- Microsoft Windows 2000 SP2, SP3, SP4
- Microsoft Windows XP
- Microsoft Windows XP SP1
- Microsoft Windows XP 64-Bit Edition SP1

Software NO afectado:

- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows NT Workstation 4.0 SP6a
- Microsoft Windows NT Server 4.0 SP6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (Me)

Nota:

Sobre Windows 98, 98 Segunda Edición, y Windows Millennium

Debido a la política de soporte para estas versiones del sistema operativo Windows (ver "Ciclo de vida del soporte técnico de Microsoft", http://support.microsoft.com/default.aspx?scid=fh;ES-ES;lifecycle), Microsoft sólo libera actualizaciones de seguridad que sean consideradas críticas, y por lo tanto, aunque la vulnerabilidad afecta a estos sistemas operativos, no existe un parche para ellos.

Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft.

Descripción

Esta actualización resuelve una vulnerabilidad recientemente descubierta y de conocimiento público. Esta vulnerabilidad permite la ejecución de código en forma remota, debido a la manera como el componente Shell ejecuta las aplicaciones en Windows.

Un atacante puede explotar este fallo mediante una página Web o un mensaje electrónico con formato HTML construidos maliciosamente.

Si el usuario activo posee privilegios de administrador, un atacante podría aprovechar la vulnerabilidad para tomar el control completo del sistema, con la posibilidad de instalar programas; ver, cambiar o borrar datos; o crear nuevas cuentas asignándoles privilegios totales a las mismas.

Sin embargo, es necesaria la interacción con el usuario para explotar este fallo satisfactoriamente. Si el usuario actual no posee privilegios de administrador, los riesgos se reducen.

La actualización modifica Internet Explorer 6 SP1, previniendo que páginas HTML se carguen cuando un usuario navega en la zona de seguridad local.

Este cambio permite mitigar cualquier otra potencial vulnerabilidad del tipo "cross domain" (dominios cruzados) en el futuro.

También se ha limitado la funcionalidad del control ActiveX "shell.application", para prevenir su uso potencialmente peligroso.

Nota VSAntivirus: Cómo Microsoft no proporciona un parche para Windows 98, 98 SE y Me, sugerimos que los usuarios de estos sistemas operativos utilicen el método explicado en el siguiente enlace para la protección de sus equipos:

Shell.Application, burla el parche de Microsoft
http://www.vsantivirus.com/vul-shellapplication.htm

Parches:

IMPORTANTE

13/oct/04 - Estos parches han sido sustituidos por los siguientes:

MS04-037 Vulnerabilidad en Shell de Windows (841356)
http://www.vsantivirus.com/vulms04-037.htm


Nota:

Antes de instalar estos parches verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.

Más información:

Microsoft Security Bulletin MS04-024
www.microsoft.com/technet/security/bulletin/ms04-024.mspx

Microsoft Knowledge Base Article - 839645
http://support.microsoft.com/?kbid=839645




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com