El conocido cortafuego ZoneAlarm tiene un fallo que podrÃa utilizarse en un ataque causando una denegación de servicio.
Un cortafuego es una aplicación diseñada para controlar los puertos de comunicación utilizados en el ordenador. Su trabajo es restringir el acceso desde Internet y viceversa, manteniendo la salida y entrada de datos solo de los programas permitidos.
Existen un grupo de rutinas dentro de Windows (APIs) que son utilizadas por las aplicaciones para pedir y ejecutar servicios en forma transparente al usuario. Por su lado, Windows tiene una tabla indice dinámica de asignaciones para dirigir correctamente este tráfico. La misma recibe el nombre de SSDT (System Service Descriptor Table).
Para realizar su trabajo ZoneAlarm se sirve de múltiples funciones de servicios SSDT. De esta manera intercepta las peticiones de los programas cuyo destino son las API de Windows. Una vez interceptadas, son verificados los privilegios de las peticiones recibidas.
Dos de las funciones involucradas son validadas incorrectamente existiendo la posibilidad de que algunos parámetros inconsistentes sean utilizados, por lo que el cortafuego sufrirÃa una denegación de servicio (DoS). El componente vulnerable de la aplicación es VSDATANT.SYS.
De quedar el ordenador sin la protección del cortafuego, sus puertos estarÃan vulnerables a cualquier agente malicioso que busque alguna forma de entrar o infectar el sistema.
Existe una prueba de concepto disponible. No ha sido confirmado pero es probable la ejecución remota de código malicioso. Tampoco se han visto publicados exploits que aprovechen este fallo.
Las versiones afectadas por esta vulnerabilidad son ZoneAlarm 6.5.737.000 y ZoneAlarm 6.1.744.001. No se descarta que anteriores versiones también sean vulnerables.
Se recomienda la actualización a una versión más nueva que no sea afectada. Públicamente la versión 7.0.337.000 es la última.
Temas relacionados
Fuente: Enciclopedia Virus