Sophos

Soporte en línea

Mantenimiento de productos

Soporte técnico

Servicios de soporte

Aviso: vulnerabilidad de archivos comprimidos CAB modificados en productos de Sophos que utilizan el motor de detección de Sophos

En este artículo se describe una vulnerabilidad por la cual los productos de Sophos que utilizan el motor de detección de Sophos Anti-Virus no detectan determinados archivos comprimidos modificados. No se conocen explotaciones de esta vulnerabilidad en el momento de la publicación.

Productos de Sophos afectados y versiones
Sophos Anti-Virus para Windows 2000+ (versión 7.6.7 y anteriores)
Sophos Anti-Virus para Windows NT/95/98 (versión 4.7.22 y anteriores)
Sophos Anti-Virus para OS X (versión 4.9.22/7.01 y anteriores)
Sophos Anti-Virus para UNIX (versiones 7.0.9 y anteriores/4.41.9 y anteriores)
Sophos Anti-Virus para Linux (versión 6.6.2 y anteriores)
Sophos Anti-Virus para Netware (versión 4.41.9 y anteriores)
Sophos Email Appliance (versión 3.1.3.1 y anteriores)
Sophos Web Appliance (versión 2.1.18 y anteriores)
PureMessage para UNIX (versión 5.5.4 y anteriores)

Vulnerabilidad de omisión de archivos comprimidos modificados

Cuando el producto de Sophos los lee, el motor de virus no procesa correctamente los archivos comprimidos CAB modificados y no los escanea totalmente.

El impacto de la vulnerabilidad es diferente si el escaneado se realiza en la puerta de enlace o en las estaciones:

  • Utilizando Sophos Anti-Virus en la estación, el programa malicioso se detectaría al abrirse o extraerse el archivo correspondiente. Es importante tener en cuenta que Sophos puede escribir una detección específica para el propio archivo comprimido si tuviera conocimiento de un aprovechamiento de la vulnerabilidad.
  • Al utilizar los productos de Sophos en la puerta de enlace, el programa malicioso pasaría inadvertido, pero es probable que lo detectara la solución antivirus de la estación.

Qué hacer

Esta vulnerabilidad se ha corregido en las versiones más recientes de los productos afectados. Por ello, los clientes que utilicen las versiones más recientes de Sophos Anti-Virus y PureMessage para Microsoft Exchange habrán recibido estas actualizaciones entre el 20 y el 28 de mayo de 2009. Sophos Web e Email Appliances, y PureMessage para UNIX se actualizaron de forma automática entre el 20 de mayo y el 9 de junio de 2009.

Si no está seguro de si utiliza la versión más reciente del software:

  1. Compruebe qué versión de los productos de Sophos utiliza.

  2. Si no utiliza una de las versiones enumeradas a continuación, actualice el software para contar con la versión 2.87.1 o posterior del motor de virus:

    • Sophos Anti-Virus para Windows 2000+ 7.6.8
    • Sophos Anti-Virus para Windows NT/95/98 4.7.23
    • Sophos Anti-Virus para OS X 4.9.23/7.02
    • Sophos Anti-Virus para Linux 6.6.3
    • Sophos Anti-Virus para UNIX 7.0.10
    • Sophos Anti-Virus para Unix y Netware 4.42.0
    • Sophos Email Appliance 3.1.4.1
    • Sophos Web Appliance 3.0.0
    • Pure Message para Unix 5.5.5

Sophos agradece a Thierry Zoller (G-SEC) el descubrimiento y difusión responsable de esta vulnerabilidad.

Si necesita más ayuda, póngase en contacto con soporte técnico.