dunanea
Residente
Por Angela Ruiz
[email protected]
El exploit Zero-Day anunciado hace una semana, está siendo activamente explotado en Internet, según informa Symantec, quién elevó su nivel de alertas a la posición número 2 (nivel medio).
La explotación se produce a través del protocolo RTSP (Real Time Streaming Protocol), utilizado para realizar streaming, técnica de transmisión unidireccional de contenidos de video y audio a través de Internet.
Se sabe que la vulnerabilidad está siendo explotada al menos a través de un servidor comprometido, y provoca la descarga de dos archivos maliciosos en el equipo de la víctima.
En este momento, Apple no ha publicado todavía ninguna actualización de QuickTime para solucionar el problema. El ataque provoca un desbordamiento de búfer, provocado por un insuficiente control en QuickTime sobre el tamaño de ciertos datos recibidos.
Son vulnerables tanto Windows como OS X (Macintosh), aunque los ataques deben ser específicos para cada uno de estos sistemas operativos.
Apple ha corregido al menos 32 agujeros de seguridad en QuickTime en lo que va de 2007. En 2006 corrigió 28, mientras en 2005 solo 5 problemas graves de seguridad aparecen documentados.
Al tratarse de un programa de uso muy popular, QuickTime se ha convertido en un blanco preferido por muchos atacantes. Además, como QuickTime es parte de iTunes, los usuarios de este último también son afectados.
iTunes es la aplicación creada por Apple para reproducir, organizar y comprar música en Internet.
Aunque no es una solución ideal debidos a los diferentes vectores que podrían utilizarse para un ataque, se sugiere deshabilitar la asociación con archivos RTSP en QuickTime. Para ello, seleccione las propiedades del programa, "File Types", y en "Streaming - Streaming movies", desmarque la opción "RTSP stream descriptor".
Otras opciones sugeridas, son filtrar los puertos utilizados comúnmente para la transmisión de datos vía RTSP (TCP 554, y UDP 6970 al 6999).
Para usuarios de Firefox y otros navegadores de Mozilla, se sugiere desactivar el complemento para QuickTime.
Para usuarios de Internet Explorer, es necesario aplicar el "kill-bit" a los siguientes identificadores de clases (controles ActiveX para QuickTime):
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
{4063BE15-3B08-470D-A0D5-B37161CFFD69}
El "kill-bit" es un valor en el registro que evita que un control ActiveX determinado se instale o ejecute.
Para ello descargue y ejecute el siguiente archivo .REG para modificar el registro:
http://www.videosoft.net.uy/quicktime-stream-killbit.reg
Si por alguna razón quisiera deshacer los cambios hechos, solo descargue y ejecute el siguiente archivo:
http://www.videosoft.net.uy/quicktime-stream-killbit-normal.reg
Más información:
Active exploit site for QuickTime RTSP Response vulnerability
SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc
Exploit for Apple QuickTime Vulnerability in the Wild
Symantec Security Response Weblog: Exploit for Apple QuickTime Vulnerability in the Wild
Usuarios de QuickTime en peligro por exploit Zero-day
Usuarios de QuickTime en peligro por exploit Zero-day
Apple QuickTime RTSP Response Header Content-Length Remote Buffer Overflow Vulnerability
RETIRED: Apple QuickTime RTSP Response Header Content-Length Remote Buffer Overflow Vulnerability
Apple QuickTime RTSP Content-Type header stack buffer overflow
US-CERT Vulnerability Note VU#659761
CVE-2007-6166 (Common Vulnerabilities and Exposures project)
CVE - CVE-2007-6166 (under review)
National Vulnerability Database (CVE-2007-6166)
Relacionados:
Vulnerabilidad en protocolo RTSP de Apple QuickTime
Vulnerabilidad en protocolo RTSP de Apple QuickTime
(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus
[email protected]
El exploit Zero-Day anunciado hace una semana, está siendo activamente explotado en Internet, según informa Symantec, quién elevó su nivel de alertas a la posición número 2 (nivel medio).
La explotación se produce a través del protocolo RTSP (Real Time Streaming Protocol), utilizado para realizar streaming, técnica de transmisión unidireccional de contenidos de video y audio a través de Internet.
Se sabe que la vulnerabilidad está siendo explotada al menos a través de un servidor comprometido, y provoca la descarga de dos archivos maliciosos en el equipo de la víctima.
En este momento, Apple no ha publicado todavía ninguna actualización de QuickTime para solucionar el problema. El ataque provoca un desbordamiento de búfer, provocado por un insuficiente control en QuickTime sobre el tamaño de ciertos datos recibidos.
Son vulnerables tanto Windows como OS X (Macintosh), aunque los ataques deben ser específicos para cada uno de estos sistemas operativos.
Apple ha corregido al menos 32 agujeros de seguridad en QuickTime en lo que va de 2007. En 2006 corrigió 28, mientras en 2005 solo 5 problemas graves de seguridad aparecen documentados.
Al tratarse de un programa de uso muy popular, QuickTime se ha convertido en un blanco preferido por muchos atacantes. Además, como QuickTime es parte de iTunes, los usuarios de este último también son afectados.
iTunes es la aplicación creada por Apple para reproducir, organizar y comprar música en Internet.
Aunque no es una solución ideal debidos a los diferentes vectores que podrían utilizarse para un ataque, se sugiere deshabilitar la asociación con archivos RTSP en QuickTime. Para ello, seleccione las propiedades del programa, "File Types", y en "Streaming - Streaming movies", desmarque la opción "RTSP stream descriptor".
Otras opciones sugeridas, son filtrar los puertos utilizados comúnmente para la transmisión de datos vía RTSP (TCP 554, y UDP 6970 al 6999).
Para usuarios de Firefox y otros navegadores de Mozilla, se sugiere desactivar el complemento para QuickTime.
Para usuarios de Internet Explorer, es necesario aplicar el "kill-bit" a los siguientes identificadores de clases (controles ActiveX para QuickTime):
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
{4063BE15-3B08-470D-A0D5-B37161CFFD69}
El "kill-bit" es un valor en el registro que evita que un control ActiveX determinado se instale o ejecute.
Para ello descargue y ejecute el siguiente archivo .REG para modificar el registro:
http://www.videosoft.net.uy/quicktime-stream-killbit.reg
Si por alguna razón quisiera deshacer los cambios hechos, solo descargue y ejecute el siguiente archivo:
http://www.videosoft.net.uy/quicktime-stream-killbit-normal.reg
Más información:
Active exploit site for QuickTime RTSP Response vulnerability
SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc
Exploit for Apple QuickTime Vulnerability in the Wild
Symantec Security Response Weblog: Exploit for Apple QuickTime Vulnerability in the Wild
Usuarios de QuickTime en peligro por exploit Zero-day
Usuarios de QuickTime en peligro por exploit Zero-day
Apple QuickTime RTSP Response Header Content-Length Remote Buffer Overflow Vulnerability
RETIRED: Apple QuickTime RTSP Response Header Content-Length Remote Buffer Overflow Vulnerability
Apple QuickTime RTSP Content-Type header stack buffer overflow
US-CERT Vulnerability Note VU#659761
CVE-2007-6166 (Common Vulnerabilities and Exposures project)
CVE - CVE-2007-6166 (under review)
National Vulnerability Database (CVE-2007-6166)
Relacionados:
Vulnerabilidad en protocolo RTSP de Apple QuickTime
Vulnerabilidad en protocolo RTSP de Apple QuickTime
(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus