Tavis Ormandy descubre vulnerabilidades en Sophos Anti-Virus

  • N.º del artículo: 118424
  • Calificación:
  • 1 clientes puntuaron este artículo 6.0 de 6
  • Actualizado: 20 dic 2013

Sophos mejora constantemente la protección de sus productos y recomienda actualizarse a la versión más reciente para disponer de la mejor protección.

Nuestra principal responsabilidad es mantener la seguridad de nuestros clientes. Además de la protección, también trabajamos para mejorar la seguridad de nuestros propios productos, a veces con la ayuda de expertos independientes.

En esta ocasión, Sophos ha colaborado con Tavis Ormandy, quien descubrió unas vulnerabilidades en nuestro producto de protección para estaciones.

Afecta a los siguientes productos de Sophos
Según la vulnerabilidad. Siga leyendo para más información. 

Sophos aboga por la divulgación responsable de vulnerabilidades. Queremos agradecer la ayuda de Tavis Ormandy, y otros como él en la comunidad, por cooperar con nosotros en la seguridad de nuestros productos.  Las vulnerabilidades descubiertas son:

  1. Desbordamiento de enteros al analizar controles de Visual Basic 6
  2. Omisión ASLR en sophos_detoured_x64.dll
  3. Modo protegido de Internet Explorer inhabilitado por Sophos
  4. XSS universal
  5. Corrupción de memoria en el analizador de archivos Microsoft CAB
  6. Corrupción de memoria en el filtro estándar del equipo virtual RAR
  7. Elevación de privilegios mediante el servicio de actualización en red
  8. Desbordamiento del búfer de pila al descifrar archivos PDF

Ormandy también ha proporcionado recientemente archivos manipulados de forma especial que afectan al comportamiento del motor de Sophos Anti-Virus. Una nueva versión del motor de detección, que mejora el comportamiento ante dichos archivos, estará disponible el 28 de noviembre de 2012.

Si utiliza los productos de seguridad de Sophos en el gateway (como PureMessage para UNIX, Sophos UTM o los dispositivos web/email), Sophos Anti-Virus versión 4.83 ya está disponible y corrige las vulnerabilidades descritas a continuación. Para más información, consulte el artículo 118522.

Versiones recomendadas

A continuación se indican las versiones recomendadas de los productos de Sophos.  Estes versiones ofrecen la mejor protección.

Plataforma Producto recomendado
Windows 2000+ 10.2.1 / 10.0.9 / 9.7.8 / 9.5.7
Mac OS X 8.0.8
Linux/UNIX v9 administrado 9.0.0
Linux/UNIX v7 administrado
7.5.11
Linux y UNIX no administrado 4.83.0

†Si dispone de Sophos Anti-Virus para Windows, versión 10.0.9, ya dispone de protección contra todas las vulnerabilidades menos para el modo protegido de Internet Explorer, que se corregirá en Sophos Anti-Virus para Windows, versión 10.0.10, en diciembre.
‡9.x son paquetes en mantenimiento extendido que se distribuirán por fases en diciembre.

Si dispone de un producto de gateway, compruebe la versión del motor de detección:

Plataforma Versión
Sophos Web Appliance 2012.11.8.4830003
Sophos Email Appliance 483000.0.20121108.1256
Sophos UTM 4.83.0
PureMessage para UNIX 4.83.0

No puedo actualizarme a la versión recomendada, ¿qué hago?

Si dispone de estaciones con Windows 2000/XP/2003/Vista/7/2008/2008 R2/8 y no se puede actualizar a la versión recomendada, póngase en contacto con soporte técnico.

¿Cómo me actualizo a la versión recomendada?

Asegúrese de que Sophos Update Manager está suscrito a la versión recomendada, como se describe en el artículo Gestionar las suscripciones de software en Enterprise Console.


Vulnerabilidades

Desbordamiento de enteros al analizar controles de Visual Basic 6
Descripción Vulnerabilidad de ejecución de código remoto en Sophos Anti-Virus al escanear archivos manipulados compilados con Visual Basic 6. Visual Basic 6 permite incluir metadatos en elementos gráficos, nombres, rutas, etc. Sophos Anti-Virus extrae estos metadatos en ejecutables VB6. La validación del código de estos metadatos permite el desbordamiento de enteros, que podría llevar a un ataque de desbordamiento en la pila dinámica.
Productos afectados Motor de detección 3.35.1 y anterior
Corregido en Motor de detección 3.36.2 y
Sophos Anti-Virus para Unix 4.82
Notificación inicial: 10 de septiembre de 2012
Días hasta la corrección: 42
Disponible desde 22 de octubre de 2012
Explotada No


Omisión ASLR en sophos_detoured_x64.dll
Descripción Un problema en la tecnología BOPS en Sophos Anti-Virus para Windows al utilizar la selección aleatoria del diseño del espacio de direcciones (ASLR) en Windows Vista y posterior. La protección BOPS de Sophos requiere que los procesos carguen la DLL Sophos_detoured, 32 ó 64 bits, pero esta DLL no utilizaba ASLR y se cargaba en un dirección estática, por lo que omitía el uso de ASLR e incrementaba la posibilidad de ataque.
Productos afectados Sophos Anti-Virus 9.x (en Windows Vista y posterior)
Sophos Anti-Virus 10.x (en Windows Vista y posterior)
Corregido en Sophos Anti-Virus 10.2.0
Sophos Anti-Virus 10.0.9
Sophos Anti-Virus 9.7.8
Sophos Anti-Virus 9.5.7
Notificación inicial: 10 de septiembre de 2012
Días hasta la corrección: 42
Disponible desde 22 de octubre de 2012
Explotada No


Modo protegido de Internet Explorer inhabilitado por Sophos
Descripción La protección de Sophos interfiere con el modo protegido de Internet Explorer al instalar proveedor de servicios por capas (LSP) que permite cargar archivos DLL desde directorios de escritura. Esto inhabilita el modo protegido de Internet Explorer ya que pemitiría la ejecución de programas manipulados.
Productos afectados Sophos Anti-Virus 10.x
Corregido en Sophos Anti-Virus 10.2.1
Sophos Anti-Virus 10.0.10
Notificación inicial: 10 de septiembre de 2012
Días hasta la corrección: 56
Disponible desde 5 de noviembre de 2012 para 10.2.1
Diciembre para 10.0.10
Explotada No


XSS universal
Descripción La página de bloqueo del proveedor de servicios por capas de la protección web de Sophos incluía un fallo que permitiría un ataque mediante código JavaScript insertado en la dirección de consulta.
Productos afectados Sophos Anti-Virus 10.x
Corregido en Sophos Anti-Virus 10.0.9
Sophos Anti-Virus 10.2.0
Notificación inicial: 10 de septiembre de 2012
Días hasta la corrección: 42
Disponible desde 22 de octubre de 2012
Explotada No


Corrupción de memoria en el analizador de archivos Microsoft CAB
Descripción Un fallo en el motor de detección de Sophos Anti-Virus al manipular archivos CAB podría permitir la corrupción de memoria. El fallo se encontraba en la comprobación del algoritmo de compresión en la estructura CFFolder. Al no tener en cuenta el tamaño de la entrada de datos, se puede provocar un desbordamiento del búfer.
Productos afectados Motor de detección 3.35.1 y anterior
Corregido en Motor de detección 3.36.2
Sophos Anti-Virus para Unix 4.82
Notificación inicial: 10 de septiembre de 2012
Días hasta la corrección: 42
Disponible desde 22 de octubre de 2012
Explotada No


Corrupción de memoria en el filtro estándar del equipo virtual RAR
Descripción Un fallo en el motor de detección de Sophos Anti-Virus al manipular archivos RAR podría permitir la corrupción de memoria. La descompresión RAR incluye un VM de interpretación de código. El código de operación VM_STANDARD toma un filtro como operando. El filtro no se tenía en cuenta adecuadamente.
Productos afectados Motor de detección 3.36.2 y anterior
Corregido en Motor de detección 3.37.2
Motor de detección 3.37.10 (utilizado en Sophos Anti-Virus para Mac OS X 8.08)
Motor de detección 3.37.20 (utilizado en Sophos Anti-Virus para Linux 9)
Sophos Anti-Virus para Unix 4.83
Notificación inicial: 10 de septiembre de 2012
Días hasta la corrección: 56
Disponible desde 5 de noviembre de 2012
Explotada No


Elevación de privilegios mediante el servicio de actualización en red
Descripción La ausencia de un control de acceso al directorio de actualización de Sophos podría permitir la inserción y ejecución de archivos no legítimos. El servicio de actualización de Sophos se ejecuta con privilegio NT AUTHORITY\SYSTEM. Este servicio carga otros módulos en un directorio de escritura sin restricción. Un archivo DLL manipulado en este directorio podría ejecutarse con privilegios SYSTEM.
Productos afectados Sophos Anti-Virus 9.x
Sophos Anti-Virus 10.0.3
Corregido en Sophos Anti-Virus 9.5.6
Sophos Anti-Virus 9.7.7
Sophos Anti-Virus 10.0.4+
Notificación inicial: 5 de marzo de 2012
Días hasta la corrección: 54
Disponible desde 8 de mayo de 2012
Explotada No


Desbordamiento del búfer de pila al descifrar archivos PDF
Descripción Un fallo en el motor de detección de Sophos Anti-Virus al descifrar archivos PDF revisión 3 manipulados podía resultar en la ejecución de código remoto. El motor de detección de Sophos Anti-Virus toma la clave de cifrado en una pila de tamaño fijo de 5 bytes. Un archivo PDF manipulado con un atributo de tamaño mayor de 5^8 causaría un desbordamiento del búfer.
Productos afectados Motor de detección 3.36.2 y anterior
Corregido en Motor de detección 3.37.2
Motor de detección 3.37.10 (utilizado en Sophos Anti-Virus para Mac OS X 8.08)
Motor de detección 3.37.20 (utilizado en Sophos Anti-Virus para Linux 9)
Sophos Anti-Virus para Unix 4.83
Notificación inicial: 5 de octubre de 2012
Días hasta la corrección: 31
Disponible desde 5 de noviembre de 2012
Explotada No


 
Si necesita más ayuda, póngase en contacto con soporte técnico.

Valore el artículo

Muy malo Excelente

Comentarios