martes, 23 de febrero de 1999

Microsoft ofrece un parche para una vulnerabilidad en el block de tareas

Microsoft ha lanzado un nuevo parche para cubrir una vulnerabilidad
propiciada por una característica del block de tareas (Taskpads),
proporcionado dentro del Windows 98 Resource Kit, Windows 98
Resource Kit Sampler y BackOffice Resource Kit (segunda edición).
Esta vulnerabilidad podría permitir a un webmaster malicioso ejecutar
programas en el ordenador de un visitante del web. Sólo aquellos
usuarios que tengan instalado alguno de los productos afectados, con
cuya máquina naveguen por el web están en peligro por este problema.

Taskpads es una característica incluida en muchos kits de recursos de
Microsoft, formando parte del Resource Kits' Tools Management Console
Snap-in y permitiendo a los usuarios visualizar y ejecutar herramientas
del kit de recursos desde una página html. La vulnerabilidad se produce
porque ciertos métodos proporcionados por Taskpads son marcados de
forma incorrecta como «seguros para scrips» y pueden ser abusados por
un webmaster para invocar ejecutables en la estación de trabajo del
usuario visitante sin su conocimiento o sin su consentimiento.

Los productos afectados, no se instalan ni vienen por defecto con los
sistemas operativos de Microsoft, el kit de recursos de Windows 98 y
los ejemplos de dicho kit, sólo pueden ser instalados bajo Windows 98.
En cambio el kit de recursos de BackOffice se puede instalar en los
tres sistemas operativos (95/98/NT), pero comúnmente se instala bajo
servidores Windows NT, los cuales, por las prácticas de seguridad
recomendadas no suelen emplearse para navegar por la red.

Más información:
Información original de Microsoft:
http://www.microsoft.com/security/bulletins/ms99-007.asp
Parche para Windows 98 Resource Kit, Windows 98 Resource Kit
Sampler, y BackOffice, segunda edición para Windows 95 y 98
ftp://ftp.microsoft.com/reskit/win98/taskpads/tmcpatch.exe
Parche para BackOffice Resource Kit segunda edición para Windows NT:
ftp://ftp.microsoft.com/reskit/nt4/x86/taskpads/itmcpatch.exe



Antonio Ropero