zlib es una librería gratuita que permite la compresión de información, desarrollada por Jean-loup Gailly y Mark Adler, y es muy utilizada dado que puede ser aprovechada bajo cualquier plataforma, tanto de software como de hardware. Una de sus más difundidas utilizaciones es para acelerar las transmisiones de información a través de redes, comprimiendo los datos transmitidos a fin de hacerlos más pequeños y disminuir el tiempo que pudiera llevar enviarlos a un destinatario remoto.

La semana pasada publicabamos en estas páginas la información de una vulnerabilidad descubierta en esta librería que podía permitir un ataque de denegación de servicios, e incluso, la ejecución de código arbitrario. En
aquel momento, afirmábamos que el problema afectaba a todas las versiones de Linux, y a muchas de las aplicaciones más utilizadas en el mundo del código libre, como vnc, ssh, freeamp, ethereal, php y muchas más.

La vulnerabilidad propiamente dicha se encuentra en el algoritmo de decompresión, y puede ser aprovechada intentando que una aplicación que utilice la zlib descomprima un bloque de información especialmente manipulado para que la rutina intente liberar memoria nuevamente (más de una vez, por error), pudiendo esto llevar al cese del funcionamiento de la aplicación y a la posibilidad de ejecución de código arbitrario.

Pero ahora, debido a mayores investigaciones del CERT y de los creadores de la librería, se ha descubierto que esta librería es utilizada en muchas más aplicaciones de las que se creía (más de 500), y que no todas son para la plataforma Linux. Entre estas nuevas aplicaciones vulnerables, se encuentran algunas de los más importantes productos de Microsoft, como el Office, Internet Explorer, Windows Messenger, entre otras, e incluso otras no desarrolladas por la empresa de Bill Gates, como el PGP, de Network Associates, uno de los productos de encriptación de información más utilizado.

La cantidad de aplicaciones que utilizan la librería sorprendió a los propios creadores, que en su página han incluído una forma de contactarlos en caso de detectar alguna aplicación que utilice la zlib pero que no esté listada en sus páginas, a fin de alertar a los fabricantes para que actualicen su sistema y liberen un parche corregido a la brevedad posible.

Ya existe una nueva versión de la zlib, la 1.1.4, que corrige este problema, pero la solución no es tán fácil como instalarla y olvidarse del problema. Debido a que muchas implementaciones de esta librería se hacen en forma estática, es necesario que los fabricantes de los productos que la utilicen recompilen estos con la nueva versión y liberen el parche adecuado para corregir el problema totalmente.

Muchos fabricantes ya han liberado parches que implementan la versión corregida de la librería y se recomienda su actualización (en el informe del CERT se lista el estado de la mayoría de los fabricantes respecto de esta vulnerabilidad), pero otros tantos, como Compaq, IBM o Microsoft, aún están investigando el tema, sin tener una fecha fija para la liberación de los parches que corrijan sus productos vulnerables.

Para aquellos que utilizan productos que aún no han sido corregidos, no queda más que armarse de paciencia, y rezar que a ninguna persona se le ocurra alguna forma de comprometer la seguridad de un largo número de sistemas vulnerables antes que los parches sean liberados.

Más información

CERT.org - CA-2002-07 Double Free Bug in zlib Compression Library
http://www.cert.org/advisories/CA-2002-07.html

zlib Home Site
http://www.gzip.org/zlib/

Virus Attack! - Grave falla deja a Linux vulnerable a cualquier ataque
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=169