Todos los Outlook son vulnerables ante un problema de desbordamiento
de buffer por el tratamiento de las tarjetas vCard. Microsoft ha
publicado un parche para cubrir los problemas ocasionados por esta
vulnerabilidad que puede llegar a emplearse para causar la ejecución
de código malicioso.
El problema descubierto por @stake afecta tanto a Outlook como a
Outlook Express debido a que el componente encargado del tratamiento
de las tarjetas vCard es el mismo para los dos programas. Las tarjetas
vCard son los archivos que se reciben adjuntos en un mensaje y se
emplean para enviar datos personales como domicilio, teléfono, etc.
Las tarjetas vCard es un estándar definido por la RFC 2426.

Existe un problema de desbordamiento de buffer provocado por el
tratamiento que se realiza del campo de la fecha de nacimiento en el
archivo vcf. El problema puede permitir a un atacante la ejecución de
código malicioso en el sistema comprometido. Para que se produzca el
desbordamiento el usuario deberá abrir el archivo adjunto de la
tarjeta.

El problema puede ser empleado por un atacante para la distribución de
virus o para introducir un troyano en un equipo, además debido a que
las tarjetas vCard no es un medio reconocido para la distribución de
este tipo de material, por lo que el usuario puede llegar a ser
fácilmente inducido a abrir el archivo adjunto.

Microsoft publica un parche para cubrir esta vulnerabilidad, por lo
que se recomienda la instalación de esta actualización para evitar
cualquier problema que pueda ocasionar.

Antonio Ropero
antonior@hispasec.com

Más información:

Aviso de seguridad de @stake
http://www.atstake.com/research/advisories/2001/a022301-1.txt

Boletín de seguridad Microsoft (MS01-12)
http://www.microsoft.com/technet/security/bulletin/MS01-012.asp

Localización del parche
http://www.microsoft.com/windows/ie/download/critical/q283908/default.asp

Compártelo: