Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Malware / Desbordamiento de búffer en ClamAV por error en tratamiento de archivos UPX

Desbordamiento de búffer en ClamAV por error en tratamiento de archivos UPX

Por Leave a Comment

Se ha descubierto una vulnerabilidad en Clam Antivirus que puede ser explotada por atacantes remotos para provocar denegaciones de servicio o incluso el compromiso de sistemas afectados.

La vulnerabilidad, descubierta por el investigador Damian Put, se debe a un problema en el tratamiento de archivos ejecutables PE empaquetados con UPX.

Clam AntiVirus es un motor antivirus gratuito y de código abierto. Mayormente utilizada en entornos UNIX, fue diseñada para su uso integrado con servidores de correo, analizando los mensajes que éstos procesan, incluyendo los adjuntos que éstos puedan llevar consigo.

El formato PE (Portable Executable) es el nativo de las plataformas Windows para ejecutables y DLLs. Básicamente, se trata de una estructura de datos que encapsula la información necesaria para que las distintas versiones de Windows puedan ejecutar el código propiamente dicho.

UPX (Ultimate Packer for eXecutables) es un empaquetador de ejecutables Open Source que soporta una buena cantidad de formatos de archivo. Si bien su funcionalidad es neutra, suele ser bastante frecuente encontrar malware empaquetado con diversas versiones de esta potente herramienta.

La vulnerabilidad en sí se debe a un error en la función ‘pefromupx()’, localizado en el archivo fuente ‘libclamav/upx.c’. Esta función es la encargada de extraer el archivo Win32 PE del original empaquetado con UPX. Un error de comprobación de tamaños de variable utilizadas durante este proceso puede ser explotado – mediante la construcción de un archivo UPX especialmente formado a tal efecto – para provocar un desbordamiento de búffer basado en heap. Este desbordamiento puede llevar a una condición de denegación de servicio (cese de la ejecución del servicio en sí) o incluso a la ejecución de código arbitrario en el sistema afectado.

La vulnerabilidad, que fué detectada en las versiones 0.88.2 y 0.88.3, ha sido solventada en la 0.88.4, disponible para su descarga en la siguiente dirección:
http://www.clamav.net/stable.php#pagestart

Julio Canto
jcanto@hispasec.com

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.