VML. ¿Qué es la vulnerabilidad VML?
[Vector Markup Language, (VML) es un lenguaje basado en XML utilizado para dibujar vectores gráficos].
Esta vulnerabilidad es causada por errores al manejar etiquetas VML. VML está implementado en Sistemas Windows. La vulnerabilidad está descrita como del tipo 0-day que puede ser explotada desde Internet Explorer y MS Outlook Express. Es explotable remotamente y permite la ejecución de código en la máquina afectada.
¿Si es una vulnerabilidad de Windows, por qué Internet Explorer y Outlook se ven afectados?
Ambos utilizan la librería vulnerable de Windows -Vgx.dll- y por su parte, Outlook utiliza el componente de renderizado de Internet Explorer para mostrar mensajes HTML.
La vulnerabilidad fue descrita por primera vez el 18 de septiembre en SunbeltBlog
Sistemas Operativos y Navegadores que afecta:
Windows XP (Professional and Home Edition) Service Pack 1 and Service Pack 2
Windows 2000 (Professional and Server) Service Pack 4
Windows 2003 Server
Incluyendo a los Sistemas operativos Windows sin soporte por parte de Microsoft:
Windows 95
Windows 98 and 98SE
Windows Me
Windows NT
Las versiones de Internet Explorer afectadas son:
Internet Explorer 5.01 Service Pack 4
Internet Explorer 6 Service Pack 1
Internet Explorer 6 installed to Windows XP Service Pack 2
Y afecta ÚNICAMENTE a Internet Explorer y aquellos exploradores que utilicen el componente de renderizado de Internet Explorer.
Sitios más propensos a atacar la vulnerabilidad:
La mayoría de los ataques ocurren mediante el uso de E-cards o Postales Electrónicas. En sitios donde se distribuye pornografía y sitios para adultos.
Messagelabs has reported that E-cards are being used as an attack vector, exploiting the VML vulnerability in MS Internet Explorer to download malware. There has been an upswing of web sites hosting the exploit, and of course downloading malware.
SANS ha publicado una lista de sitios que están explotando la vulnerabilidad mediante el uso de varias técnicas.
Solución según Microsoft:
Microsoft Security Advisory (925568):
Microsoft. no se hace responsable por el uso de parches de seguridad de terceros y recomienda esperar hasta el próximo ciclo de parcheo (apróximadamente un mes) en el que ellos liberaran un parche oficial. Mientras, recomiendan:
Customers are encouraged to keep their anti-virus software up to date. Customers can also visit Windows Live OneCare Safety Center and are encouraged to use the Complete Scan option to check for and remove malicious software that take advantage of this vulnerability. We will continue to investigate these public reports.
Solución según ZERT:
ZERT ha publicado un parche para disminuir los potenciales riesgos asociados con la vulnerabilidad. El parche no ha sido ampliamente probado pero es la única herramienta de la que se tiene conocimiento contra la vulnerabilidad.
Mas en: SecurityTeam Blog | Symantec | SunbeltBlog | Sans | Bolsanegra
