Vulnerabilidad en ASN.1 de Windows permite la ejecución de código

Dentro del conjunto de parches de Microsoft se ha anunciado la
existencia de una grave vulnerabilidad de seguridad en la librería
Microsoft ASN.1.

La vulnerabilidad, provocada por un búfer sin comprobar en dicha

librería, puede permitir la realización de ataques de desbordamiento de

búfer.

Abstract Syntax Notation 1 (ASN.1) es un estándar de

datos empleado en múltiples aplicaciones y dispositivos para la

normalización y entendimiento de datos entre diversas plataformas.

Un atacante que logre explotar exitosamente este desbordamiento de búfer podrá

lograr la ejecución de código con privilegios del sistema en los

sistemas afectados. El atacante podrá entonces realizar cualquier acción

en el sistema, instalar programas, visualizar, modificar o eliminar

datos, o crear nuevas cuentas de usuario con plenos privilegios.

Este problema afecta a los sistemas Windows 2000, Windows Server 2003,

Windows XP y Windows NT 4.0. Pero la publicación de estos parches,

también ha estado rodeada de ciertos comentarios dentro del mundo de la

seguridad. Este fallo que ha sido declarado por algunos como

posiblemente el mayor fallo de Windows encontrado.

El problema es

de gran gravedad al permitir la entrada de virus, ataques, etc. por un

agujero en un componente común de los sistemas operativos, de igual

forma que el problema de seguridad empleado por el gusano Blaster el

pasado año.

eEYe, firma que reportó los problemas a

Microsoft, confirma que los problemas se anunciaron a la empresa de

Redmon hace 200 días. Unos seis meses ha tardado Microsoft en publicar

las actualizaciones necesarias para evitar un problema de gran gravedad.

Según Microsoft este tiempo tan elevado se debe a que las respuestas de

seguridad requieren un delicado equilibrio entre velocidad y calidad.

Esta investigación ha requerido la evaluación de múltiples aspectos y

casos de esta funcionalidad para la creación de un parche de gran

calidad.

Sin duda, Microsoft ha contado con el apoyo de la

compañía que descubrió el problema que no notificó en ningún momento un

problema de tal gravedad. Pero si la vulnerabilidad hubiera salido a la

luz, Microsoft se hubiera sentido mucho más presionada para la

publicación de la actualización. Aunque para muchos, siempre quedará la

duda de si problemas de este tipo son explotados de forma anónima por

usuarios o agencias que no divulgan sus descubrimientos.

Actualizaciones publicadas:

Microsoft Windows NT Workstation 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, Microsoft 2000 Windows Service Pack 4

Microsoft Windows XP, Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition, Microsoft Windows XP 64-Bit Edition Service Pack 1

Microsoft Windows XP 64-Bit Edition Versión 2003, Microsoft Windows XP 64-Bit Edition Versión 2003 Service Pack 1

Microsoft Windows Server 2003

Microsoft Windows Server 2003 64-Bit Edition