[Linuxcantabria] Fw: una-al-dia (02/01/2004) Gravísima vulnerabilidad en el "firmware" de los "drivers" CD-ROM de LG
Víctor Muñoz
v.munoz en wanadoo.es
Dom Ene 4 15:30:10 UTC 2004
Cuidado los que tengáis lectores LG, no instaléis Mandrake 9.2 (no es
broma, leed).
Instalad Debian (esto sí es broma :-)).
Un saludo.
Mensaje reenviado:
Fecha: Sun, 04 Jan 2004 01:20:01 +0200
De: noticias en hispasec.com
A: unaaldia en hispasec.com
Asunto: una-al-dia (02/01/2004) Gravísima vulnerabilidad en el
"firmware" de los "drivers" CD-ROM de LG
>
> -----BEGIN PGP SIGNED MESSAGE-----
>
> -------------------------------------------------------------------
> Hispasec - una-al-día 02/01/2004
> Todos los días una noticia de seguridad www.hispasec.com
> -------------------------------------------------------------------
>
> Gravísima vulnerabilidad en el "firmware" de los "drivers" CD-ROM
> de
> LG----------------------------------------------------------------
> -------
>
> Algunas de las unidades lectoras de CD-ROM del fabricante LG
> contienen un gravísimo error en el "firmware" que permite que
> cualquier software malicioso que se ejecute en el sistema del
> usuario pueda destruir"físicamente" la unidad CD-ROM.
>
> El "firmware" de un dispositivo hardware (en este caso, de una
> unidad de CD-ROM) es el "software" de control que se ejecuta en
> dicho dispositivo. A "grosso modo", un dispositivo hardware moderno
> es un ordenador especializado en miniatura, y su "firmware" es el
> "sistema operativo" específico necesario para realizar su trabajo.
> Hay que distinguir el"firmware", que se ejecuta dentro del propio
> dispositivo, con los"drivers" normales del sistema operativo, que se
> ejecutan en la máquina del usuario.
>
> Los dispositivos LG vulnerables implementan un comando "opcional"
> del estándar ATAPI (el estándar de conexión de discos duros,
> CD-ROMs, controladores DVD, etc.) de forma ilegal, que viola dicho
> estándar, y sustituye el comando legítimo pero opcional del estándar
> por un comando propio, propietario. Dicho comando no documentado e
> "ilegal" según el estándar, es utilizado por LG para ordenar a la
> unidad de CD a que proceda a sobreescribir su "firmware" con una
> nueva versión. Esta operación se realiza completamente por software,
> sin intervención ni conocimiento del usuario.
>
> El efecto neto es que cualquier software malicioso ejecutado por el
> usuario puede utilizar dicho comando para ordenar a la unidad CD que
> borre su firmware, volviéndolo inútil y convirtiendo el dispositivo
> en un caro pisapapeles.
>
> El problema fue descubierto de forma accidental por usuarios de
> dichos dispositivos, cuando intentaron instalar una nueva versión de
> la distribución LINUX "Mandrake 9.2". Dicha instalación hace uso del
> comando tal y como se define en el estándar, funcionando a la
> perfección en cualquier sistema excepto bajo los drivers LG, que
> quedaban inutilizados. Tras unas primeras horas de desconcierto y
> acusaciones cruzadas, quedó claro que el problema real reside en LG
> y no en la distribución Linux de Mandrake, ya que cualquier otro
> software podría haber desencadenado el mismo desastre de "hardware".
>
> Linux Mandrake ha publicado una nueva revisión de la versión 9.2 de
> su distribución Linux, en beneficio de los usuarios con sistemas
> vulnerables. Por su parte LG ha publicado en su web, también, una
> actualización del "firmware" de sus equipos, que soluciona el
> problema.
>
> Personalmente espero que esta vez dicho "firmware" no permita
> inutilizar el dispositivo con una simple orden enviada por cualquier
> virus, troyano, etc. que pudiera introducirse en el equipo.
> Cualquier actualización del "firmware" de un dispositivo (incluyendo
> la BIOS del ordenador, recordemos el caso del virus CIH que borraba
> la flash BIOS de ciertos ordenadores portátiles) debe requerir
> SIEMPRE una acción explícita por parte del usuario.
>
> Opina sobre esta noticia:
> http://www.hispasec.com/unaaldia/1895
>
> Más información:
>
> LG CD-ROMs Destroyed by Mandrake 9.2
> http://slashdot.org/article.pl?sid=03/10/25/1737244
>
> Mandrake Linux 9.2 Installation Notes: LG CD-ROM drives Errata
> http://www.mandrakelinux.com/en/lgerrata.php3
>
> Re: WARNING! Mandrake 9.2 - Hardware problem.
> http://groups.google.com/groups?dq=&hl=en&lr=&ie=UTF-8&threadm=20031025224121.070c56f1.newspost%40xanadu.nagarajan.net&prev=/groups%3Fhl%3Den%26lr%3D%26ie%3DUTF-8%26group%3Dalt.os.linux.mandrake
>
> Mandrake 9.2 may kill LG CD-ROM drives
> http://www.newsforge.com/article.pl?sid=03/10/27/0218209
>
> Fault with Mandrake and LG drives found, fix coming out
> http://www.pclinuxonline.com/modules.php?name=News&file=article&sid=7930
>
> LgCdrom
> http://mandrake.vmlinuz.ca/bin/view/Main/LgCdrom
>
> Mandrake 9.2 estropea unidades ópticas de CD
> http://barrapunto.com/article.pl?sid=03/10/26/1131226
>
> GNU/Linux: Mandrake to Issue New 9.2 ISOs and CDs
> http://news.osdir.com/article302.html
>
> Mandrake 9.2 ISOs Available
> http://slashdot.org/article.pl?sid=03/11/14/190211
>
> LG Electronics Service Online
> http://us.lgservice.com/
>
>
> Jesús Cea Avión
> jcea en hispasec.com
>
>
> Tal día como hoy:
> -----------------
>
> 02/01/2003: Vulnerabilidad DoS en el IOS de Cisco
> http://www.hispasec.com/unaaldia/1530
>
> 02/01/2002: Congresos y seminarios de seguridad informática 2002
> http://www.hispasec.com/unaaldia/1165
>
> 02/01/2001: Análisis de la distribución de actualizaciones de
> seguridad
> http://www.hispasec.com/unaaldia/800
>
> 02/01/2000: Efecto 2000: éxito sin precedentes y verdades a medias
> http://www.hispasec.com/unaaldia/432
>
> 02/01/1999: Nueva beta de los parches para Windows 98
> http://www.hispasec.com/unaaldia/67
>
>
> -------------------------------------------------------------------
> Claves PGP en http://www.hispasec.com/directorio/contacto
> -------------------------------------------------------------------
> Bajas: mailto:unaaldia-request en hispasec.com?subject=unsubscribe
> Altas: mailto:unaaldia-request en hispasec.com?subject=subscribe
> -------------------------------------------------------------------
> (c) 2004 Hispasec http://www.hispasec.com/copyright
> -------------------------------------------------------------------
>
>
> -----BEGIN PGP SIGNATURE-----
> Version: PGP 6.5.8
>
> iQEVAwUBP/cx+Wm0B3NuQ/7BAQEqKQf/SZb+XgyPNZas09Roug1vdv3ErXOoFT/3
> dZCtIIs0lQWIre5DowF/et4vc5qi2YZ+lpnvejCSyqqiGC255knEy+vbrfPsHtpf
> 3Sm6GfUq0hYSlvBrIB5HGkOFH1q7xLdZFLNGFONI1GQncrCLSHOpHJaN68iUa2Kx
> tYu3tIWpvatMMdFN6ldYNHf8zSC402znlvB86kqK1Qj2Ny/Wh5WtaueGCRdTLSey
> U/WGWzR6BcJSaI/yrC/M9LhLxy7nvT3GBVxb1mHm1WGlGb4O66pITXxebc707QTj
> T38L/LzA4ZS5BmVNSz9RmKlHX5YiM9SFRrnuIyLPUC8GnIMghaaIGg==
> =KhuX
> -----END PGP SIGNATURE-----
--
-oo0-(.)-(.)-0oo---------------------------------------------------
v
Víctor Muñoz, a.k.a. victorm
_
(O)> Linux Registered User #230.189.
//\
V_/_ Debian GNU/Linux Sid.
GPG key ID: 50483643 FP: E31D 1AC3 0458 D44E AFEE
D288 6CCC AFFB 5048 3643
< v.munoz en wanadoo.es > < http://socios.linuca.org/victorm >
___________________________________________________________________
FORTUNE DISCUSSES THE DIFFERENCES BETWEEN MEN AND WOMEN: #14
Low Blows:
Let's say a man and woman are watching a boxing match on TV. One
of the boxers is felled by a low blow. The woman says "Oh, gee. That
must
hurt." The man doubles over and actually FEELS the pain.
Dressing Up:
A woman will dress up to go shopping, water the plants, empty the
garbage, answer the phone, read a book, get the mail. A man will
dress up
for: weddings, funerals. Speaking of weddings, when reminiscing about
weddings, women talk about "the ceremony". Men laugh about "the
bachelor
party".
David Letterman:
Men think David Letterman is the funniest man on the face of the
Earth. Women think he is a mean, semi-dorky guy who always has a bad
haircut.
More information about the Linuxcantabria
mailing list