The Sourcefire VRT jest przodującą grupą ekspertów pracujących przy rozwijaniu rozwiązań IDS. Grupa ściśle współpracuje z Team Snort. VRT wykrył błędy w produktach Microsoft Internet Explorer, Apple Quicktime, Novell eDirectory, Sophos Anti-Virus oraz Symantec Anti-Virus.
Microsoft Internet Explorer zawiera lukę programistyczną, która warunkuje błędne przetwarzanie linków MIME (mhtml) używanych w poczcie HTML. Błąd pozwala atakującemu na zdalne przepełnienie całej długości bufora oraz wykonanie kodu na atakowanej maszynie. Sourcefire VRT udostępnił zaktualizowany zestaw reguł, umożliwiający wykrycie ataku skierowanego w IE – zestaw 6509 oraz 6510.
Luka wykryta w Apple Quicktime zachodzi podczas procesu weryfikacji podanego ciągu danych, umożliwia jak w przypadku IE przepełnienie bufora i wykonanie kodu na zdalnym systemie. Reguły wykrywające ten atak zawarte zostały w zestawach – 6505 / 6506. Novell eDirectory Server posiada lukę pozwalającą na przepełnienie bufora i wykonanie kodu na zdalnej maszynie, zlokalizowaną w iMonitor NDS. Exploitacja odbywać się może przez specjalnie spreparowany link do usługi. Zestaw reguł 6507.
Luka znaleziona w Sophos Anti-Virus ma miejsce podczas przetwarzania plików CAB / Microsoft, dzięki niej atakujący posiada możliwość zdalnego wykonania kodu i spowodowanie ataku denial of service (DoS), powodując w rezultacie zamknięcie aplikacji. Zestaw reguł 6504. Usługa Symantec Anti-Virus Real-Time Scan posiada podobne błędy umożliwiające zdalne wykonanie kodu. Zestaw reguł 6512.
Najnowsza wersja programu Snort współpracuje z zestawem reguł opisanych powyżej. Zaleca się aktualizację oraz monitoring zdarzeń. W ciągu kilku dni powinny pojawić się aktualizacje na stronach oferujących podatne na błędy oprogramowanie.
Źródło: snort.org