- Microsoft Windows 2000 SP2, SP3, SP4
- Microsoft Windows XP
- Microsoft Windows XP SP1
- Microsoft Windows XP 64-Bit Edition SP1

Software NO afectado:

- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows NT Workstation 4.0 SP6a
- Microsoft Windows NT Server 4.0 SP6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (Me)

Componentes afectados:

- Internet Explorer 6 SP1 cuando se instala en Windows NT 4.0 SP6a

Windows NT Workstation 4.0, Windows NT Server 4.0 y Windows NT 4.0 Terminal Server Edition, no son afectados por defecto. Sin embargo, si se instala Internet Explorer 6.0 SP1, el sistema será vulnerable.

Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft.

Descripción

Esta actualización resuelve una nueva vulnerabilidad reportada en forma privada.

La vulnerabilidad se produce por un desbordamiento de búfer en el planificador de tareas (Tareas programadas). El fallo permite la ejecución de código en forma remota.

Tareas programadas de Microsoft (Mstask.dll), es un API (Application Program Interface), o interfase de programa de aplicación utilizado para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo, basado en un objeto COM (Modelo de Objetos Componentes). Se trata de un control ActiveX que proporciona un servicio para planificar y ejecutar comandos arbitrarios en el sistema.

Este elemento genera un desbordamiento de búfer que puede permitir a un atacante la ejecución remota de código. El desbordamiento se produce por no verificarse adecuadamente algunos atributos de los nombres de los comandos que están programados para ejecutarse.

El fallo puede explotarse si un intruso convence a su víctima para que visite una página Web maliciosa, o le envía un mensaje en formato HTML. También si lo obliga a ejecutar un archivo con extensión .JOB.

Los archivos .JOB son creados por el Programador de tareas cuando se añade una nueva tarea a través del panel de control, y se almacenan en la carpeta WINDOWS\TASKS.

Si el usuario activo posee privilegios de administrador, un atacante podría aprovechar esta vulnerabilidad para tomar el control completo del sistema infectado, con la posibilidad de instalar programas; ver, cambiar o borrar datos; o crear nuevas cuentas asignándoles privilegios totales a las mismas.

Sin embargo, es necesaria la interacción con el usuario para explotar este fallo satisfactoriamente. Si el usuario actual no posee privilegios de administrador, los riesgos se reducen.

Actualización 19/jul/04

Han surgido versiones sobre la aparición de nuevos exploits que afirman saltearse el parche publicado para esta vulnerabilidad. Aunque Microsoft no confirma ni desmiente esto, el lunes 19 publicó la siguiente ayuda complementaria a la implantación del parche. Se sugiere seguir los siguientes consejos, además de aplicar la actualización correspondiente.

Esta modificación en el registro no corrige la vulnerabilidad en si misma, pero ayuda a disminuir el riesgo de su explotación maliciosa en forma remota, o por medio de otros vectores conocidos de posibles ataques (se sugiere la instalación del parche de todos modos).

Lo sugerido por Microsoft:

1. No abra ni guarde archivos .JOB que usted reciba desde fuentes no confiables, o en mensajes no solicitados desde cualquier fuente. Esta vulnerabilidad podría explotarse cuando un usuario ve un archivo .JOB. No abra archivos con extensión .JOB.

2. Deshabilite el manejador dinámico de iconos para archivos JobObject, cambiando el valor por defecto en la siguiente clave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JobObject\shellex\IconHandler

Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

Luego, abra la siguiente rama del registro:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\JobObject
\shellex
\IconHandler

Pulse en la carpeta "IconHandler", y en el panel de la derecha, busque y borre la siguiente cadena:

{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}

Parches:

Los parches pueden descargarse de los siguientes enlaces:

Actualización de seguridad para Windows 2000 (KB841873)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
BBF3C8A1-7D72-4CE9-A586-7C837B499C08&displaylang=es

Actualización de seguridad para Windows XP (KB841873)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
8E8D0A2D-D3B9-4DE8-8B6F-FC27715BC0CF&displaylang=es

Nota:

Antes de instalar estos parches verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.

Más información:

Microsoft Security Bulletin MS04-022
www.microsoft.com/technet/security/bulletin/ms04-022.mspx

Microsoft Knowledge Base Article - 841873
http://support.microsoft.com/?kbid=841873


Actualizaciones:

15/07/04 - 07:17 -0300 (Ampliación de la descripción).
21/07/04 - 21:46 -0300 (Versión actualizada por Microsoft)


Publicado anteriormente:

VSantivirus No. 1469 Año 8, miércoles 14 de julio de 2004



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com