Aviso: vulnerabilidad detectada en el archivo comprimido CAB de Sophos Anti-Virus

En este artículo se describe una vulnerabilidad de archivos comprimidos modificados en todos los productos de Sophos Anti-Virus y los productos que utilizan el motor de detección antivirus de Sophos.

No se conocen explotaciones de estas vulnerabilidades en el momento de la publicación.

Vulnerabilidad de archivos comprimidos modificados

Al escanearse, el motor antivirus no procesaba correctamente los archivos comprimidos CAB modificados, por lo que podía producirse un problema de segmentación. Este problema sólo aparece cuando el escaneado de archivos comprimidos CAB está activado. Dicho escaneado está desactivado en la configuración predeterminada de Sophos Anti-Virus.

Si el escaneado de archivos comprimidos está activado, es muy probable que esta vulnerabilidad afecte al escaneado de Sophos Anti-Virus y que se produzca un error, o que se bloquee, según el diseño del producto y la plataforma en la que se ejecuta.

En una aplicación de la puerta de enlace, el bloqueo podría aprovecharse para generar un ataque de denegación de servicio (DoS). Aunque no existen pruebas, también es posible que la vulnerabilidad pueda permitir la ejecución remota de código.

Qué hacer

La vulnerabilidad se ha eliminado en todas las versiones de Sophos Anti-Virus que utilizan el motor antivirus versión 2.82.1 y posteriores. Entre las versiones que cuentan con el motor antivirus 2.82.1 se incluyen:

• Sophos Anti-Virus para Windows 7.6.3
• Sophos Anti-Virus para Windows NT/9x 4.7.18.
• Sophos Anti-Virus para OS X 4.9.18
• Sophos Anti-Virus para Linux 6.4.5
• Sophos Anti-Virus para UNIX 7.0.5
• Sophos Anti-Virus para Unix y Netware 4.37.0

Los clientes que utilizan EM Library y las soluciones de Sophos para PYMES recibieron las actualizaciones de forma automática entre el 16 y el 18 de diciembre de 2008.

1. Compruebe si utiliza la versión más reciente de Sophos Anti-Virus en sus ordenadores.
2. Si es necesario, realice la actualización para asegurarse de que cuenta con el motor antivirus 2.82.1 o posterior.

Si no es posible realizar la actualización, puede desactivar el escaneado de archivos comprimidos CAB para evitar un posible bloqueo, aunque Sophos no lo recomienda, dadas las probabilidades actuales de explotación de la vulnerabilidad. Si decide hacerlo, consulte la documentación del producto para más datos sobre cómo realizarlo.

Sophos reconoce el mérito del Grupo de programación segura de la Universidad de Oulu por descubrir esta vulnerabilidad. http://www.cert.fi/haavoittuvuudet/joint-advisory-archive-formats.html.

Jonathan Brossard, de iViz Security también ha informado sobre esta vulnerabilidad. Sophos no reconoce ninguna otra vulnerabilidad anunciada por iViz Security, pero se ha prestado a trabajar con iViz Security para determinar si existen.