DeepZone hace público el resultado del análisis realizado sobre Panda Security, el último producto de seguridad de la compañía española Panda Software destinado a la protección de ordenadores personales.
Panda Security implementa en los sistemas Windows 95/98 características de control de acceso, indentificación de usuarios, y permite establecer permisos a los diferentes recursos del sistema. Entre la funcinalidades podemos controlar desde la utilización de dispositivos, hasta la navegación por determinados sitios web, pasando por la posibilidad de cifrar nuetros datos mediante Blowfish.
En el informe de DeepZone, anunciado en las principales listas de seguridad, se describen algunas vulnerabilidades que permiten desinstalar la aplicación y la escalada de privilegios hasta el nivel de administrador. A continuación ofrecemos el anuncio de DeepZone, donde facilita el acceso al informe detallado de las vulnerabilidades y exploits, para finalizar con el comunicado de Panda Software a HispaSec donde anuncia la soluci¢n de estos problemas.
Anuncio de las vulnerabilidades
OVERVIEW
Todas las builds de Panda Security 3.0 por debajo de la 3.0.2.0 presentan numerosas vulnerabilidades. Cualquier usuario con cuenta en el sistema puede aprovecharlas para aumentar sus privilegios en el mismo.
Cualquier usuario puede llegar a ser Administrador en un sistema protegido por Panda Security 3.0
BACKGROUND
Ideas y exploits han sido probadas contra la version espa_ola de Panda Security 3.0 (builds 3.0.0.71/96) siendo exitosas.
Tanto la version espa_ola como la internacional por debajo de la build 3.0.2.0 son vulnerables.
DETAILS
Panda Security 3.0 es vulnerable a «merging» indirecto de llaves en el registro. Un error en algunas releases previas a la 3.0.2.0 permite que cualquier atacante pueda deshabilitar llaves criticas en el sistema pudiendo asi aumentar sus privilegios en el mismo o incluso desinstalar y/o manipular el producto.
Otro bug relacionado con la instalacion/desinstalacion de aplicaciones en el sistema permite que cualquier usuario pueda desinstalar Panda Security 3.0.
Un analisis detallado, asi como los exploits y el rootkit que acompa_an a dicho analisis demuestran las vulnerabilidades del producto.
Analisis detallado, exploits & rootkit pueden ser descargados de http://deepzone.cjb.net
FIXES/PATCHES
Panda Software ha sido contactada hace dos semanas. Su respuesta ha sido inmediata. Tanto los parches como una nueva version arreglando las vulnerabilidades presentes en este documento podran ser descargadas en breve de …
http://www.pandasoftware.es (version espa_ola)
http://www.pandasoftware.com (version internacional)
La lista oficial de builds liberadas hasta el momento proporcionada por Panda Software es la siguiente …
3.0.0.77 Simo 99 => Vulnerable
3.0.0.90 Multimedia Ediciones => Vulnerable
3.0.0.96 Enero 2000 – primer upgrade importante => Vulnerable
3.0.0.97 => Vulnerable
3.0.0.100 => Vulnerable
La version que se espera solucione estos bugs es la _3.0.2.0_
Recomendado actualizarse.
Comunicado emitido por Panda Software
Panda Software informa que ya hab¡a detectado y corregido la vulnerabilidad de las versiones 3.0.0.77, 3.0.0.90, 3.0.0.96, 3.0.0.97 y 3.0.0.100 de Panda Security antes de que DeepZone informara poblicamente de ella.
En la actualidad, la versi¢n 3.0.2.0 -en la que se ha fortalecido la seguridad-, se encuentra en fase de verificaci¢n y, en un corto espacio de tiempo, estar disponible en el mercado. En ese momento, y gracias a la capacidad de actualizaci¢n de todo el software de Panda, los usuarios de Security podr n actualizar, v¡a web, su versi¢n. +sta tambi’n incluye importantes mejoras que facilitar n al administrador la gesti¢n de restricciones de archivos y del registro.
M s informaci¢n:
DeepZone
http://deepzone.cjb.net
Panda Software
http://www.pandasoftware.es
Bernardo Quintero
bernardo@hispasec.com
