Por Angela Ruiz
angela@videosoft.net.uy

Se han reportado múltiples vulnerabilidades en varios controles ActiveX relacionados con populares sitios. Los controles utilizados por Facebook y MySpace, por ejemplo, pueden ser fácilmente comprometidos por un atacante para la descarga de código malicioso en la computadora de la víctima.

Estos controles son utilizados (por ejemplo por los usuarios de MySpace y FaceBook), para subir imágenes a sus páginas.

Los primeros informes surgieron la pasada semana, y el domingo una nueva vulnerabilidad era reportada por el mismo investigador que dio la primera alerta. El nuevo control ActiveX vulnerable, es escrito y distribuido por Aurigma Imaging Technology.

Las restantes vulnerabilidades afectan controles ActiveX utilizados por Yahoo!, Jukebox MediaGrid (Yahoo! Music Jukebox), y DataGrid.

Hasta el momento, son seis las vulnerabilidades del tipo desbordamiento de búfer, que afectan a una serie de controles ActiveX de amplia distribución.

Se conoce por lo menos un exploit, publicado el 3/02/08. Estas vulnerabilidades pueden ser utilizadas para ejecutar código en los equipos de los usuarios que visiten aquellos sitios que los utilicen.

Lo que más preocupa, es la amplia distribución de estos controles, por lo que cualquier exploit que saque provecho de esto para propagar algún malware, podría ser un botín muy apetecible para los creadores de código malicioso.

La protección sugerida por el momento, es aplicar el "kill bit" a los identificadores de dichos controles, es decir, marcarlos en el registro de Windows para que no puedan ejecutarse (vea más información sobre este tema al final de este artículo).

Los siguientes identificadores de clase (CLSID) identifican los ActiveX que se sabe son vulnerables:
Aurigma ('ImageUploader4.ocx')
Aurigma ImageUploader4 4.6.17.0
Aurigma ImageUploader4 4.5.70.0
Aurigma ImageUploader4 4.5.126.0

* {6E5E167B-1566-4316-B27F-0DDAB3484CF7}

Aurigma ('ImageUploader5')
Aurigma ImageUploader5 5.0.10.0

* {BA162249-F2C5-4851-8ADC-FC58CB424243}

FaceBook PhotoUploader 4.5.57.0

* {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0}

Yahoo! MediaGrid

* {22FD7C0A-850C-4A53-9821-0B0915C96139}

Yahoo! DataGrid

* {5F810AFC-BB5F-4416-BE63-E01DD117BD6C}

MySpaceUploader.ocx version 1.0.0.4

* {48DD0448-9209-4F81-9F6D-D83562940134}

Para aplicar el kill-bit a dichos controles, descargue y ejecute el siguiente archivo .REG para modificar el registro:

http://www.videosoft.net.uy/myspace-...er-killbit.reg

Si por alguna razón quisiera deshacer los cambios hechos, solo descargue y ejecute el siguiente archivo:

http://www.videosoft.net.uy/myspace-...bit-normal.reg


Sobre el "Kill Bit"

Por cada control ActiveX existe un único identificador de clase llamado CLSID.

En el registro de Windows, si vemos la sección "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\ ActiveX Compatibility", nos encontramos con varios identificadores CLSID de ActiveX que están representados por un código extremadamente largo de letras y números entre corchetes, por ejemplo: {00000000-5eb9-11d5-9d45-009027c14662}.

En cada clave existe un valor llamado "Compatibility Flags". Cuando este valor es equivalente a "1024", se evita que ese control se instale o ejecute (no saldrán ventanas con opciones ni habrá que preocuparse más de que se nos instale el software relacionado al visitar una página, etc.).


Referencias:

[Full-disclosure] MySpace Uploader ActiveX Control Buffer Overflow
[Full-disclosure] MySpace Uploader ActiveX Control Buffer Overflow

[Full-disclosure] FaceBook/Aurigma Image/PhotoUploader Buffer Overflow
[Full-disclosure] FaceBook/Aurigma Image/PhotoUploader Buffer Overflow

Facebook Photo Uploader ActiveX Control Property Handling Buffer Overflow
Facebook Photo Uploader ActiveX Control Property Handling Buffer Overflow - Advisories - Secunia

MySpace Uploader Control ActiveX Control Property Handling Buffer Overflow
MySpace Uploader Control ActiveX Control Property Handling Buffer Overflow - Advisories - Secunia


Créditos:

Elazar Broad








(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus