Non è infrequente che, anche in azienda, le postazioni che contano su un sistema hardware di protezione perimetrale alla periferia siano anche protette da un firewall software. Eccesso di zelo o meno, la notizia che molti prodotti Zone Labs (azienda recentemente acquistata da Check Point) siano vulnerabili ad attacchi basati su buffer overflow sembra riguardare da vicino molte aziende.
Le versioni interessate sono ZoneAlarm, ZoneAlarm Plus e ZoneAlarm Pro 4.0.0; ZoneAlarm Pro 4.5.0 e Zone Labs Integrity Client 4.0.0. Le versioni precedenti alla 4.0.0 non sono vulnerabili.
Il problema è stato scoperto dal eEye Digital Security ed è relativo all’analisi delle e-mail (quindi, al protocollo Smtp) in entrata e in uscita.
Quando ZoneAlarm esamina la posta in uscita, nel momento in cui analizza l’indirizzo di destinazione nel messaggio stesso è esposto a un possibile buffer overflow; mediante quest’ultimo, un attaccante può elevare i propri privilegi a System su macchine vulnerabili.
La vulnerabilità è sia locale che remota: in quest’ultimo caso, l’attaccante deve provocare l’invio della e-mail.
L’eseguibile su cui grava il bug è vsmon.exe: specificando un argomento deliberatamente lungo al comando Rcpt to, il componente di vsmon.exe è esposto alla sovrascrittura dei segmenti statici di memoria (stack overflow).
Zone Labs ha rilasciato un aggiornamento pochi giorni dopo essere stata contattata da eEye; la patch si trova all’Url
http:// download.zonelabs.com/bin/free/securityAlert/8.html.
Rispondi quotando
