La vulnerabilidad es tan grave que permite, con tan sólo enviar un correo electrónico, controlar la máquina del usuario al que va destinado, y llevar acciones cómo crear ficheros, modificar y borrar datos, leer y enviar información sensible, instalar desde Internet virus o troyanos, formatear el disco duro, etc.
El problema, cómo ya comentamos, se encuentra en el objeto com.ms.activeX.ActiveXComponent, destinado a incluir controles ActiveX en las aplicaciones Java, que permite crear y ejecutar objetos ActiveX incluyendo los que no están marcados como seguros. Por diseño sólo los applets de Java firmados pueden llevar a cabo este tipo de acciones, pero un error de implementación por parte de Microsoft permite que cualquier applet pueda hacerlo.
Los detalles de la vulnerabilidad pueden encontrarse en:
03/10/2000 – Grave vulnerabilidad en Internet Explorer y Outlook
http://www.hispasec.com/unaaldia.asp?id=709
La m quina virtual de Java forma parte de los sistemas operativos Win32 de Microsoft (Windows 95, 98, 98 Segunda Edici¢n, Me, NT y 2000), y se distribuye adem s junto con Internet Explorer. La inmensa mayor¡a de los usuarios de estos sistemas se encuentran afectados, ya que la m quina virtual de Java que se distribuye con las versiones de Internet Explorer 4.x y 5.x es vulnerable.
Las versiones afectadas de la m quina virtual de Java de Microsoft est n comprendidas entre los siguientes rangos:
2000-2446
2752-3194
3229-3240
3300-3317
Para conocer la versi¢n de la m quina virtual de Java que tenemos instalada en nuestro sistema deberemos seguir los siguientes pasos:
1) Abrir una sesi¢n Dos:
-En Windows NT/2000: Inicio -> Ejecutar: teclear «CMD» e Intro
-En Windows 95/08/Me: Inicio -> Ejecutar: teclear «COMMAND» e Intro
2) En la sesi¢n Dos que se abre, teclear «JVIEW» y pulsar Intro
3) En la primera l¡nea de informaci¢n que ofrece esta utilidad se puede la versi¢n de la m quina virtual de Java, en un formato tipo «5.00.xxxx», donde «xxxx» es la versi¢n.
Por ejemplo, si un sistema nos muestra la siguiente informaci¢n:
Cargador de l¡nea de comandos de Microsoft (R) para Java Versi¢n 4.79.2435 Copyright (C) Microsoft Corp 1996-1998. Todos los derechos reservados.
Nuestra versi¢n de la MV de Java la formaran los 4 oltimos d¡gitos, es decir: «2435».
Todos los usuarios afectados deber n actualizarse de inmediato a la versi¢n 3318 que corrige el problema. Los detalles de la actualizaci¢n pueden encontrarse en:
Microsoft Virtual Machine for Internet Explorer 5.5 (Build 3318, released 10/12/00)
http://www.microsoft.com/java/vm/dl_vm40.htm
Actualizaci¢n VM 3318 para Windows 95/98/Me/NT 4.0 (5,4MB)
http://download.microsoft.com/download/javasdk/install/3318/w9xnt4/en-us/msjavx86.exe
Actualizaci¢n VM 3318 para Windows 2000 (HotFix)
http://download.microsoft.com/download/win2000platform/patch/3318/nt5/en-us/q275526_w2k_sp2_x86_en.exe
Segon la informaci¢n facilitada por Microsoft, los usuarios cuya versi¢n de la m quina virtual de Java sea de la serie 2000 tendr n que esperar a una actualizaci¢n espec¡fica que se facilitar en breve.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=717
M s informaci¢n:
03/10/2000 – Grave vulnerabilidad en Internet Explorer y Outlook
http://www.hispasec.com/unaaldia.asp?id=709
Patch Available for «Microsoft VM ActiveX Component» Vulnerability
http://www.microsoft.com/technet/security/bulletin/ms00-075.asp
FAQ Microsoft Security Bulletin (MS00-075)
http://www.microsoft.com/technet/security/bulletin/fq00-075.asp
IE 5.5/Outlook security vulnerability
com.ms.activeX.ActiveXComponent allows executing arbitrary programs
http://www.guninski.com/javaea.html
Bernardo Quintero
bernardo@hispasec.com
