Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Solución temporal a falla en Office XP (MS01-038)
 
VSantivirus No. 371 - Año 5 - Sábado 14 de julio de 2001

Solución temporal a la vulnerabilidad de función expuesta por controles ActiveX - Microsoft Security Bulletin MS01-038

Por Alejandro Germán Rodriguez (*)

Debido a una falla que fuera descubierta por el cazador de bugs búlgaro Georgi Guninski y reproducida por José Luis López en [VSantivirus http://www.videosoft.net.uy No. 370 - Año 5 - Viernes 13 de julio de 2001] Microsoft ha emitido su boletín MS01-038 donde notifica a sus clientes y usuarios del problema detectado.

Debido a un problema de implementación, en un control ActiveX denominado "Microsoft Outlook View Control", que debería permitir operaciones simples como ver el correo o los datos del "Calendario", pero en cambio expone una función que permitiría manipular los datos de OUTLOOK al visitarse una página web maliciosa, entre otras cosas, se podría borrar correo, cambiar los datos del calendario o casi cualquier otra acción en la máquina del usuario.

Se encuentran afectadas las versiones de OUTLOOK 98 2000 y 2002.

Esta falla también podría ser explotada mediante un mensaje de correo HTML, con un link especialmente creado, que invoque el control inseguro desde la página web.

Debido a las múltiples vulnerabilidades de OUTLOOK en lo referente al correo en formato HTML existe la actualización de seguridad denominada "Outlook E-mail Security Update" que procede a tratar a los correos en este formato de tal manera que los controles ActiveX no puedan ser invocados. Esta actualización se incluye por defecto en OUTLOOK 2002.

Cabe mencionar que la falla detectada no puede ser explotada en el escenario del correo electrónico si instalamos la actualización de seguridad antes comentada y que para explotarla vía web, se debe inducir al navegante a visitar el sitio malicioso.

A la fecha Microsoft se encuentra desarrollando un parche para eliminar permanentemente esta falla, mientras tanto se recomienda la desactivación de los controles ActiveX, lo que resultará en la imposibilidad de su explotación tanto en el ambiente web como con el correo.

Para desactivar los controles ActiveX se deberá:
  1. Ir a Herramientas, Opciones de Internet
  2. Seleccionar la lengüeta "Seguridad"
  3. Hacer click en el icono de la Zona denominada "Internet"
  4. Hacer click en "Personalizar nivel"
  5. Ir a "Ejecutar controles y complementos ActiveX"
  6. Marcar "Desactivar"
  7. Hacer click en ACEPTAR y confirmar los cambios


Más Información:
http://www.microsoft.com/technet/security/bulletin/MS01-038.asp


(*) Alejandro Germán Rodriguez
Peligros_en_la_red-owner@onelist.com
http://es.egroups.com/group/Peligros_en_la_red
ICQ # 44796626


Ver también:
13/jul/01 - Office XP vulnerable... y muy caro, según Guninski

(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS