Vulnerabilidad crítica en ActiveX de IncrediMail

http://www.vsantivirus.com/vul-incr...7-1683.htm

Por Angela Ruiz
angela@videosoft.net.uy

IncrediMail es una aplicación de correo electrónico que
se caracteriza por permitir el uso de múltiples emoticones animados.

Una vulnerabilidad del tipo desbordamiento de búfer en un
control ActiveX utilizado por el programa, puede ser explotada por un
atacante remoto para la ejecución de código con los mismos privilegios del
usuario actual.

El problema se produce específicamente en el objeto
IMMenuShellExt cuando se utiliza el método DoWebMenuAction(). La biblioteca
afectada es ImShExt.dll. El control es utilizado por IncrediMail en
Internet Explorer y otros navegadores, al instalarse en un sistema Windows.

Un usuario malicioso puede crear un documento HTML (una
página Web, un correo con formato HTML o un adjunto), que al ser
visualizado o abierto por el usuario, puede provocar que el navegador de
Internet deje de responder, o que se ejecute un código de forma arbitraria.

No es necesario abrirlo con IncrediMail para que el
exploit funcione.


Sugerencias para minimizar el problema:

No existe una solución oficial para este problema.

Puede ser minimizado si se deshabilita ActiveX en
Internet Explorer, o se aplica el Kill bit al control afectado:
{F8984111-38B6-11D5-8725-0050DA2761C4}

Cada uno de estos procedimientos es válido por si solo,
no necesita aplicarlos todos. Seleccione el más conveniente a su caso.

1. Uso de REGEDIT

Ejecute REGEDIT (Inicio, Ejecutar, escriba REGEDIT y
pulse Enter), y busque la siguiente entrada:

HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Internet Explorer\ActiveX Compatibility
\{F8984111-38B6-11D5-8725-0050DA2761C4}

Agregue el siguiente valor DWORD (400 en hexadecimal):

Compatibility Flags = 400

NOTA: Si no existe la clave
{F8984111-38B6-11D5-8725-0050DA2761C4}, no tiene instalado IncrediMail en
su sistema y no es vulnerable.

2. Uso de un archivo .REG

Descargue el siguiente archivo:

http://www.videosoft.net.uy/incredi...illbit.reg

Haga doble clic sobre él, y luego acepte agregar su
contenido al registro.


Software afectado:

- IncrediMail (todas las versiones)


Referencias:

Vulnerability Note VU#906777
IncrediMail IMMenuShellExt ActiveX control stack buffer
overflow vulnerability
http://www.kb.cert.org/vuls/id/906777


Referencias CVE:

CVE-2007-1683
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1683

CVE (Common Vulnerabilities and Exposures), es la lista
de nombres estandarizados para vulnerabilidades y otras exposiciones de
seguridad que han tomado estado público, la cuál es operada por
cve.mitre.org, corporación patrocinada por el gobierno norteamericano.


Créditos:

Will Dormann (CERT/CC)






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com








Copyright 1996-2007 Video Soft BBS