Hace pocos días HispaSec informaba sobre una nueva vulnerabilidad descubierta por Juan Carlos García Cuartango y que podía dar lugar a la ejecución de los archivos adjuntos sin pedir confirmación.
El parche de Microsoft elimina una vulnerabilidad en un componente ActiveX destinado a la instalación de software, más conocido como «Active Setup Component». Como ya informamos anteriormente, la vulnerabilidad podía permitir la creación de un e-mail malicioso, incluso cuando se siguen las normas básicas de seguridad, se puede recibir una acción dañina.
El mencionado control ActiveX permite lanzar y ejecutar archivos CAB, los conocidos ficheros de instalación de Windows. Esto puede permitir a un mensaje html que contenga un archivo CAB malicioso pasar camuflado como si fuera de un formato inofensivo (wav, mid…). Si un usuario intenta abrir el archivo, la operación fallará, pero podrá dejar una copia del fichero en una localización conocida. Por lo que el control ActiveX podrá ser empleado mediante un script incluido en el mensaje y ejecutar la copia y por tanto el c¢digo malicioso.
La vulnerabilidad solo puede ser explotada en aquellos casos en que el lector empleado est’ configuado para permitir scripts en mensajes html y almacene los ficheros temporales en localizaciones conocidas. El parche publicado por Microsoft restringe la posibilidad del control para ejecutar archivos CAB sin firmar que hayan sido descargados desde la m quina local.
M s informaci¢n:
Bolet¡n de seguridad de Microsoft
http://www.microsoft.com/security/bulletins/MS99-048.asp
FAQ sobre el problema
http://www.microsoft.com/security/bulletins/MS99-048faq.asp
Disponibilidad del parche
http://windowsupdate.microsoft.com
http://www.microsoft.com/msdownload
http://www.microsoft.com/msdownload/iebuild/ascontrol/en/ascontrol.htm
Antonio Ropero
antonior@hispasec.com
