Como este control está marcado como seguro para las secuencias de comandos («safe for scripting»), un atacante podrá explotar esta vulnerabilidad si convence a un usuario para visualizar una página HTML especialmente creada que referencie este control ActiveX. El control ActiveX Microsoft Local Troubleshooter se instala por defecto en los sistemas Windows 2000. También es posible explotar la vulnerabilidad para a través de un e-mail html específicamente creado.
En el peor de los casos, esta vulnerabilidad permitirá a un atacante cargar código malicioso en el sistema del usuario y tras ello ejecutar dicho código, que se ejecutará bajo el contexto de seguridad del usuario.
El riesgo de ataque a través de e-mails html puede reducirse si se encuentra instalada la última actualización para Microsoft Internet Explorer, si se usa Internet Explorer 6 o posterior, o si se usa Microsoft Outlook Email Security Update o Microsoft Outlook Express 6.0, o Microsoft Outlook 2000 en sus configuraciones por defecto
Los parches publicados por Microsoft se encuentran disponibles en:
Para Microsoft Windows 2000 con Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=48D16574-9B17-463B-A5D2-D75BA5128EF9&displaylang=es
Para Microsoft Windows 2000 con Service Pack 3 o Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=FC1FD84B-B3A4-43F5-804B-A2608EC56163&displaylang=es
Antonio Ropero
antonior@hispasec.com
Noticias Hispasec
