|
Revelación del campo CCO: en Outlook Express
|
|
VSantivirus No. 1511 Año 8, jueves 26 de agosto de 2004
Revelación del campo CCO: en Outlook Express
http://www.vsantivirus.com/vul-oe-260804.htm
Por Angela Ruiz
angela@videosoft.net.uy
Según informa Secunia, ha sido reportada una debilidad en Microsoft Outlook Express 6, que permite revelar el contenido del campo BCC: (CCO: en las versiones en español del programa).
Si al enviar un mensaje, incluimos las direcciones de varios destinatarios en los campos "Para:" o "CC:" (Carbon Copy o Copia en Carbón), todos los destinatarios podrán ver las direcciones de correo del resto de las personas a las que se envía el correo. Existen muchas razones para no querer que se muestren todas las direcciones a todos los destinatarios, y una de las más obvias, es no favorecer la propagación de gusanos que toman estas direcciones para luego reenviarse a todas ellas.
Si en cambio utilizamos el campo "BCC:" o "CCO:", podremos enviar un mismo correo a varias personas ocultando todas las direcciones que existan en ese campo (ninguno de los receptores ve la dirección de los demás). BCC significa "Blind Carbon Copy" ("Copia en Carbón Oculta" o CCO en español).
Sin embargo, existe un fallo que permite revelar las direcciones incluidas en el campo CCO:, a todos los demás receptores del mismo mensaje.
El problema es causado por un error que se produce cuando se envía un mensaje en formato multipartes. El fallo puede permitir que aquellas personas cuyas direcciones se encuentran en los campos "Para:" y "CC:", puedan visualizar las direcciones de quienes estén en el campo "CCO:".
De todos modos, para verlos en el propio Outlook Express, se requiere que los usuarios copien el mensaje en un editor externo, como el bloc de notas. En otros clientes de correo, los recipientes del campo "BCC:" o "CCO:", son directamente desplegados en el cuerpo del mensaje sin necesidad de visualizarlo en un editor.
Una explotación exitosa, requiere que el usuario que manda el correo electrónico haya configurado Outlook Express para dividir los mensajes que superen determinado tamaño (una opción que divide en varios mensajes uno más grande, por ejemplo de 60 KB). Esta opción se encuentra en las propiedades de la cuenta del usuario, en Opciones avanzadas (Envío, "Separar mensajes mayores de "). Sin embargo, no está implementada por defecto.
Existe una solución provisoria publicada por Microsoft, sin embargo, la misma no ha sido completamente probada, por lo que Microsoft pide que se aplique solo en aquellos sistemas que experimenten este problema en forma específica. La misma debe ser solicitada al servicio de soporte del producto. Un parche será incluido en la próxima actualización acumulativa de Outlook Express.
Si usted necesita enviar mensajes a varios recipientes en el campo CCO: (o BCC:), no utilice la opción "Separar mensajes mayores de " en la configuración de su cuenta.
Créditos: Juha-Matti Laurio
Relacionados:
Microsoft Knowledge Base Article - 843555:
http://support.microsoft.com/?kbid=843555
Secunia Advisory: SA12376 - Microsoft Outlook Express
"BCC:" Recipient Disclosure Weakness
http://secunia.com/advisories/12376/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|