Trillian 3.1.7.0 resuelve vulnerabilidad crítica

Compartir

Hace unos días, informábamos de una alerta del US-CERT (United States Computer Emergency Readiness Team), sobre la existencia pública del código de un exploit para una vulnerabilidad que utiliza el Microsoft Internet Explorer para enviar entradas maliciosas al cliente de mensajería instantánea Trillian.

Hoy, se han publicado más detalles del problema, el cuál está centrado en este caso en un desbordamiento de búfer en el cliente de mensajería instantánea.

El problema se produce por un error de Trillian en manejar determinados URIs.

Un URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, [email protected], etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.).

Trillian es un popular programa que unifica en una sola aplicación, el acceso a diferentes sistemas de mensajería instantánea, como MSN Messenger, ICQ, Yahoo! Messenger, AOL Instant Messenger (AIM), e IRC.

Cuando Trillian se instala, registra para si mismo el protocolo utilizado por AOL Instant Messenger (aim. Esto permite que un navegador pueda pasar un URI relacionado con este manejador, a Trillian.

Dicho de otra manera, si en Internet Explorer se invoca algo como "aim://xxxxx", esta secuencia de comandos sería enviada al Trillian, para que el programa la interprete.

Debido a la vulnerabilidad mencionada, un atacante puede utilizar un URI malformado, para iniciar un ataque que podría llevar a la ejecución arbitraria de código. Para ello, debe convencer al usuario a hacer clic en un enlace malicioso.

Algunos navegadores, pueden mostrar una ventana de diálogo cuando un URI es manejado por otro programa, y no por el propio navegador. Ello no ocurre en este caso.

La explotación exitosa de esta vulnerabilidad, puede llevar a la ejecución remota de código, con los mismos privilegios del usuario actual.

La solución más sencilla es actualizarse a la versión 3.1.7.0 de Trillian que resuelve el problema. Deshabilitar el manejo del protocolo AIM mediante el borrado de la subclave AIM en la clave "HKEY_CLASSES_ROOT\AIM\" del registro de Windows, no es una acción recomendable, ya que por defecto, Trillian volverá a recrear esa clave cada vez que se ejecute (para que ello no ocurra, habría que modificar los permisos de acceso a dicha sección del registro).


Descarga de Trillian 3.1.7.0:

http://www.ceruleanstudios.com/downloads/


Referencias:

Vulnerability Note VU#786920: Trillian Instant Messenger
client fails to properly handle malformed URIs
http://www.kb.cert.org/vuls/id/786920

Trillian Blogs (Trillian 3.1.7.0)
http://blog.ceruleanstudios.com/?p=170

Cross Application Scripting Demo / URI Vulnerabilities Demo (Trillian 0-day)
http://www.xs-sniper.com/nmcfeters/C...ripting-2.html

Trillian "aim://" URI Handler Two Vulnerabilities
http://secunia.com/advisories/26086/

Fuente: VSANTIVIRUS
Compartir
  #1  
Creado: 07-Aug-2007, a las 23:32 Vistas: 578
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)