{"id":883,"date":"2014-03-21T11:03:59","date_gmt":"2014-03-21T10:03:59","guid":{"rendered":"http:\/\/www.satinfo.es\/noticies\/?p=883"},"modified":"2014-12-11T16:55:51","modified_gmt":"2014-12-11T15:55:51","slug":"aclaracion-sobre-las-detecciones-realizadas-por-el-modulo-de-desbordamiento-de-memoria-del-parche-4-de-virusscan-enterprise-8-8","status":"publish","type":"post","link":"https:\/\/www.satinfo.es\/noticies\/2014\/aclaracion-sobre-las-detecciones-realizadas-por-el-modulo-de-desbordamiento-de-memoria-del-parche-4-de-virusscan-enterprise-8-8\/","title":{"rendered":"ACLARACI\u00d3N SOBRE LAS DETECCIONES REALIZADAS POR EL M\u00d3DULO DE DESBORDAMIENTO DE MEMORIA DEL PARCHE 4 DE VIRUSSCAN ENTERPRISE 8.8"},"content":{"rendered":"<p align=\"LEFT\"><b style=\"font-size: small; font-family: Arial, sans-serif; color: #800000; line-height: 1.5em;\"><span style=\"text-decoration: underline;\">PROBLEMA<\/span>:<\/b><\/p>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Tras la instalaci\u00f3n del parche 4 de VirusScan Enterprise 8.8 algunos clientes han visto reportados varios eventos de detecci\u00f3n del M\u00f3dulo de Desbordamiento de Memoria (BOP). Estas alertas no se reportaban con versiones anteriores de parche de VirusScan.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><span style=\"color: #000000;\"><span style=\"text-decoration: underline;\">Ejemplo de evento de BOP registrado<\/span><\/span><span style=\"color: #000000;\">:<\/span><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">20\/02\/2014 13:04:19 Bloqueado por la protecci\u00f3n contra desbordamientos de b\u00fafer DOMAIN\\User C:\\Archivos de programa\\Microsoft Office\\Office12\\EXCEL.EXE:<b>NTDLL.KiUserExceptionDispatcher<\/b>::3ba3d58 Desbordamiento de b\u00fafer:de escritura Desbordamiento de b\u00fafer:pila<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><span style=\"color: #000000;\"><span style=\"text-decoration: underline;\">Explicaci\u00f3n de un evento de BOP registrado<\/span><\/span><span style=\"color: #000000;\">:<\/span><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><br \/>\n&lt;fecha&gt; &lt;hora&gt; &lt;Acci\u00f3n realizada por BOP, que puede ser BLOQUEO o AVISO&gt; &lt;Cuenta de usuario&gt; &lt;Ruta del proceso de destino&gt; :<b>NTDLL.KiUserExceptionDispatcher<\/b>::&lt;direcci\u00f3n&gt; &lt;Tipo de desbordamiento de memoria&gt;<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><span style=\"text-decoration: underline;\">Informaci\u00f3n del <\/span><span style=\"text-decoration: underline;\">Dump <\/span><span style=\"text-decoration: underline;\">de un proceso que ha sido bloqueado<\/span>:<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><br \/>\nPRIMARY_PROBLEM_CLASS: SOFTWARE_NX_FAULT<br \/>\nBUGCHECK_STR: APPLICATION_FAULT_SOFTWARE_NX_FAULT<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #800080;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><b><span style=\"font-size: small;\"><span style=\"text-decoration: underline;\">CAUSA<\/span><\/span><span style=\"font-size: small;\">:<\/span><\/b><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><span style=\"color: #000000;\">La funci\u00f3n del M\u00f3dulo de Desbordamiento de Memoria utiliza ahora la funcionalidad <\/span>Data Execution Prevention (DEP) para determinar si se ha producido una violaci\u00f3n por parte de uno de los procesos incluidos en la lista de BOP. Cuando se detecta una violaci\u00f3n, la funci\u00f3n BOP act\u00faa bloqueando el proceso monitorizado o bien informando sobre \u00e9l.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><strong><span style=\"color: #ff0000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><span style=\"text-decoration: underline;\">IMPORTANT<\/span><\/span><\/span><\/span><\/strong><strong><span style=\"color: #ff0000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><span style=\"text-decoration: underline;\">E<\/span><\/span><\/span><\/span><\/strong><strong><span style=\"color: #ff0000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">: <\/span><\/span><\/span><\/strong><strong><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Estas detecciones deber\u00edan considerarse siempre como leg\u00edtimas. Versiones anteriores de<\/span><\/span><\/span><\/strong><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">VSE <\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">no detectaban estas violaciones porque la funcionalidad s\u00f3lo monitorizaba ciertas llamadas al API para un listado limitado de procesos<\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">. <\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Con el parche <\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">4 <\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">el alcance se ha ampliado y ahora <\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><span style=\"text-decoration: underline;\"><b>todas<\/b><\/span><\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"> las APIS del mismo listado limitado de procesos se monitorizan.<\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Es por ello que las detecciones de desbordamiento de memoria pueden ser m\u00e1s recurrentes, especialmente cuando se utilizan aplicaciones que no tienen los \u00faltimos parches disponibles instalados.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #008000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><b><span style=\"text-decoration: underline;\">SOLUCI\u00d3N<\/span>:<\/b><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">McAfee ha verificado que dichas detecciones son leg\u00edtimas; el c\u00f3digo que no se ejecuta apropiadamente intenta hacerlo en la memoria. Las acciones que se deber\u00e1n tomar para estas aplicaciones son:<\/span><\/span><\/span><\/p>\n<ul>\n<li>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Actualizar el software a una versi\u00f3n m\u00e1s actual (recomendado)<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Aplicar cualquier parche disponible al software existente<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\">\n<\/li>\n<\/ul>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Si tiene alguna raz\u00f3n que le haga creer que las detecciones de Desbordamiento de Memoria no son leg\u00edtimas p\u00f3ngase en contacto con McAfee para investigarlo en profundidad.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><br \/>\nNo todas las DLLs de software leg\u00edtimo son compatibles con DEP. En este caso puede seguir los pasos indicados a continuaci\u00f3n.<\/span><\/span><\/span><\/p>\n<p><span style=\"text-decoration: underline;\"><b>Aplica<\/b><\/span><span style=\"text-decoration: underline;\"><b>ciones <\/b><\/span><span style=\"text-decoration: underline;\"><b>incompatible<\/b><\/span><span style=\"text-decoration: underline;\"><b>s<\/b><\/span><span style=\"text-decoration: underline;\"><b>con <\/b><\/span><span style=\"text-decoration: underline;\"><b>DEP <\/b><\/span><span style=\"text-decoration: underline;\"><b>que son detectadas por BOP<\/b><\/span><b>:<\/b><\/p>\n<ul>\n<li>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Microsoft Office 2003 y Office XP (versi\u00f3n 11 o m\u00e1s antiguas, debido a <b>MSO.DLL<\/b>)<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Microsoft Office 2007 (versi\u00f3n 12, debido a <b>EuroTool.xlam<\/b>)<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Explorer.exe (debido a <b>SEPCM.DLL<\/b>,\u00bbSizeExplorer Pro\u00bb)<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\">\n<\/li>\n<\/ul>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><span style=\"color: #800000;\"><b>NOT<\/b><\/span><span style=\"color: #800000;\"><b>A<\/b><\/span><span style=\"color: #800000;\"><b>: <\/b><\/span>Esta lista no abarca todas las librer\u00edas y puede ser ampliada a medida que se detecten nuevas aplicaciones con el mismo problema.<\/span><\/span><\/span><\/p>\n<h3 align=\"LEFT\"><\/h3>\n<h3 align=\"LEFT\"><span style=\"color: #0000ff;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><b><span style=\"text-decoration: underline;\">A<\/span><span style=\"text-decoration: underline;\">LTERNATIVA<\/span>:<\/b><\/span><\/span><\/span><\/h3>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Cambie la configuraci\u00f3n de BOP:<\/span><\/span><\/span><\/p>\n<ul>\n<li>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Use exclusiones.<br \/>\nSi determina que las detecciones de BOP son consistentes del mismo proceso de confianza, puede excluir dicho proceso dentro de la configuraci\u00f3n de BOP. Consulte la Gu\u00eda de Producto de su versi\u00f3n de VirusScan para obtener m\u00e1s informaci\u00f3n.<\/span><\/span><\/span><\/p>\n<p><span style=\"color: #ff0000;\"><b>NOT<\/b><\/span><span style=\"color: #ff0000;\"><b>A<\/b><\/span><span style=\"color: #ff0000;\"><b>: <\/b><\/span>Esta opci\u00f3n est\u00e1 recomendada para entornos en los que el software afectado no pueda ser actualizado. McAfee recomienda que utilice este m\u00e9todo \u00fanicamente hasta que el software afectado haya sido actualizado para dejar as\u00ed de ejecutar c\u00f3digo de forma inapropiada.<\/p>\n<p align=\"LEFT\">\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Deshabilite la funci\u00f3n BOP de VSE localmente o v\u00eda la consola ePO.<br \/>\n<\/span><\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<h3 align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><b>Informaci\u00f3n Relacionada:<\/b><\/span><\/span><\/span><\/h3>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">El m\u00f3dulo de Desbordamiento de Memoria en VirusScan Enterprise es una funci\u00f3n de protecci\u00f3n 0-day que bloquea la ejecuci\u00f3n de c\u00f3digo para evitar ataques de desbordamiento de memoria.<\/span><\/span><\/span><\/p>\n<ul>\n<li>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">La funci\u00f3n <\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">BOP <\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">s\u00f3lo se aplica a sistemas de <\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">32 bit<\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">s<\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">. <\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Puede consultar la lista de procesos protegidos por BOP en el documento <\/span><\/span><\/span><a href=\"https:\/\/kc.mcafee.com\/corporate\/index?page=content&amp;id=KB58007\" target=\"_new\"><span style=\"color: #0000ff;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><span style=\"text-decoration: underline;\">KB58007<\/span><\/span><\/span><\/span><\/a><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">.<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">BOP s\u00f3lo se aplica a unos procesos seleccionados (incluyendo a Microsoft Office).<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #000000;\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\">Puede minimizar el riesgo de deshabilitar la Protecci\u00f3n contra Desbordamiento de memoria asegur\u00e1ndose de que todos los procesos protegidos est\u00e9n en el \u00faltimo nivel de parche disponible.<\/span><\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<p><strong>Mas informaci\u00f3n en:<\/strong><br \/>\n<a href=\"https:\/\/kc.mcafee.com\/corporate\/index?page=content&amp;id=KB81308&amp;actp=null&amp;viewlocale=es_ES\" target=\"_blank\">https:\/\/kc.mcafee.com\/corporate\/index?page=content&amp;id=KB81308&amp;actp=null&amp;viewlocale=es_ES<\/a><\/p>\n<p align=\"LEFT\"><span style=\"font-family: Arial,sans-serif;\"><span style=\"font-size: small;\"><span style=\"color: #0000ff;\"><span style=\"font-size: small;\"><b>SATINFO<\/b><\/span><\/span><span style=\"font-size: small;\"><b>, SERVICIO DE ASISTENCIA T\u00c9CNICA INFORMATICA <\/b><\/span><span style=\"font-size: small;\"><b>21<\/b><\/span><span style=\"font-size: small;\"><b> de <\/b><\/span><span style=\"font-size: small;\"><b>Marzo<\/b><\/span><span style=\"font-size: small;\"><b>de 201<\/b><\/span><span style=\"font-size: small;\"><b>4<\/b><\/span><\/span><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>PROBLEMA: Tras la instalaci\u00f3n del parche 4 de VirusScan Enterprise 8.8 algunos clientes han visto reportados varios eventos de detecci\u00f3n del M\u00f3dulo de Desbordamiento de Memoria (BOP). Estas alertas no se reportaban con versiones anteriores de parche de VirusScan. Ejemplo de evento de BOP registrado: 20\/02\/2014 13:04:19 Bloqueado por la protecci\u00f3n contra desbordamientos de b\u00fafer <a href='https:\/\/www.satinfo.es\/noticies\/2014\/aclaracion-sobre-las-detecciones-realizadas-por-el-modulo-de-desbordamiento-de-memoria-del-parche-4-de-virusscan-enterprise-8-8\/' class='excerpt-more'>[&#8230;]<\/a><\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[517,891,892],"tags":[540,538,539,56,29],"class_list":["post-883","post","type-post","status-publish","format-standard","hentry","category-517","category-otros","category-todos","tag-bloqueado-por-la-proteccion-contra-desbordamientos-de-bufer","tag-desbordamiento-de-memoria","tag-desbordamientos-de-bufer","tag-parche-4","tag-virusscan-enterprise-8-8","category-517-id","category-891-id","category-892-id","post-seq-1","post-parity-odd","meta-position-corners","fix"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/883","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/comments?post=883"}],"version-history":[{"count":0,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/883\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/media?parent=883"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/categories?post=883"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/tags?post=883"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}