|
VSantivirus No. 1021, Año 7, Jueves 24 de abril de 2003
Vulnerabilidad en manipulador MHTML de Outlook Express
http://www.vsantivirus.com/vulms03-014.htm
Boletín: MS03-014
Fecha: 23/abr/03
Título: Vulnerabilidad en MHTML Handler de Outlook Express
Plataforma: Windows 9x, Me, XP, NT, 2000
Productos: Microsoft Outlook Express 5.5 y 6.0
Impacto: Ejecución remota de archivos
Riesgo: Crítico
Referencia: Microsoft Security Bulletin MS03-014
Identificación en base de datos: 330994
Este parche soluciona una vieja falla en el Outlook Express, por medio de la cual un intruso puede ejecutar un archivo en un sistema remoto.
La vulnerabilidad es causada por un error en el manejador MHTML, que permite procesar cualquier archivo, incluido texto, como si fuera un HTML. De este modo es posible incluir un script en el archivo, y ejecutarlo en la zona local (Mi PC), con menores restricciones de seguridad.
Un usuario malicioso puede hacer esto en una página o mail con formato, e incluirlo como un archivo en base 64 (Content-Transfer-Encoding), el cuál se puede ejecutar mediante la inclusión de un parámetro 'mhtml' en el URL que apunte al archivo, comprometiendo la seguridad y los datos del usuario. Ejemplo: open("mhtml:file://[archivo]").
MHTML (MIME Encapsulation of Aggregate HTML), es un estándar que define la estructura MIME usada para el envío de contenido HTML en los mensajes de correo electrónico. MIME (Multipurpose Internet Mail Extensions), es a su vez, un protocolo que especifica la codificación y formato de los contenidos de los mensajes.
El manejador MHTML (MHTML URL Handler) en Windows, es parte del Outlook Express y proporciona un tipo de URL (mhtml:) que permite que los documentos MHTML sean abiertos desde la línea de comandos, desde el Internet Explorer, desde el menú Inicio (Ejecutar) o usando el explorador de Windows.
La ejecución vía Web también es posible, debido a que el Internet Explorer utiliza el mismo manejador.
La consecuencia de un ataque exitoso, es la ejecución de un archivo ejecutable en la máquina del usuario.
La falla no se puede explotar si el usuario visualiza un mensaje modificado desde el Outlook Express 6 u Outlook 2002 con sus configuraciones por defecto, o si se utiliza Outlook 98 u Outlook 2000 con el parche de seguridad "Outlook Email Security Update".
La solución es aplicar el parche en forma manual o desde Windows Update.
Parches:
13/abr/04 - Han sido suplantados por los de la actualización MS04-013. Ver:
MS04-013 Parche acumulativo para Outlook Express (837009)
http://www.vsantivirus.com/vulms04-013.htm
Para aplicar el parche se requiere tener instaladas previamente las siguientes versiones de Outlook Express:
Outlook Express 5.5 Service Pack 2 (con Internet Explorer 5.5 Service Pack 2 en Windows 98 SE, Windows Millenium, Windows NT 4.0 Service Pack 6a, Windows 2000 Service Pack 2 y Windows 2000 Service Pack 3).
Outlook Express 6.0 (con Windows XP Gold)
Outlook Express 6.0 Service Pack 1 (con Internet Explorer 6.0 Service Pack 1 en Windows 98 SE, Windows Millenium, Windows NT 4.0 Service Pack 6a, Windows 2000 Service Pack 2, Windows 2000 Service Pack 3, y Windows XP Service Pack 1)
Para saber la versión del OE instalada, diríjase al menú Ayuda, Acerca de Microsoft Outlook Express.
Más información:
http://www.microsoft.com/technet/security/bulletin/ms03-014.asp
http://support.microsoft.com/?kbid=330994
Actualizaciones:
14/abr/04 - Enlace a actualización MS04-013
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|