Herramienta para explotar vulnerabilidad JPEG

El programa, es el primero conocido que se aprovecha directamente de la vulnerabilidad en el procesamiento de imágenes JPEG recientemente reparado por Microsoft. El parche fue publicado el pasado 14 de setiembre, pero aún hoy existen cientos de miles de usuarios que no han actualizado su software.

Un desbordamiento de búfer al manejarse ese tipo de formato, que afecta a casi cincuenta programas, puede permitir la ejecución remota de código simplemente por visualizar una imagen.

La herramienta pone al alcance de cualquiera, aún sin demasiados conocimientos, el poder crear imágenes que al ser vistas en el Internet Explorer, o a través del Outlook Express o inclusive usando alguno de los componentes de Office, puedan comprometer seriamente al equipo.

Cómo la herramienta permite seleccionar cualquier ejecutable para ser descargado y luego ejecutado automáticamente al verse la imagen comprometida, las posibilidades de inyectar cualquier clase de software malicioso en la computadora de la víctima, son infinitas.

El fallo se produce en la librería GDI+, usada por numerosas aplicaciones. Aunque Windows XP con el Service Pack 2 no es afectado en forma directa, si se ejecuta cualquiera de las otras aplicaciones vulnerables, el sistema será igualmente comprometido. No basta con descargar los parches para un programa, si no se hace lo mismo con los demás programas afectados.

El problema es mucho mayor de lo que algunos piensan, incentivado por el hecho de que hasta ahora las imágenes JPEG eran consideradas inofensivas, y a que un gran porcentaje del contenido visual encontrado en Internet, utiliza ese formato.

Usando la herramienta ahora distribuida en la red, un escritor de virus podría crear un peligroso gusano y modificar una inocente imagen para que el usuario se infecte de inmediato al visualizarla. Una infección de este tipo podría causar estragos, y en pocos segundos.

Los administradores de sistemas, deberían desde ahora incluir los archivos con extensión .JPG y .JPEG como potencialmente peligrosos.

Fabricantes de antivirus como NOD32, ya incluyen una detección genérica para esta clase de exploits, por lo que se reitera la recomendación de mantener actualizados los antivirus, además de descargar de inmediato los parches necesarios para su sistema.

Actualización de seguridad de septiembre de 2004 para procesamiento de JPEG (GDI+)

Fuente: www.enciclopediavirus.com

Deja un comentario