Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Outlook Express. El texto sin formato ya no es seguro
 
VSantivirus No. 456 - Año 5 - Domingo 7 de octubre 2001

Outlook Express. El texto sin formato ya no es seguro
Ejecución de scripts en mensajes de solo texto
Por Redacción VSAntivirus

Según un anuncio de Security Focus, existe en el Outlook Express un agujero de seguridad que permitiría la ejecución de scripts en mensajes sin formato alguno (texto plano o texto sin formato, que es lo opuesto a texto HTML o con formato).

Pudieron comprobarse estas acciones en todas las versiones actuales de Outlook Express (5.0, 5.01 y 5.5), e incluso en la 6.0, la más reciente incluida con el Internet Explorer 6.0, y a pesar de tener éste desactivadas por defecto las opciones de scripting.

En cambio, el paquete Outlook disponible con todas las versiones actuales de Office, no es afectado por esta vulnerabilidad.

Los scripts son como "guiones" conteniendo ordenes o comandos capaces de ejecutar diversas acciones (por ejemplo Visual Basic Script o ejecución de controles ActiveX).

Hasta ahora, se pensaba que las vulnerabilidades relacionadas con la ejecución de scripts, afectaban solo al correo con formato HTML o conteniendo enlaces a archivos RTF (Rich Text Format).

La posibilidad de que también un texto en formato plano (sin formato o sea simple TXT) permita ejecutar en forma automática un script (al abrirlo o simplemente al verlo en la vista previa), solo nos puede hacer pensar que la única manera segura de usar nuestra computadora, sea la de no conectarla jamas a Internet.

Sin embargo, antes de dejarnos llevar por el pánico, es bueno saber un par de detalles.

Primero, el tamaño del script capaz de ejecutarse con esta vulnerabilidad es muy pequeño (y debe contener tan solo dos líneas).

La primera línea no debe superar los 30 caracteres entre los corchetes, y la segunda debe tener como máximo, apenas 15. Si el código supera este tamaño, entonces vuelve a ser texto plano, que es lo que se supone debería ser.

Según las pruebas realizadas, modificando el nivel de seguridad del Internet Explorer es suficiente para impedir que algún script pueda ejecutarse en un mensaje sin formato (solo texto) simplemente por visualizarlo en el Outlook Express.

Para cambiar los niveles de seguridad, vaya al Internet Explorer, Herramientas, Opciones de Internet. Seleccione la etiqueta Seguridad y pinche en "Sitios restringidos".

Pinche en "Personalizar nivel", y marque en "Autenticación del usuario", "Inicio de sesión", la opción de "[·] preguntar por el nombre de usuario y la contraseña".

En "Automatización", "Automatización de los subprogramas de Java", "Permitir operaciones de pegado por medio de una secuencia de comandos", y "Secuencias de comandos ActiveX", en todas marque "[·] Desactivar".

En "Controles y complementos de ActiveX", en "Activar la secuencia de comandos de los controles ActiveX marcados como seguros", "Descargar los controles firmados para ActiveX", "Descargar los controles no firmados para ActiveX", "Ejecutar controles y complementos de ActiveX" e "Inicializar y activar la secuencia de comandos de los controles de ActiveX no marcados como seguros", en todos, marque: "[·] Desactivar".

En "Cookies", "Habilitar cookies propios de cada sesión no almacenados" y "Permitir que los cookies se almacenen en el equipo", en todos marcar en todos "[·] Desactivar".

En "Descargas", "Descarga de archivos" y "Descarga de fuentes", marcar "[·] Desactivar".

En "Microsoft VM", "Permisos de Java", marcar "[·] Desactivar Java".

En "Misceláneo", "Arrastrar y colocar o copiar y pegar archivos", "Desplazar submarcos a través de dominios distintos", "Ejecutar programas y archivos en IFRAME", "Enviar formulario de datos no cifrados", "Instalación de componentes del escritorio", "Persistencia de los datos del usuario" y "Tener acceso a origen de datos entre dominios", en todos marcar "[·] Desactivar"

En "Permisos de canal de software", marcar "[·] Seguridad alta".

Pulse en Aplicar, y Aceptar hasta salir de las Opciones de Internet.

Luego de esto, vaya al Outlook Express, Herramientas, Opciones y pinche en "Seguridad".

Tilde la opción "[·] Zona de sitios restringidos (más segura)" y confirme los cambios al salir.

También se recomienda desactivar la ventana de vista previa, desde el Outlook Express, Ver, Diseño, destilde la opción "Mostrar panel de vista previa".

Confirme todos los cambios.

Además de todo lo anterior, por supuesto hoy más que nunca practique las buenas costumbres con el correo electrónico e Internet, como las de no abrir ningún ADJUNTO no solicitado y otras, expresadas en nuestras "Pautas generales para mantenerse alejado de los virus" incluida en todos nuestros boletines.

Más información

VSantivirus No. 366 - Año 5 - Lunes 9 de julio de 2001
Consejos: Outlook y Outlook Express más seguros
http://www.vsantivirus.com/consejos-outlook.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2001 Video Soft BBS