Błędy w produktach Microsoft, Apple, Novell, Sophos, Symantec

The Sourcefire VRT jest przodującą grupą ekspertów pracujących przy rozwijaniu rozwiązań IDS. Grupa ściśle współpracuje z Team Snort. VRT wykrył błędy w produktach Microsoft Internet Explorer, Apple Quicktime, Novell eDirectory, Sophos Anti-Virus oraz Symantec Anti-Virus.

Microsoft Internet Explorer zawiera lukę programistyczną, która warunkuje błędne przetwarzanie linków MIME (mhtml) używanych w poczcie HTML. Błąd pozwala atakującemu na zdalne przepełnienie całej długości bufora oraz wykonanie kodu na atakowanej maszynie. Sourcefire VRT udostępnił zaktualizowany zestaw reguł, umożliwiający wykrycie ataku skierowanego w IE - zestaw 6509 oraz 6510.

Luka wykryta w Apple Quicktime zachodzi podczas procesu weryfikacji podanego ciągu danych, umożliwia jak w przypadku IE przepełnienie bufora i wykonanie kodu na zdalnym systemie. Reguły wykrywające ten atak zawarte zostały w zestawach - 6505 / 6506. Novell eDirectory Server posiada lukę pozwalającą na przepełnienie bufora i wykonanie kodu na zdalnej maszynie, zlokalizowaną w iMonitor NDS. Exploitacja odbywać się może przez specjalnie spreparowany link do usługi. Zestaw reguł 6507.

Luka znaleziona w Sophos Anti-Virus ma miejsce podczas przetwarzania plików CAB / Microsoft, dzięki niej atakujący posiada możliwość zdalnego wykonania kodu i spowodowanie ataku denial of service (DoS), powodując w rezultacie zamknięcie aplikacji. Zestaw reguł 6504. Usługa Symantec Anti-Virus Real-Time Scan posiada podobne błędy umożliwiające zdalne wykonanie kodu. Zestaw reguł 6512.

Najnowsza wersja programu Snort współpracuje z zestawem reguł opisanych powyżej. Zaleca się aktualizację oraz monitoring zdarzeń. W ciągu kilku dni powinny pojawić się aktualizacje na stronach oferujących podatne na błędy oprogramowanie.

Źródło: snort.org

Realizacja: SIPLEX Studio