/2008/0770


Múltiplas Vulnerabilidades no MySQL permitem burlar restrições de segurança e execução de código

Nível:                   Alto Risco

CVE ID's: 2007­5969 | 2007­5970 | 2007­6313  | 2008­0226 | 2008­0227

Publicada em:      14/02/2008

Fonte:                       FrSIRT Para entender melhor:

­   MySQL:   Sistema de  gerenciamento  de  banco  de dados  que  utiliza  a  linguagem  SQL  como  interface, desenvolvido pela MySQL AB. ­ View (em MySQL): É uma tabela virtual, na qual os dados não estão fisicamente armazenados. É  apenas uma visão de um grupo de colunas de uma ou mais tabelas do banco de dados. Foram identificadas múltiplas vulnerabilidades no MySQL, que podem ser exploradas por  atacantes ou usuários maliciosos para burlar as restrições de segurança, ter acesso a informações  sensíveis, causar um ataque de negação de serviço ou comprometer um sistema afetado. Detalhes: A primeira é causada por não se conferir de maneira eficaz as permissões ao lidar com as  declarações   de   BINLOG,   que   pode   ser   explorado   por   qualquer   usuário   conectado   para   obter  privilégios elevados. A segunda é causada por um erro de Buffer Overflow no yaSSL, que pode ser explorado por  atacantes remotos para travar um servidor vulnerável ou executar código arbitrário. A terceira é causada por um erro ao utilizar­se RENAME TABLE em uma tabela com as  opções DATA DIRECTORY e INDEX DIRECTORY explícitas, que podem ser exploradas para  sobreescrever a tabela de informações do sistema. A quarta é causada por um erro na requisição de “Alter view” que contém o valor DEFINER  original, que pode ser usado por um usuário malicioso para ganhar o direito de acesso a view. A  quinta é  causada por  um  erro  ao se utilizar  uma tabela FEDERATED, que pode  ser  explorado de modo a causar um travamento do servidor local quando um servidor remoto retornar  um resultado com menos colunas do que o esperado. Solução: Atualize para o MySQL Enterprise version 5.0.52, através do link:  http://dev.mysql.com/downloads/ Para maiores informações, acesse: http://www.frsirt.com/english/advisories/2008/0560/


Vulnerabilidade no recurso de compartilhamento de pastas de produtos  VMware 

Nível:                   Alto Risco

CVE ID's:             Não consta

Publicada em:      26/02/2008

Fonte:                       FrSIRT Para entender melhor:

­ VMware: É um software/máquina virtual que permite a emulação de um sistema operacional  dentro de outro, desenvolvido pela VMware Inc. ­ Travessia de diretórios: Também conhecido como “dot dot slash attack” (ou “ataque ponto­ponto­ barra”), escalada de diretório e backtracking, este ataque se utiliza da inserção de caracteres que  representem “vá  para o diretório superior” no nome dos  arquivos de modo a ordenar que  um  aplicativo acesse um arquivo que não deveria ser acessível. ­ UTF­8: O UTF­8 (8­bit Unicode Transformation Format) é um tipo de codificação Unicode de  comprimento variável, podendo representar, além de qualquer caracter universal padrão do  Unicode, caracteres ASCII. Uma vulnerabilidade foi identificada em diversos produtos VMware, que pode ser explorada  por atacantes para burlar restrições de segurança e ganhar total acesso não­autorizado ao sistema de  arquivos do host. Tal vulnerabilidade é causada por um erro no recurso de compartilhamento de  pastas ao lidar com sequências UTF­8 nos nomes dos arquivos ou diretórios, que permite travessia  de diretórios. Tal erro pode ser explorado por um atacante com acesso a máquina virtual para  escrever e ler arquivos arbitrários no sistema operacional do host através da execução de certos  comandos com argumentos contendo a sequência “+.+./”, podendo levar ao comprometimento do  sistema. Tal vulnerabilidade afeta os produtos: * VMware Workstation 6.0.2 e 5.5.4 (e anteriores a elas) * VMware Player 2.0.2 e 1.0.4  (e anteriores a elas) * VMware ACE 2.0.2 e 1.0.2 (e anteriores a elas) Solução: Não utilize o recurso de compartilhamento de pastas, até que um patch seja disponibilizado pelo  desenvolvedor para reparar a falha. Para maiores informações, acesse: http://www.frsirt.com/english/advisories/2008/0679


Vulnerabilidade a Buffer Overflow na função “zseticcspace()” do Ghostscript

Nível:                   Alto Risco

CVE ID's:                 2008­0411

Publicada em:      28/02/2008

Fonte:                       SecuriTeam Para entender melhor:

­ Ghostscript: Ghostscript é uma suite de softwares que provê um interpretador para a linguagem  PostScript   e   para   o   Adobe   Portable   Document   Format   (PDF),   e   uma   biblioteca   de   C   (a  Ghostscript   library),   cuja   função   é   implementar   os   gráficos   e   a   capacidade   de   filtragem  (compressão/descompressão/conversão de dados) que aparecem como operações primitivas na  linguagem PostScript e em PDF's. O Ghostscript foi desenvolvido pela Artifex Software.

Uma vulnerabilidade foi identificada no Ghostscript, que pode ser explorada por atacantes  remotos para causar um ataque de negação de serviço ou comprometer um sistema afetado. Tal  vulnerabilidade   é   causada   por   um   erro   de   buffer   overflow   na   função   “zseticcspace()”   [zicc.c],  através da qual um atacante pode setar um valor arbitrário de tamanho a um vetor do Ghostscript,  que, contudo, aceita um máximo de apenas 8 floats. Assim sendo, atacantes podem explorar o erro  para   travar   aplicativos   afetados   ou   executar   código   arbitrário,   ao   levar   o   usuário   a   abrir   um  documento PS malicioso.  Solução: Atualize para a versão 8.62, disponível em http://ghostscript.com/releases/.

Para maiores informações, acesse: http://www.securiteam.com/unixfocus/5BP010UNPO.html


Vulnerabilidades na engine Symantec Decomposer permitem ataques DoS e  Buffer Overflow

Nível:                   Alto Risco

CVE ID's:     2008­0308 | 2008­0309

Publicada em:      27/02/2008

Fonte:                       Symantec Para entender melhor:

­ Symantec Decomposer: Engine presente em determinados produtos Symantec responsável por  decompor alguns tipos de arquivo enquanto o escaneia em busca de conteúdo malicioso. Duas vulnerabilidades foram reportadas em diversos produtos Symantec, que podem ser  exploradas por indivíduos maliciosos para causar um ataque de negação de serviço ou comprometer  um sistema vulnerável. Descrição: Um erro no mecanismo do Symantec Decomposer, pode ser explorado para provocar um  Buffer Overflow ao lidar com arquivos .RAR. O sucesso na exploração da falha permite a execução  de código arbitrário. Um erro no mecanismo do Symantec Decomposer pode ser explorado para  fazer com que o processo consuma memória em excesso ao lidar com arquivos .RAR, causando um  DoS. A vulnerabilidade afeta os seguintes produtos (considerar versões anteriores também):  * Symantec AntiVirus for Network Attached Storage version 4.3.16.39   * Symantec AntiVirus Scan Engine version 4.3.16.39   * Symantec AntiVirus Scan Engine for Caching/Clearswift/Messaging/MS ISA/MS SharePoint  version 4.3.16.39   * Symantec AntiVirus/Filtering for Domino MPE(AIX, Linux, Solaris)  * Symantec Mail Security for Microsoft Exchange version 4.6.5.12  * Symantec Mail Security for Microsoft Exchange version 5.0.4.363  * Symantec Scan Engine version 5.1.4.24 Solução: Atualize para as últimas versões, através do link http://www.symantec.com/techsupp/ ou através do  LiveUpdate. Para maiores informações, acesse: http://www.symantec.com/avcenter/security/Content/2008.02.27.html


Vulnerabilidade por erro de corrupção de memória em controle ActiveX do RealPlayer

Nível:                        Crítico

CVE ID's:               Não consta

Publicada em:        11/03/2008

Fonte:                       FrSIRT

Para entender melhor: ­ RealPlayer: Software dedicado a reprodução de vídeos, músicas e programas de rádio via internet. ­ KillBit: O KillBit é um componente criado pela Microsoft para resolver o problema de execução  inesperada de ActiveX em seu navegador web, o Internet Explorer. Este componente permite ao  usuário se prevenir da execução de alguns ActiveX enquanto navega através do Internet Explorer.  ­ Controle ActiveX: Aplicativo ActiveX que roda diretamente de páginas Web.

Uma vulnerabilidade foi identificada no RealPlayer que pode ser explorada remotamente  causando um ataque de negação de serviço ou permitindo total controle sobre o sistema afetado. Tal  erro é causado por um erro de corrupção de memória no controle ActiveX "rmoc3260.dll" quando  este está lidando com a propriedade "Console", que pode ser explorada por atacantes remotamente  para travar um browser infectado ou executar um código arbitrário levando um usuário a visitar  uma página web especialmente construida. Produtos afetados:  ­ RealNetworks RealPlayer versões 10.x  ­ RealNetworks RealPlayer versões 11.x

Solução: Ative o kill bit para os seguintes CLSIDs:  {2F542A2E­EDC9­4BF7­8CB1­87C9919F7F93} {CFCDAA03­8BE4­11CF­B84B­0020AFBBCCFA} Para maiores informações, acesse: http://www.frsirt.com/english/advisories/2008/0842


Boletins Microsoft

A   Microsoft   libera,   nas   quintas­feiras   de   cada   mês,   um   boletim   com   vulnerabilidades  reportadas   de   seus   produtos.   De   modo   que   são   muitos   os   usuários   de   programas   Microsoft,  consideramos de exímia importância a publicação das principais vulnerabilidades divulgadas pela  empresa.  O   cabeçalho   segue   similar   ao   das   outras   vulnerabilidades,   sendo   a   única   mudança   a  substituição   de   CVE   por   Bulletin   ID   (número   que   referencia­se   a   uma   vulnerabilidade   de   um  boletim de segurança da Microsoft).  Portanto, nesta sessão, você confere as 4 vulnerabilidades críticas divulgadas pela microsoft  neste mês de março.


Vulnerabilidades no Microsoft Outlook podem permitir execução remota de código

Nível:                     Crítico

Bulletin ID:           MS08­015 

Publicada em:     11/03/2008

Fonte:        Microsoft Security Bulletin

Foi reportada uma vulnerabilidade no Microsoft Outlook, que pode permitir a um possível  atacante a execução de código remoto. Com isto, o mesmo poderia instalar programas, ver, mudar  ou   deletar   dados   do   usuário   ou   criar   novas   contas   com   permissões   máximas   de   uso.   A  vulnerabilidade é causada pois o aplicativo não verifica de maneira eficiente os links passados para  o client outlook. Contudo, para o ataque ser bem­sucedido, o usuário deve abrir uma mensagem de  e­mail que contenha uma url de “mailto” maliciosa e clicar na mesma. Versões afetadas: ­ Microsoft Office Outlook 2000 Service Pack 3; ­ Microsoft Office Outlook 2002 Service Pack 3; ­ Microsoft Office Outlook 2003 Service Pack 2; ­ Microsoft Office Outlook 2003 Service Pack 3; ­ Microsoft Office Outlook 2007; Versões não afetadas: ­ 2007 Microsoft Office System Service Pack 1; ­ Outlook 2007 Service Pack 1;

Solução: Aplique a correção disponibilizada pelo fabricante: http://update.microsoft.com/microsoftupdate/ Para maiores informações, acesse: http://go.microsoft.com/fwlink/?LinkId=112113


Vulnerabilidades no Microsoft Excel podem permitir execução remota de código

Nível:                  Crítico

Bulletin ID: MS08­014

Publicada em: 11/03/2008

Fonte: Microsoft Security Bulletin

A vulnerabilidade pode ser explorada quando um usuário abre um arquivo do Excel  especialmente projetado. O hacker que produziu o arquivo pode então instalar programas,  ver,  modificar, ou deletar dados; ou até criar novas contas de usuário com permissões completas de  usuário. Aqueles que usam contas com menos direitos de usuários configurados, podem ter um  impacto menor do que aqueles que operam com privilégios de administradores. As funções afetadas  incluem: validação de registros, importação de arquivos, registro de estilos, análise de fórmulas,  validação de Rich Text, formatação condicional e validação de macros. Versões afetadas: ­ Excel 2000 Service Pack 3 ­ Excel 2002 Service Pack 3 ­ Excel 2003 Service Pack 2 ­ Excel 2007 Versões não afetadas: ­ Excel 2003 Service Pack 3 ­ Excel 2007 service Pack 1 Solução: Aplique a correção disponibilizada pelo fabricante: http://update.microsoft.com/microsoftupdate Para maiores informações acesse: http://go.microsoft.com/fwlink/?LinkId=112111


Vulnerabilidades no Web Components do Microsoft Office podem permitir  execução remota de código

Nível:                     Crítico

Bulletin ID:           MS08­017

Publicada em:     11/03/2008

Fonte:        Microsoft Security Bulletin

Foram reportadas vulnerabilidades no Web Components do Microsoft Office, que podem  permitir a um possível atacante a execução de código remoto. Com isto, o mesmo poderia instalar  programas, ver, mudar ou deletar dados do usuário ou criar novas contas com permissões máximas  de uso.  A vulnerabilidade se origina ao administrar os recursos de memória enquanto analisa­se uma  URL de formato específico. A exploração da vulnerabilidade pode ser feita com a construção de um  web site malicioso. Quando o usuário acessa a página, pode ser executado remotamente um código  no   computador  do  mesmo.  Se  obtiver   sucesso,  o  atacante  obtém  os   mesmos  privilégios  que   o  usuário logado.

Versões afetadas: Microsoft Office Web Components 2000: ­ Microsoft Office 2000 Service Pack 3 ­ Microsoft Office XP Service Pack 3 ­ Visual Studio .NET 2002 Service Pack 1 ­ Visual Studio .NET 2003 Service Pack 1 ­ Microsoft BizTalk Server 2000 ­ Microsoft BizTalk Server 2002 ­ Microsoft Commerce Server 2000 ­ Internet Security and Acceleration Server 2000 Service Pack 2 Versões não afetadas: Microsoft Office Web Components 2000: ­ Microsoft Works 8 ­ Microsoft Works 9 ­ Microsoft Works Suite 2005 ­ Microsoft Works Suite 2006


­ Microsoft Office 2003 Service Pack 2 ­ Microsoft Office 2003 Service Pack 3 ­ 2007 Microsoft Office System ­ 2007 Microsoft Office System Service Pack 1 ­ Microsoft BizTalk Server 2004 ­ Microsoft BizTalk Server 2006 ­ Microsoft Commerce Server 2000 Service Pack 1, Microsoft Commerce Server     2000 Service Pack 2, and Microsoft Commerce Server 2000 Service Pack 3 ­ Microsoft Commerce Server 2002 ­ Microsoft Commerce Server 2007 ­ Internet Security and Acceleration Server 2004 ­ Internet Security and Acceleration Server 2006 Solução: Aplique a correção disponibilizada pelo fabricante: http://update.microsoft.com/microsoftupdate Para maiores informações acesse: http://go.microsoft.com/fwlink/?LinkId=112114


Vulnerabilidades no Microsoft Office podem permitir execução remota de código

Nível:                  Crítico

Bulletin ID: MS08­016

Publicada em: 11/03/2008

Fonte: Microsoft Security Bulletin

A vulnerabilidade, reportada por duas fontes privadas pode ser explorada quando um usuário  abre um arquivo do Office especialmente projetado. O hacker que produziu o arquivo pode então  instalar programas,  ver, modificar, ou deletar dados; ou até criar novas contas de usuário com  permissões completas de usuário. Aqueles que usam contas com menos direitos de usuários  configurados, podem ter um impacto menor do que aqueles que operam com privilégios de  administradores. As funções afetadas incluem: avaliação risco, avaciação de células (corrupção de  memória). Versões afetadas: ­ Miscrosoft Office 2000 Service Pack 3 ­ Miscrosoft Office XP Service Pack 3 ­ Miscrosoft Office 2003 Service Pack 2 ­ Miscrosoft Office Excel Viewer 2003 e Excel Viewer 2003 Service Pack 3 ­ Miscrosoft Office 2004 for Mac Versões não afetadas: ­ Microsoft Office 2003 Service Pack 3 ­ Microsoft PowerPoint Viewer 2003 e Word Viewer 2003 ­ Microsoft Visio 2002 Service Pack 2 e a versão 2003 do mesmo ­ Microsoft Project 2000 Service Pack 1 e  a versão 2002 Service Pack 2 do mesmo ­ 2007 Microsoft Office System e Service Pack 1 do mesmo ­ Microsoft Office 2008 for Mac Solução: Aplique a correção disponibilizada pelo fabricante: http://update.microsoft.com/microsoftupdate Para maiores informações acesse: http://go.microsoft.com/fwlink/?LinkId=112112


Nota Final

Chega o fim da primeira edição da Revista GRIS.  Conforme dito anteriormente, os planos para a revista irão além, e esperamos que muito em  breve possamos trazer a nossos leitores maior quantidade (e qualidade) de informação. Contudo,  para que possamos ir um pouco além, gostaríamos de receber um feedback. Sugestões, elogios e  críticas, serão bem­vindas, e devem ser enviadas para gris@gris.dcc.ufrj.br. Esperamos que esta edição lhes possa ter acrescido, e esperamos mais ainda que as próximas  sejam cada vez melhores. Agradecemos aos nossos leitores, e até a próxima edição. Saudações, Equipe GRIS.


Revista GRIS 01  

Revista GRIS - Grupo de Resposta a Incidentes de Segurança

Advertisement
Read more
Read more
Similar to
Popular now
Just for you