NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

VirusScan Enterprise 8.0i y la protección contra desbordamiento de búfer

 

Una de las características destacadas de la última versión de VirusScan Enterprise 8.0i es la Protección contra desbordamientos de búfer.

¿Qué es un desbordamiento de búfer?
Provocar el desbordamiento del búfer es una técnica de ataque que consiste en aprovechar un defecto de diseño de una aplicación o proceso para obligarle a ejecutar un código en el equipo. Las aplicaciones utilizan tipos de búfer de tamaño fijo que guardan los datos. Si un intruso envía demasiados datos o códigos a un búfer, éste se desborda. En ese momento el equipo ejecuta el código que provocó el desbordamiento como si se tratase de un programa. Dado que la ejecución del código tiene lugar en el contenido de seguridad de la aplicación, para el que normalmente se requiere nivel de gestor o gozar de privilegios, los intrusos consiguen acceder y ejecutar comandos a los que generalmente no tienen acceso. Un intruso puede utilizar esta vulnerabilidad para ejecutar códigos piratas personalizados en el equipo y poner en peligro la seguridad e integridad de datos.

¿Cómo evita VirusScan Enterprise un desbordamiento de búfer?
La protección contra el desbordamiento de búfer impide que los desbordamientos explotados ejecuten de forma arbitraria un código en el equipo. Controla las llamadas de modo usuario de api y reconoce cuando son el resultado de un desbordamiento del búfer.

VirusScan Enterprise protege aproximadamente 20 aplicaciones, incluyendo Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word y MSN Messenger. Estas aplicaciones están definidas en un archivo dat separado de Definiciones de protección contra desbordamiento del búfer. El número de la versión del archivo dat puede consultarse en el cuadro de diálogo Acerca de al que se accede desde el menú Ayuda, y en el registro de actividades. Este archivo dat puede actualizarse mediante una tarea de AutoUpdate.

Esta nueva característica de VirusScan permite proteger las aplicaciones indicadas frente a futuros ataques de desbordamiento de búfer derivados de nuevas vulnerabilidades, aunque todavía no existan parches disponibles para corregirlas.

Un ejemplo de esto último es la reciente vulnerabilidad Microsoft Internet Explorer IFRAME buffer overflow, que afecta a Internet Explorer, y para la cual hasta hoy no se ha publicado el parche. El virus w32/Mydoom.ah@MM intenta explotar esta vulnerabilidad. VirusScan Enterprise 8.0i detectaría y bloquearía el intento de desbordamento de búfer, detectándolo como
Exploit-IframeBO!shellcode.

SATINFO, VIRUSCAN SPAIN SERVICE 02 de Diciembre de 2004

Anterior