Microsoft facilita un parche que elimina una grave vulnerabilidad
en su Máquina Virtual de Java (Microsoft VM). El problema que
corrige, descubierto la semana pasada por Georgi Guninski y descrito
en «una-al-día», permite la ejecución de código arbitrario en los
sistemas de los usuarios con tan sólo visitar una página web o
leer un mensaje de correo HTML.
La vulnerabilidad es tan grave que permite, con tan sólo enviar un
correo electrónico, controlar la máquina del usuario al que va
destinado, y llevar acciones cómo crear ficheros, modificar y borrar
datos, leer y enviar información sensible, instalar desde Internet
virus o troyanos, formatear el disco duro, etc.
El problema, cómo ya comentamos, se encuentra en el objeto
com.ms.activeX.ActiveXComponent, destinado a incluir controles
ActiveX en las aplicaciones Java, que permite crear y ejecutar
objetos ActiveX incluyendo los que no están marcados como seguros.
Por diseño sólo los applets de Java firmados pueden llevar a cabo
este tipo de acciones, pero un error de implementación por parte
de Microsoft permite que cualquier applet pueda hacerlo.
Los detalles de la vulnerabilidad pueden encontrarse en:
03/10/2000 – Grave vulnerabilidad en Internet Explorer y Outlook
http://www.hispasec.com/unaaldia.asp?id=709
La máquina virtual de Java forma parte de los sistemas operativos
Win32 de Microsoft (Windows 95, 98, 98 Segunda Edición, Me, NT y
2000), y se distribuye además junto con Internet Explorer. La inmensa
mayoría de los usuarios de estos sistemas se encuentran afectados, ya
que la máquina virtual de Java que se distribuye con las versiones de
Internet Explorer 4.x y 5.x es vulnerable.
Las versiones afectadas de la máquina virtual de Java de Microsoft
están comprendidas entre los siguientes rangos:
2000-2446
2752-3194
3229-3240
3300-3317
Para conocer la versión de la máquina virtual de Java que tenemos
instalada en nuestro sistema deberemos seguir los siguientes pasos:
1) Abrir una sesión Dos:
-En Windows NT/2000: Inicio -> Ejecutar: teclear «CMD» e Intro
-En Windows 95/98/Me: Inicio -> Ejecutar: teclear «COMMAND» e Intro
2) En la sesión Dos que se abre, teclear «JVIEW» y pulsar Intro
3) En la primera línea de información que ofrece esta utilidad se
puede la versión de la máquina virtual de Java, en un formato
tipo «5.00.xxxx», donde «xxxx» es la versión.
Por ejemplo, si un sistema nos muestra la siguiente información:
Cargador de línea de comandos de Microsoft (R) para Java Versión 4.79.2435
Copyright (C) Microsoft Corp 1996-1998. Todos los derechos reservados.
Nuestra versión de la MV de Java la formaran los 4 últimos dígitos, es
decir: «2435».
Todos los usuarios afectados deberán actualizarse de inmediato a la
versión 3318 que corrige el problema. Los detalles de la actualización
pueden encontrarse en:
Microsoft Virtual Machine for Internet Explorer 5.5
(Build 3318, released 10/12/00)
http://www.microsoft.com/java/vm/dl_vm40.htm
Actualización VM 3318 para Windows 95/98/Me/NT 4.0 (5,4MB)
http://download.microsoft.com/download/javasdk/install/3318/w9xnt4/en-us/msjavx86.exe
Actualización VM 3318 para Windows 2000 (HotFix)
http://download.microsoft.com/download/win2000platform/patch/3318/nt5/en-us/q275526_w2k_sp2_x86_en.exe
Según la información facilitada por Microsoft, los usuarios cuya
versión de la máquina virtual de Java sea de la serie 2000 tendrán
que esperar a una actualización específica que se facilitará en breve.
bernardo@hispasec.com
Más información:
03/10/2000 – Grave vulnerabilidad en Internet Explorer y Outlook
http://www.hispasec.com/unaaldia.asp?id=709
Patch Available for «Microsoft VM ActiveX Component» Vulnerability
http://www.microsoft.com/technet/security/bulletin/ms00-075.asp
FAQ Microsoft Security Bulletin (MS00-075)
http://www.microsoft.com/technet/security/bulletin/fq00-075.asp
IE 5.5/Outlook security vulnerability
com.ms.activeX.ActiveXComponent allows executing arbitrary programs
http://www.guninski.com/javaea.html
Deja un comentario