NextFTP, Chocoa y Almail32, clientes de FTP, IRC y Mail para Windows
respectivamente, presentan vulnerabilidades debido a desbordamientos
del buffer. Estas buffers overflows permiten ejecutar comandos en la
máquina de forma remota, lo que puede ofrecer el control total del
sistema a un atacante.
Por lo general, un buffer es considerado una matriz, es decir,
una colección de datos del mismo tipo almacenados en localizaciones
de memoria contiguas. Cuando en el buffer se intenta almacenar más
datos de los que puede contener se produce el overflow o desbordamiento.
Si en el código del programa no se tiene en cuenta esta posibilidad,
los datos extras que no caben en el buffer ocuparán las direcciones
de memoria contiguas, por lo que se sobreescribirán otras variables
distintas que estuvieran ahí almacenadas.
En definitiva, se produce la escritura directa en zonas de memoria
fuera del control del programa, lo que permite, a través de diferentes
técnicas, tomar el control de la máquina. Por ejemplo, en las pilas
se almacenan variables, entre otras, la dirección de memoria a la que
retornar tras la llamada a una subrutina. Un atacante podría alterar
el flujo del programa, y apuntar a una dirección de memoria donde
ejecutar su propio código y comprometer así la seguridad del sistema.
NextFTP v.182 es un cliente shareware de FTP para Windows 95/98/NT de
la firma ToxSoft, que contiene una vulnerabilidad basada en un
desbordamiento al recibir una cadena larga como respuesta a un comando
CWD. El servidor de FTP puede a través de un mensaje preparado provocar
el desbordamiento en el cliente y ejecutar cualquier comando a nivel
del sistema Windows.
El caso del cliente de IRC Chocoa es parecido, en esta ocasión el
desbordamiento se produce en el buffer encargado de procesar el «topic»
de los canales de IRC. El servidor de IRC puede sobreescribir el buffer
y ejecutar código arbitrario en los sistemas Windows 95/98/NT que
utilicen este cliente.
Por último nos encontramos con el cliente de correo AlMail32, que al
igual que los programas anteriores contiene una vulnerabilidad basada
en un buffer overflow. En este caso sucede cuando se recibe en un
correo electrónico una cadena excesivamente larga en los campos FROM:
o TO:. También como en las ocasiones anteriores, esta vulnerabilidad
permite ejecutar cualquier comando en todas las versiones de Windows.
Más información:
Shadow Penguin Security
Deja una respuesta