Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Ejecución remota de código en Windows Desktop (MS02-014)
 
VSantivirus No. 611 - Año 6 - Domingo 10 de marzo de 2002

Ejecución remota de código en Windows Desktop (MS02-014)
http://www.vsantivirus.com/vulms02-014.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


Microsoft reportó una vulnerabilidad del tipo desbordamiento de búfer en el shell del sistema operativo Windows (Windows Desktop). Un usuario remoto puede crear código HTML para explotar esta vulnerabilidad en el sistema de otro usuario, bajo ciertas condiciones, causando que cualquier código arbitrario se pueda ejecutar en la computadora de la víctima.

Existe un búfer no chequeado en el shell de Windows (el entorno gráfico del escritorio), en una de las funciones que ayuda a localizar aplicaciones que no han sido removidas completamente del sistema. Un usuario local puede provocar el desbordamiento de búfer, causando la arbitraria ejecución de cualquier código en el contexto de seguridad del usuario local. Por si mismo, esto no representa un riesgo. Sin embargo, Microsoft indica que bajo "condiciones muy raras", esta vulnerabilidad podría ser explotada desde una página Web.

Si el usuario local ha instalado y luego desinstalado cualquier aplicación que contenga sus propios enlaces URLs, y si la rutina de desinstalación de la aplicación falla en quitarla completamente, la explotación de la falla es posible.

Cuando una aplicación es instalada, el Windows Shell permite a aquella registrar un nuevo tipo de URL personalizado que ayuda a que la aplicación se ejecute. Por ejemplo, Outlook 2000 registra "outlook://" como URL propietario. Si la rutina desinstaladora no borra este URL, el exploit de la falla es posible. Un usuario remoto puede crear una página web HTML, o un mensaje con formato HTML que se aproveche del URL huérfano y sobrescriba el búfer.

La función afectada es aparentemente invocada solamente cuando el Shell localiza un URL personalizado, que ya no tiene una aplicación asociada.

El mayor peligro de esta vulnerabilidad, es cuando se dan las condiciones para que un atacante pueda crear un mensaje con formato HTML o una página Web (por ejemplo), que ejecute cualquier tipo de código en la computadora de la víctima, y con su mismo nivel de seguridad.

Software afectado
  • Microsoft Windows 98
  • Microsoft Windows 98 Segunda Edición
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT 4.0 Terminal Server Edition
  • Microsoft Windows 2000

La vulnerabilidad puede ser explotada en forma remota solamente si el usuario ha instalado y desinstalado algún software que implemente manejadores de URL propietarios, y la rutina de desinstalación falla al querer quitarla totalmente del sistema.

Microsoft ha liberado un parche que corrige esta falla, disponible en los siguientes enlaces:

Para Windows 98 y Windows 98 SE:

http://www.microsoft.com/Downloads/details.aspx?displaylang=
es&FamilyID=72918a2a-dc2c-444c-a20e-f347e13f5b02



Para Windows NT 4.0, Windows 2000:

IMPORTANTE

13/oct/04 - Este parche ha sido sustituido por un nuevo parche acumulativo:

MS04-037 Vulnerabilidad en Shell de Windows (841356)
http://www.vsantivirus.com/vulms04-037.htm



Más información:


http://www.microsoft.com/technet/security/bulletin/MS02-014.mspx




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS