martes, 19 de enero de 2010

Vulnerabilidad: Interfaz gráfica (GDI+)

Se trata de una vulnerabilidad que afecta a numerosas aplicaciones basadas en la interfaz gráfica de Microsoft Windows, partiendo de los propios sistemas operativos disponibles en el mercado desde la versión XP, hasta herramientas tan cotidianas como el explorador, pasando por herramientas críticas como SQL Server. Ya que con este programa se van a manejar grandes volúmenes de datos, resulta vital responder de forma inmediata para subsanar el fallo, de modo que las bases de datos gestionadas dejen de ser vulnerables lo antes posible. Es por ello que para la mayoría de aplicaciones de Microsoft de cierta importancia se ha catalogado como “Crítica”.

La vulnerabilidad se basa en fallos por desbordamientos de diferentes tipos según cómo hayan sido originados, estando la mayoría asociados al manejo de archivos de imágenes. Así, se distinguen una serie de acciones que pueden dar lugar a una ejecución indeseada: validaciones incorrectas dentro de procedimientos vinculados a la interfaz gráfica cuando se ejecutan archivos de imágenes “.WMF”, en la administración de la pila cuando se abre un archivo “.PNG” con la GDI+ por medio o cuando se calcula el tamaño del buffer para trabajar con una imagen de ese tipo, en la asignación del buffer que se asocia a la lectura de archivos “.TIFF”, cuando se tratan dentro de Office imágenes “.BMP” o en último término en la administración de los búferes al realizar llamadas de la API de .NET y la apertura de archivos de Office que incluyan formatos incorrectos.

Sobre la base de datos que aporta CVE se definen unas cuantas entradas relacionadas según las diferentes variantes vistas antes, que se muestran como “Candidatas”, lo que quiere decir que puede ser modificada más adelante y debe aún revisarse. No obstante, en la base de datos de Microsoft sí se le da la importancia que merece por afectar a un amplio abanico de sus aplicaciones.

La peligrosidad de la vulnerabilidad está estrechamente ligada a los efectos que se tratan en vulnerabilidades de desbordamiento de la pila, ya que de las acciones conflictivas tratadas, algunas tienen relación directa con ese problema y otras a otro tipo de desbordamientos como los de enteros, de múltiples enteros o de buffer en general. Otro de los problemas está vinculado a la incapacidad de algunas de las aplicaciones afectadas de manejar correctamente objetos mal formados, algo que debería revisarse en la labor de desarrollo y es más propio de errores de procedimiento asociados a la comprobación de objetos. De este modo un atacante que se aprovechase de esta vulnerabilidad podría llegar a ejecutar determinado código malicioso en la máquina o sistema atacado, siendo tanto más peligroso cuanto mayores resultasen los permisos de ejecución en el sistema del usuario que desemboca o propicia el ataque. A partir de esa ejecución no deseada podrían realizarse acciones como ver archivos, modificarlos o borrarlos, cambio de permisos o instalación de programas dependiendo de esos permisos de usuario que incluso llegasen a hacer que el atacante tomar el control total del sistema.

Si bien hay que recalcar que es una vulnerabilidad que no afecta solamente a SQL Server, mencionar cómo un sistema con esta aplicación instalada puede encontrarse completamente vulnerable a un ataque que se base en estos problemas de la interfaz, que comprometa determinadas bases de datos desprotegidas. Esta vulnerabilidad no afecta a la última versión de SQL Server pero sí a diferentes ediciones de las versiones 2005 y 2000.

No hay comentarios:

Publicar un comentario en la entrada