Se han publicado los detalles de una vulnerabilidad en MSN Messenger
que puede ser aprovechada por atacantes para ejecutar código
arbitrario en el sistema víctima. El programa, sin duda el más popular
utilizado para la mensajería instantánea, sufre de un fallo muy
parecido al que hace unas semanas se anunció en Yahoo! Messenger, otro
popular cliente de mensajería.
Microsoft MSN Messenger, llamado Live Messenger desde su versión 8.x,
apenas necesita presentación. Es el cliente de mensajería instantánea
más usado desde que Windows XP lo incorporara por defecto en su
instalación y desbancara al no menos popular ICQ, rey de la mensajería
en los primeros años de Internet. El programa no ha sufrido demasiados
problemas de seguridad en su versión 7.x, tampoco su versión 6.x
resultó especialmente problemática.
Sí que ha servido para la propagación de troyanos a través de
ingeniería social (enlaces en la conversación creados automáticamente
y aparentemente originados por algún contacto), también para lo que se
dio en llamar SPIM (SPAM over Instant Messenger) e incluso para el
intento de propagación de adware (winfixer) a través de las pancartas
de publicidad asociada que ofrece el programa.
El fallo publicado se debe a un error en el manejo de conversaciones
de vídeo. Si se envían datos especialmente manipulados, un atacante
podrá provocar un desbordamiento de heap y ejecutar código arbitrario
si la víctima acepta una invitación de cámara web. Este fallo es muy
similar al que se detectó a mediados de agosto en Yahoo! Messenger,
competencia directa de Microsoft en mensajería instantánea.
El fallo se ha encontrado en versiones 7.x y anteriores. La versión
8.1 parece que no se ve afectada por este problema, lo que mitiga en
parte el potencial impacto de la vulnerabilidad al ser la versión
mayoritariamente usada. No existe parche oficial. Se recomienda no
aceptar sesiones de cámara web no solicitadas y actualizar a la última
versión 8.1 desde http://get.live.com/messenger/.
Los usuarios de Windows 2000 lo tienen más complicado. Messenger 8.x
no se instalará en esta versión del sistema operativo, por lo que no
podrán actualizar hasta que aparezca el parche correspondiente. El
descubridor ha hecho público además un exploit para aprovechar el
fallo que dice funcionar para la versión China de Windows 2000, pero
que con algunas modificaciones, conseguiría ejecutar código en otros
idiomas. Microsoft no ha realizado aún comunicado alguno al respecto.
laboratorio@hispasec.com
Más información:
Microsoft MSN Messenger Video Conversation Handling Code Execution Issue
http://www.team509.com/modules.php?name=News&file=article&sid=50
Deja una respuesta