El problema se encuentra en el objeto com.ms.activeX.ActiveXComponent, destinado a incluir controles ActiveX en las aplicaciones Java, que permite crear y ejecutar objetos ActiveX incluyendo los que no están marcados como seguros.
Guninski ofrece algunos ejemplos en línea de esta vulnerabilidad en los que consigue escribir un script (EA.HTA) en la carpeta Startup del sistema que visualice su página web con Internet Explorer. Así, la próxima vez que el usuario inicie el sistema, el script se ejecutará de forma automática y llevará a cabo las acciones que incluya en su interior.
En el caso de la demostración el script se limita a mostrar un simple mensaje, pero esta técnica podría utilizarse de forma efectiva para cualquier otra acción, como el borrado de datos, la instalación de puertas traseras, o el robo de información sensible, entre otras.
Guninski ha conseguido también explotar esta vulnerabilidad en Outlook, mediante la utilización de Java consigue burlar las restricciones que instaura el «Security Update» de Microsoft destinado a parar los scripts da_inos en su cliente de correo.
De momento Microsoft no se ha pronunciado al respecto, por lo que la onica soluci¢n pasa por desactivar la ejecuci¢n de scripts (archivos de comandos) o, como recomienda Guninski, llegar al extremo de configurar Internet Explorer para no permitir la ejecuci¢n de cualquier contenido activo.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=709
M s informaci¢n:
IE 5.5/Outlook security vulnerability
com.ms.activeX.ActiveXComponent allows executing arbitrary programs
http://www.guninski.com/javaea.html
Bernardo Quintero
bernardo@hispasec.com
(c) Hispasec, 2000
