jueves, 27 de febrero de 2003

Una vulnerabilidad de Windows Me permite la ejecución de programas

Se ha descubierto un problema en Windows Me que puede permitir la
visualización o ejecución de cualquier archivo o programa del disco duro
simplemente al pulsar un enlace de una página web, e incluso dependiendo
de las configuraciones, sin interacción de usuario, con sólo recibir un
e-mail maliciosamente construido.

"Help and Support Center" (HSC) proporciona recursos centralizados a
través de los cuales los usuarios pueden obtener ayuda en una variedad
de asuntos. Por ejemplo, proporciona la documentación del producto,
ayuda para determinar compatibilidad del hardware, acceso a la
actualización de Windows, ayuda en línea de Microsoft, y otras ayudas.
Los usuarios y los programas pueden ejecutar enlaces URL para Help and
Support Center mediante el uso de "hcp://" en una URL en vez de
"http://".

Se ha detectado una vulnerabilidad en Help and Support Center incluido
en Windows Me debido a un desbordamiento de búfer en el tratamiento del
prefijo "hcp://". Un atacante puede explotar la vulnerabilidad si
construye una URL que, cuando sea pulsada por el usuario, ejecute el
código deseado por el atacante. La URL puede estar hospedada en una
página web o bien ser enviada directamente por e-mail.

En un ataque a través de una página web, donde el usuario pulsa en una
URL hospedada en un sitio web, un atacante tendrá la posibilidad de leer
o ejecutar archivos presentes en el sistema atacado. En el caso de un
ataque a través de un e-mail, si el usuario tiene instalado Outlook
Express 6.0 u Outlook 2002 con su configuración por defecto, o bien
Outlook 98 o 2000 con Outlook Email Security Update, el ataque no será
automático al necesitar la interacción del usuario para pulsar en el
enlace malicioso incluido en el e-mail. Sin embargo, si el usuario no
tiene la configuración por defecto en Outlook Express 6.0 u Outlook
2002, o no hace uno de Outlook Email Security Update junto con Outlook
98 o 2000, el ataque podrá lanzarse de forma automática sin necesidad de
que el usuario pulse en la URL del e-mail.

Microsoft ha publicado la actualización necesario para corregir el
problema que puede descargarse desde:
http://windowsupdate.microsoft.com


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS03-006
Flaw in Windows Me Help and Support Center Could Enable Code Execution
(812709)
http://www.microsoft.com/technet/security/bulletin/ms03-006.asp

What You Should Know About Microsoft Security Bulletin MS03-006
Security Update for Microsoft Windows Millennium Edition (Windows Me)
http://www.microsoft.com/security/security_bulletins/ms03-006.asp