Se trata de un producto más que hay que sumar a la amplia lista de afectados. El antivirus Avira se ha visto doblemente afectado ya que tanto Avira AntiVir para Microsoft Exchange, como las versiones Avira Smart Business Security Suite y Avira Business Security Suite, se han visto afectadas por este fallo de seguridad en las librerías de Oracle.
Seguro que muchos de vosotros habéis oído hablar o incluso leído por internet acerca de este fallo de seguridad que afecta al convertidor de archivos de Oracle (Oracle’s file converter en inglés). Hoy en RedesZone.net vamos a tratar más a fondo este fallo de seguridad y enseñaros cual es en realidad el riesgo para el equipo y para los programas que utilizan esta librería.
Avira ya se ha encargado de tomar cartas en el asunto y en el caso de su utilidad para Microsoft Exchange ya ha encontrado una solución que «arregla» el problema: pasar a utilizar como base de datos Microsoft Access. Sin embargo, para el resto de productos de la empresa será necesario esperar la llegada de una actualización que solvente el problema.
Sin embargo, ¿qué medidas está tomando Oracle?
¿En qué consiste el fallo de seguridad?
Tal y como hemos indicado con anterioridad, el fallo afecta a la librería que permite convertir archivos en diferentes formatos. Esta librería contiene un agujero de seguridad que en realidad son 14 agujeros de seguridad. Para que lo entendáis, esta librería posee la capacidad de convertir 500 tipos de archivos distintos de los cuales, están afectados 14 tipos de archivos: .VSD, .WSD, .JP2, .DOC, .SXD, .LWP, .PCX, .SXI, .DPT, .PDF, .SAM, .ODG y .CDR. Por lo tanto, todo programa que utilice esta librería sobre este tipo de archivos corre el riesgo de ejecutar un archivo que contenga algún tipo de código malicioso.
Como consecuencia de la ejecución de este código, el atacante puede pasar a controlar el equipo de forma remota o bien seguir ejecutando más código, en este caso, sin tener la necesidad de utilizar la vulnerabilidad de la librería de Oracle.
En definitiva, el número productos software que se han visto afectados por esta vulnerabilidad es grande, incluyendo programas de seguridad de empresas prestigiosas.
¿Qué productos hay afectados y cuál es la solución?
Oracle ya ha puesto a disposición de los usuarios un parche que soluciona los problemas en productos software que hasta el momento habñian sido reportados. El parche de seguridad se puede descargar de AQUÍ.
Entre la lista de productos afectados se encuentran marcas como McAfee, Cisco, IBM o Novel. Estas se encuentran recogidas en una larga lista que podéis consultar en ESTE enlace. A día de hoy, el parche de seguridad emitido por Oracle ha solucionado el problema de la mayoría de ellos, aunque existe constancia de en determinados productos a pesar de la actualización, continúan existiendo problemas.
Fuente | The H Security