Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Outlook visualiza imágenes aún en modo solo texto
 
VSantivirus No. 1569 Año 8, sábado 23 de octubre de 2004

Outlook visualiza imágenes aún en modo solo texto
http://www.vsantivirus.com/vul-outlook-cid-221004.htm

Por Angela Ruiz
angela@videosoft.net.uy


Una característica de Microsoft Outlook y Microsoft Outlook Express, puede hacer que una imagen sea mostrada, aún cuando se tenga la aplicación configurada para no visualizar imágenes en los mensajes.

Reportado por Http-Equiv, este problema puede permitir que un usuario remoto pueda enviar un mensaje electrónico basado en MIME (Multipurpose Internet Mail Extensions), un protocolo que permite el envío y recepción de contenidos complejos (programas, sonidos, imágenes, etc.), conteniendo una imagen codificada en Base64. Cuando el usuario visualiza el contenido de este mensaje, la imagen sería desplegada, aún cuando el sistema esté configurado para ver solo texto.

La debilidad está en el uso del URL CID: dentro de una etiqueta "img src".

El esquema del URL "cid:" (como también "mid:"), permite referencias de otros componentes dentro del mismo mensaje. Cómo la imagen está embebida dentro del propio código del mensaje, y no es descargada de Internet, no funcionan las restricciones de seguridad del Outlook.

El mayor problema con esto, es que esta debilidad podría ser usada por atacantes remotos, para explotar los fallos en la visualización de archivos JPEG reportados hace poco tiempo.

Una demostración está disponible en Internet. No hay respuesta ni comentarios oficiales de Microsoft al momento actual.

Se sugiere instalar los parches mencionados en el siguiente artículo:

MS04-028 Ejecución de código en proceso JPEG (833987)
http://www.vsantivirus.com/vulms04-028.htm


Créditos: "http-equiv @ excite.com" <1@malware.com>

Más información:

Microsoft Outlook May Display Images in Plaintext Only Mode
http://www.securitytracker.com/alerts/2004/Oct/1011890.html

Content-ID and Message-ID Uniform Resource Locators (cid: mid:)
http://www.ietf.org/rfc/rfc2392.txt




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS