|
Outlook visualiza imágenes aún en modo solo texto
|
|
VSantivirus No. 1569 Año 8, sábado 23 de octubre de 2004
Outlook visualiza imágenes aún en modo solo texto
http://www.vsantivirus.com/vul-outlook-cid-221004.htm
Por Angela Ruiz
angela@videosoft.net.uy
Una característica de Microsoft Outlook y Microsoft Outlook Express, puede hacer que una imagen sea mostrada, aún cuando se tenga la aplicación configurada para no visualizar imágenes en los mensajes.
Reportado por Http-Equiv, este problema puede permitir que un usuario remoto pueda enviar un mensaje electrónico basado en MIME (Multipurpose Internet Mail Extensions), un protocolo que permite el envío y recepción de contenidos complejos (programas, sonidos, imágenes, etc.), conteniendo una imagen codificada en Base64. Cuando el usuario visualiza el contenido de este mensaje, la imagen sería desplegada, aún cuando el sistema esté configurado para ver solo texto.
La debilidad está en el uso del URL CID: dentro de una etiqueta "img src".
El esquema del URL "cid:" (como también "mid:"), permite referencias de otros componentes dentro del mismo mensaje. Cómo la imagen está embebida dentro del propio código del mensaje, y no es descargada de Internet, no funcionan las restricciones de seguridad del Outlook.
El mayor problema con esto, es que esta debilidad podría ser usada por atacantes remotos, para explotar los fallos en la visualización de archivos JPEG reportados hace poco tiempo.
Una demostración está disponible en Internet. No hay respuesta ni comentarios oficiales de Microsoft al momento actual.
Se sugiere instalar los parches mencionados en el siguiente artículo:
MS04-028 Ejecución de código en proceso JPEG (833987)
http://www.vsantivirus.com/vulms04-028.htm
Créditos: "http-equiv @ excite.com" <1@malware.com>
Más información:
Microsoft Outlook May Display Images in Plaintext Only Mode
http://www.securitytracker.com/alerts/2004/Oct/1011890.html
Content-ID and Message-ID Uniform Resource Locators (cid: mid:)
http://www.ietf.org/rfc/rfc2392.txt
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|