sábado, 6 de octubre de 2007

Grave problema de URI afecta a Acrobat Reader en XP

Traducción exclusiva de Segu-Info del documento original de Heise Security

Después de ser notificados por Heise Security, Skype arregó un problema de seguridad en el manejo de URLs especiales liberando la versión 3.5.0.239. Otros programas como el Acrobat Reader, de Adobe, el browser Netscape, y el Miranda Mesenger todavía inician programas arbitrarios cuando se hace clic en URLs que contiene el carácter '%'. De esta forma, se da permiso para instalar spyware en el sistema del usuario. Los desarrolladores de Mozilla han remediado, por lo menos temporalmente, un problema similar en Firefox.

El equipo de Mozilla categorizó la vulnerabilidad como crítica, publicando un anuncio de seguridad dedicado al respecto, y han provisto a los usuarios de un parche vía actualización del browser. En contraste, Skype publicó apenas una actualización de poca importancia y mencionó "el bugfix: links con % ejecutaron codificaciones inválidas" en las notas de descarga que los usuarios normales nunca verán. Se aconseja por lo tanto a los usuarios de Skype, que instalen la última versión por su propia cuenta. El procedimiento es bastante simple: solo pulse el botón "Help/Check for updates".

Uno podría gastar todo el día debatiendo si Skype es el responsable final del problema o si Windows lo es. Jüri Shamov-Liiver, director de seguridad para Skype, declaró en una discusión con Heise Security: "Es básicamente una falla de Windows". Él sostiene que Skype solamente para la URL al sistema operativo. Y no se puede negar que Microsoft cambió el manejo de URLs con la instalación de Internet Explorer 7 para Windows XP. Como resultado, los links especiales que contienen el carácter % pueden causar que se ejecuten programas arbitrarios.

Mientras Skype y Firefox han agregado filtros adicionales para remediar el problema, no se ha hecho de una vez y para siempre. Teóricamente, cualquier aplicación no hecha por Microsoft que envíe las solicitudes de URLs a Windows puede ser vulnerable porque no tendrá en cuenta los cambios al instalar IE7. De hecho un reducido estudio dirigido por Heise Seguridad ha encontrado que, por ejemplo, el Acrobat Reader de Adobe, podría explotarse prácticamente como una forma de inyectar elementos contaminados: manipulamos para abrir la calculadora pulsando en un link especialmente creado en un archivo PDF. Además, el actual browser de Netscape y la reciente versión 0.7 Miranda Instant Messenger también demostraron ser vulnerables - y la lista probablemente podría extenderse.


Hasta el momento, Microsoft no ve ninguna razón para reaccionar. Después de avisar al equipo de seguridad de Microsoft sobre este problema, recibimos la siguiente contestación:

"Luego de su completa investigación, Microsoft ha concluído que ésta no es una vulnerabilidad en un producto de Microsoft."
En otras palabras, un número grande de usuarios de Windows XP afectados por un serio problema de seguridad (que sólo ocurre si se instala Internet Explorer 7 y no está en absoluto presente en Vista) no es suficiente justificación para lanzar una actualización. Microsoft prefiere sentarse y mirar mientras los usuarios y diseñadores se esfuerzan por securizar sistemas sobre Windows XP que se comportaban perfectamente antes de que se instale el IE7.

Actualización 1:
El problema no se restringe al mailto:-URLs. De hecho, incluso entrando
http:%xx.. /.. /.. /.. /.. /.. /.. /.. /.. /.. /.. /windows/system32/calc.exe" .bat
bajo "Start/Run" carga la calculadora. Y según un informe publicado en la lista de correos de seguridad Bugtraq, el IRC, cliente mIRC, también es afectado.

Actualización 2:
Es posible especificar "Open a web link" para ejecutar cuando un PDF es abierto en un visor. Esto significa que es suficiente abrir un PDF dañino en Acrobat Reader para ejecutar programas arbitrariamente e infectar el sistema con malware. Un PDF de demostración construido por heise Security lanza una calculadora sin interacción del usuario.
Este problema de seguridad crítico, probablemente es el mismo detectado y descripto por Petko Petkov.

Vea también (en inglés):
- Skype todavía affectado por supuesta "vulnerabilidad de firefox, por Heise Seguridad.
- Nueva versión de Firefox con corrección a vulnerabilidad URI, por Heise Seguridad.