Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Riesgo de ataque a través del MSN Messenger (ActiveX)
 
VSantivirus No. 671 - Año 6 - Jueves 9 de mayo de 2002

 Riesgo de ataque a través del MSN Messenger (ActiveX)
http://www.vsantivirus.com/vulms02-022.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Una vulnerabilidad en MSN Messenger, el popular programa de mensajería de Microsoft, y una de las competencias directas del también popular ICQ, puede hacer que un usuario malicioso ejecute cualquier código en una computadora remota, a través del cliente del Messenger.

La falla, que consiste en un clásico desbordamiento de búfer, se encuentra en un control de ActiveX que habilita el uso del llamado MSN Chat control, la opción que permite chatear con otros usuarios del Messenger.

Este control, normalmente está disponible para su descarga en los sitios de MSN, pero es incluido por defecto en las versiones 4.5 y superiores.

El ataque de desbordamiento de búfer, puede ser provocado en forma maliciosa, a los efectos de lograr ejecutar cualquier código en la máquina atacada, con el consiguiente riesgo de virus, troyanos, o simples cuelgues de Windows.

La explotación de la falla puede hacerse a través de una página HTML o de un mensaje de correo electrónico con formato HTML.

Sin embargo, Internet Explorer y Outlook Explorer 6.0, si se instalan con su configuración de seguridad por defecto, pueden proporcionar una barrera a este tipo de ataque.

Un ataque exitoso requiere tener instalado el MSN Chat control, MSN Messenger, o Exchange Instant Messenger, en sus versiones vulnerables.

El MSN Chat control no se instala por defecto con ninguna versión de Windows o del Internet Explorer. En cambio, lo trae la versión 4.5 o superior del Messenger, si éste se descarga desde el sitio de Microsoft como una instalación independiente.

Un ataque de este tipo, a través del correo con formato HTML, también puede ser bloqueado si se utiliza Outlook 98 y Outlook 2000 con la actualización de seguridad "Email Security Update". El Outlook 2002, y el Outlook Express no son vulnerables, debido a que estos productos abren el correo HTML en la zona de seguridad restringida por defecto. 

Están afectados por el problema, los usuarios que tengan alguno de estos productos instalados, sin ninguno de los parches mencionados:
  • Microsoft MSN Chat Control
  • Microsoft MSN Messenger 4.5 y 4.6 (incluyen el MSN Chat control por defecto).

Descargas de las actualizaciones y más información en:
http://www.microsoft.com/technet/security/bulletin/MS02-022.asp



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS