SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
VirusScan Enterprise 8.0i y la protección contra desbordamiento de búfer
Una de las características destacadas de la última versión de VirusScan Enterprise 8.0i es la Protección contra desbordamientos de búfer.
¿Qué es un desbordamiento de búfer?
Provocar el desbordamiento del búfer es una técnica de ataque que consiste en aprovechar
un defecto de diseño de una aplicación o proceso para obligarle a ejecutar un código en
el equipo. Las aplicaciones utilizan tipos de búfer de tamaño fijo que guardan los
datos. Si un intruso envía demasiados datos o códigos a un búfer, éste se desborda. En
ese momento el equipo ejecuta el código que provocó el desbordamiento como si se tratase
de un programa. Dado que la ejecución del código tiene lugar en el contenido de
seguridad de la aplicación, para el que normalmente se requiere nivel de gestor o gozar
de privilegios, los intrusos consiguen acceder y ejecutar comandos a los que generalmente
no tienen acceso. Un intruso puede utilizar esta vulnerabilidad para ejecutar códigos
piratas personalizados en el equipo y poner en peligro la seguridad e integridad de datos.
¿Cómo evita VirusScan Enterprise un desbordamiento de búfer?
La protección contra el desbordamiento de búfer impide que los desbordamientos
explotados ejecuten de forma arbitraria un código en el equipo. Controla las llamadas de
modo usuario de api y reconoce cuando son el resultado de un desbordamiento del búfer.
VirusScan Enterprise protege aproximadamente 20 aplicaciones, incluyendo Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word y MSN Messenger. Estas aplicaciones están definidas en un archivo dat separado de Definiciones de protección contra desbordamiento del búfer. El número de la versión del archivo dat puede consultarse en el cuadro de diálogo Acerca de al que se accede desde el menú Ayuda, y en el registro de actividades. Este archivo dat puede actualizarse mediante una tarea de AutoUpdate.
Esta nueva característica de VirusScan permite proteger las aplicaciones indicadas frente a futuros ataques de desbordamiento de búfer derivados de nuevas vulnerabilidades, aunque todavía no existan parches disponibles para corregirlas.
Un ejemplo de esto último es la reciente
vulnerabilidad Microsoft
Internet Explorer IFRAME buffer overflow, que afecta a
Internet Explorer, y para la cual hasta hoy no se ha publicado el parche. El virus
w32/Mydoom.ah@MM intenta explotar esta vulnerabilidad. VirusScan Enterprise 8.0i
detectaría y bloquearía el intento de desbordamento de búfer, detectándolo como
Exploit-IframeBO!shellcode.
SATINFO, VIRUSCAN SPAIN SERVICE 02 de Diciembre de 2004
