{"id":774,"date":"2006-09-24T12:02:27","date_gmt":"2006-09-24T10:02:27","guid":{"rendered":"http:\/\/www.sahw.com\/wp\/archivos\/2006\/09\/24\/parche-no-oficial-y-workaround-para-la-vulnerabilidad-vml-de-internet-explorer\/"},"modified":"2008-10-20T11:02:13","modified_gmt":"2008-10-20T10:02:13","slug":"parche-no-oficial-y-workaround-para-la-vulnerabilidad-vml-de-internet-explorer","status":"publish","type":"post","link":"https:\/\/www.sahw.com\/wp\/2006\/09\/24\/parche-no-oficial-y-workaround-para-la-vulnerabilidad-vml-de-internet-explorer\/","title":{"rendered":"Parche no oficial y workaround para la vulnerabilidad VML de Internet Explorer"},"content":{"rendered":"<p>El pasado d?a 19 coment? que <a href=\"http:\/\/www.sahw.com\/wp\/archivos\/2006\/09\/19\/alerta-grave-vulnerabilidad-0day-en-microsoft-internet-explorer\/\">Internet Explorer sufr?a una grave vulnerabilidad<\/a>.<\/p>\n<p>Ese d?a coment? que no hab?a remedio, ya que ni exist?a parche, ni exist?a <em>workaround<\/em> conocido para contener la vulnerabilidad. Hoy me he topado con un mensaje de Grohl, de hace un par de d?as, en el que me comenta que los del <a href=\"http:\/\/www.isotf.org\/zert\/\">Zeroday Emergency Response Team (ZERT)<\/a> se han currado un parche para el problema (parche que obviamente no es oficial, el oficial a saber cuando lo pod?is instalar)<\/p>\n<p>No es una noticia fresca fresca, pero seguro que m?s de un lector del blog ni ha parcheado ni ha ejecutado alg?n workaround para este grav?simo problema, con lo que nunca est? de m?s ponerlo. Gracias por la informaci?n, Grohl ;)<\/p>\n<p>El parche es inocuo y fiable, con c?digo fuente disponible para verificarlo de cabo a rabo. <a href=\"http:\/\/isotf.org\/zert\/download.htm\">Se puede descargar aqu?<\/a>. Es un ejemplo que os aconsejo a todos para aprender a inspeccionar c?digo, por su sencillez. Eso s?, para compilarlo os har? falta Visual Studio .NET, ya que es un proyecto Visual C.<\/p>\n<p>Si abr?s el fichero main.h, ver?is una nota comentada en la que se dice que<\/p>\n<blockquote><p>\/\/\/\/\/\/ Patching Steps: \/\/\/\/\/\/<br \/>\n\t\/\/ 1) look for the function we want to patch (using a binary signature).<br \/>\n\t\/\/ 2) patch the vulnerable function, this patch won&#8217;t block the function but rather really fix it.<br \/>\n\t\/\/<\/p><\/blockquote>\n<p>El proceso es sencillo: se hace una b?squeda del c?digo a parchear, ya que el componente vulnerable es una DLL llamada vgx.dll. Para ello define una firma binaria, declarada en <em>unsigned char original_32bits[0x23], unsigned char patched_32bits[88], unsigned char original_64bits[429] y unsigned char patched_64bits[337]<\/em>. Una vez localizada la secuencia a parchear mediante el bucle <em>unsigned char* pos = binStrStr(buf, size, original_32bits, sizeof(original_32bits));<\/em>, se procede al parcheo. El c?digo tiene bastantes subrutinas de manejo de error, pero si todo va bien, finalmente se invocar? <em>return PATCH_SUCCESS;<\/em> y el proceso habr? terminado, eso s?, habiendo pasado de la DLL vulnerable (<em>WCHAR suffix[] = L\u00bb\\\\Microsoft Shared\\\\vgx\\\\vgx.dll\u00bb;<\/em>) a la DLL parcheada (<em>WCHAR newFile[] = L\u00bb\\\\Microsoft Shared\\\\vgx\\\\patchedvgx.dll\u00bb;<\/em>)<\/p>\n<p>Es posible tambi?n aplicar m?todos de mitigaci?n que no requieran parchear. Para ello, echad un ojo <a href=\"http:\/\/blogs.securiteam.com\/index.php\/archives\/624\">a lo que nos cuenta Securiteam<\/a>.  Se trata, a fin de cuentas, de desregistrar esa DLL vulnerable:<\/p>\n<blockquote><p>regsvr32 \/u \u00ab%CommonProgramFiles%\\Microsoft Shared\\VGX\\vgx.dll\u00bb<\/p><\/blockquote>\n<p>De todos modos, creo que lo m?s sensato es no utilizar Internet Explorer. Es un producto demasiado conocido por las redes organizadas de crimeware, y sus deficientes caracter?sticas son una invitaci?n en bandeja de plata para que sea explotado de una manera pr?cticamente continua. Existiendo alternativas mejores y gratu?tas, como Opera o Firefox, no tiene ning?n sentido emplear Internet Explorer.<\/p>\n<p>Saludos y buen domingo :)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El pasado d?a 19 coment? que Internet Explorer sufr?a una grave vulnerabilidad. Ese d?a coment? que no hab?a remedio, ya que ni exist?a parche, ni exist?a workaround conocido para contener la vulnerabilidad. Hoy me he topado con un mensaje de Grohl, de hace un par de d?as, en el que <a href=\"https:\/\/www.sahw.com\/wp\/2006\/09\/24\/parche-no-oficial-y-workaround-para-la-vulnerabilidad-vml-de-internet-explorer\/\" class=\"btn btn-link continue-link\">Leer texto completo<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[17],"tags":[],"class_list":["post-774","post","type-post","status-publish","format-standard","hentry","category-alertas"],"_links":{"self":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/774","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/comments?post=774"}],"version-history":[{"count":0,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/774\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/media?parent=774"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/categories?post=774"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/tags?post=774"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}