Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Outlook Express permite scripts en mensajes de solo texto
 
VSantivirus No. 1116 Año 7, Lunes 28 de julio de 2003

 Outlook Express permite scripts en mensajes de solo texto
http://www.vsantivirus.com/vul-scripts-plaintext.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


La siguiente falla fue revelada este fin de semana en varias listas de seguridad. Sin embargo, en nuestras pruebas, no hemos podido comprobar que la misma amerite algún riesgo importante, al menos en el escenario mostrado.

La vulnerabilidad, consiste en mostrar contenido HTML, aún cuando el mensaje está creado en formato plano (solo texto).

Un mensaje con formato HTML (o texto enriquecido), puede contener scripts embebidos que ejecuten códigos maliciosos.

De todos modos, para que esos scripts se ejecuten, la característica de seguridad que previene la ejecución de secuencias de comandos ActiveX tiene que estar deshabilitada.

Esta opción se encuentra activa por defecto en Outlook Express 6 y debe ser activada en las demás versiones (ver "Navegando más seguros y sin molestos Pop-Ups con el IE", http://www.vsantivirus.com/faq-sitios-confianza.htm).

La falla permite que un mensaje enviado en texto plano pueda contener códigos que se podrían ejecutar al ser abierto el mensaje.

La siguiente prueba de concepto es presentada (corresponde al cabezal o propiedades de un mensaje). Note que la etiqueta "Content-Type: text/plain;" indica que el mensaje que sigue es solo texto:

MIME-Version: 1.0
Content-Type: text/plain;
Content-Transfer-Encoding: 7bit
X-Source: 25.07.03 http://www.malware.com

<img dynsrc=javascript:alert()><font color=red>foo

Si se copia en un archivo y se graba con la extensión .EML y luego se abre con un doble clic, el mensaje muestra el texto "foo" con letras rojas (y si se tienen desactivadas las opciones de seguridad mencionadas antes, se mostraría una ventana de alerta).

Evidentemente es una falla del Outlook (o del Internet Explorer, que es el que abre los archivos HTML).

Sin embargo, hay una limitación en esta falla, que disminuye su peligrosidad. La misma solo funciona con determinada cantidad de caracteres (poco más de 50 en toda la línea, incluidas las etiquetas). Esto deja poco margen para un script malicioso.


Recomendaciones:

Configure las opciones de seguridad del Outlook Express como se menciona aquí:

1. Pinche en el menú "Herramientas" y seleccione "Opciones"

2. Pinche en la lengüeta "Seguridad"

3. En el Outlook Express y Outlook, asegúrese de tener marcada la opción "Zona de sitios restringidos (más segura)" (en el Outlook Express 6 en la zona de protección contra virus). En Outlook 2002 y las versiones más recientes de Outlook Express 6, esta es la configuración por defecto. Los usuarios con versiones anteriores deberán marcarla expresamente.

Los cambios sugeridos arriba, deshabilitan el Active Scripting en el correo electrónico.


Sistemas afectados:

Todas las versiones de Outlook Express 5, 5.01, 5.5 y 6.0 bajo todos los sistemas operativos.


Créditos:

http-equiv <1@malware.com>


Referencias:

http://securityfocus.com/archive/1/330499


Relacionados:

Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS