Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT
La falla permite que un escritor de código malicioso deshabilite el Sistema eTrust 3.0 de CA, lo que debilitaría la defensa contra ataques DoS, dijo Michael Sutton, director de iDefense Labs.
La vulnerabilidad provoca que el sistema de detección de intrusiones falle al verificar si un dato es del tamaño correcto antes de pasar a la funcion CPImportKey de la API Crypto de Microsoft. La funcion CPImportKey de la API Crypto de Microsoft no verifica tampoco los datos una vez que éstos han pasado, dijo Sutton. Como resultado, cualquier dato de tamaño incorrecto generará un problema con la memoria, creando un "buffer overflow".
Sutton alertó que los fabricantes de otras aplicaciones que utilizan la funcion CPImportKey de la API Crypto de Microsoft y cuyos productos no verifican el tamaño del dato antes de pasarla a la API de Microsoft pueden ser afectados por la misma vulnerabilidad.
"Esta vulnerabilidad realmente no es difícil de explotar", dijo Sutton.
Computer Associates, el cual inicialmente notificó de la falla a principios de Diciembre, ha liberado una actualización de la versión 3.0 y 3.0 SP1, la cual incluye una solución para prevenir que la falla sea explotada, dijo un vocero de la compañía, y declinó en hacer mas comentarios.
La vulnerabilidad en eTrust define el último problema de seguridad para CA. El mes pasado, fue descubierto el código del exploit que tomaba ventaja de las fallas en el software de licenciamiento de CA y lanza un ataque DoS.
En este caso particular, la cantidad de tiempo entre el aviso público de la vulnerabilidad y el desarrollo del código para explotar la falla fue de sólamente una semana. Los expertos de seguridad se sorprenden cada vez mas de la velocidad con la cual el código malicioso aparece despues de que la vulnerabilidad ha sido anunciada. Fuente: CNETAsia FZA/
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT