|
VSantivirus No. 826 - Año 6 - Viernes 11 de octubre de 2002
Falla en Outlook Express al verificar firma digital
http://www.vsantivirus.com/vulms02-058.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Un nuevo parche liberado por Microsoft, soluciona otra falla importante en la seguridad de Outlook Express.
El error, afecta al popular cliente de correo electrónico proporcionado gratuitamente con todas las versiones actuales de Internet Explorer, y permite a un atacante o bien colgar al programa o incluso llegar a tomar el control de la computadora afectada.
Esta falla no afecta al Outlook, el programa incluido en la suite Microsoft Office, que no es gratuito.
Los usuarios que ya descargaron el Service Pack 1 para Internet Explorer 6 o para Windows XP, también están protegidos.
Quienes tengan versiones anteriores (Internet Explorer 5.5 y 6.0), deberán descargar e instalar este parche.
Las versiones anteriores a la 5.5 no son soportadas.
Para permitir la verificación de la autenticidad de los mensajes, Outlook Express implementa firmas digitales a través de S/MIME.
Un desbordamiento de búfer (el espacio asignado en memoria para depósito temporal durante el intercambio de datos con el programa), que se produce al generarse un mensaje de error específico durante una condición particular al verificarse una firma digital, puede provocar al menos dos efectos indeseados:
1. El Outlook Express puede colgarse, y en algunos casos, colgar a otros programas, incluyendo al propio Windows. La solución es borrar el mensaje problemático.
2. Un mensaje creado en forma maliciosa por un atacante, puede hacer que la falla ejecute cualquier clase de código, incluso un troyano, limitado en su accionar solamente por los niveles de permiso de la víctima destinataria del mensaje.
Versiones vulnerables:
- Outlook Express versión 5.50
- Outlook Express versión 6.0
Versiones inmunes:
- Outlook Express 5.5 SP2
- Outlook Express 6.0 SP1 (incluido en el SP1 de Windows XP)
- Microsoft Outlook
S/MIME (Secure Multipurpose Internet Mail Extensions), nace en 1995 como una iniciativa de RSA Security y varios fabricantes de software con el objetivo de brindar autenticación, y de garantizar la privacidad y la integridad de los datos al intercambiarse estos entre diferentes aplicaciones.
Según las especificaciones RFC 2311 (http://www.ietf.org/rfc/rfc2311.txt?number=2311), un mensaje de error debe ser mostrado cuando el campo "From" (De:), no sigue el estándar predefinido en un mensaje electrónico firmado digitalmente.
Este mensaje de error indica que el remitente no es el mismo que firma digitalmente el mensaje.
Irónicamente, puede provocarse un mensaje falso, generando el desbordamiento de búfer mencionado antes, con las consecuencias explicadas.
La falla se produce al leerse este mensaje, aún si se hace desde el panel de vista previa.
Quienes no hayan descargado las actualizaciones antes mencionadas, deberán descargar y ejecutar el parche desde la siguiente dirección, seleccionando el idioma adecuado ("Spanish" para Windows en español):
http://www.microsoft.com/windows/ie/downloads/critical/q328676/default.asp
Más información:
http://www.microsoft.com/technet/security/bulletin/MS02-058.asp
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|