Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Parche para vulnerabilidad en Outlook por control ActiveX

Parche para vulnerabilidad en Outlook por control ActiveX

Por Deja un comentario

El 16-7-2001 Hispasec informó de una vulnerabilidad en Outlook a
través de un control Active X, por la cual un atacante podría borrar
correo, cambiar la información del calendario, o llevar a cabo
cualquier otra acción a través de Outlook incluyendo la ejecución
de código arbitrario en la máquina del usuario.
En el momento de publicar la información original Microsoft sólo ofrecía
la posibilidad de establecer una contramedida mientras se desarrollaba
el parche adecuado. Tras dicho desarrollo ofrece el parche que cubre
esta vulnerabilidad.

El control Microsoft Outlook View es un control ActiveX que permite la
visualización de las carpetas de correo Outlook como páginas web. El
control sólo debe permitir operaciones pasivas como la visualización del
correo o los datos del calendario. Pero en realidad existe una función
en este control que permite a la página web manipular los datos Outlook.
Esto permitirá a un atacante borrar correo, cambiar la información del
calendario, o llevar a cabo cualquier otra acción a través de Outlook
incluyendo la ejecución de código arbitrario en la máquina del usuario.

Los sitios web maliciosos exponen el mayor riesgo respecto a esta
vulnerabilidad. Si un usuario visita una página web controlada por un
atacante un script en la página podrá llamar al control cuando la página
se abra, en ese momento el script empleará el control para llevar a cabo
cualquier acción deseada sobre los datos Outlook del usuario.

El atacante puede intentar reproducir el efecto desde un e-mail html
enviado al usuario. En este e-mail se efectúa la llamada al control de
igual forma que a través de una página web, sin embargo, si se encuentra
instalado el Outlook E-mail Security Update se detendrá esta forma de
ataque. Ya que esta actualización hace que los e-mails html se abran en
la zona de sitios restringidos (Restricted Sites Zone), donde los
controles ActiveX se inhabilitan por defecto.

El parche para evitar esta vulnerabilidad en Outlook 2000 se puede
descargar de:
http://office.microsoft.com/downloads/2000/outlctlx.aspx
Para Outlook 2002 en:
http://office.microsoft.com/downloads/2002/OLK1003.aspx

Microsoft no ofrece soporte para Outlook 98 por lo cual ya no publica
parches para este software. Se recomienda actualizar a una versión más
reciente o inhabilitar los controles ActiveX controls en la Zona
Internet para protegerse contra el ataque descrito anteriormente.

Antonio Ropero
antonior@hispasec.com

Más información:

Boletín de seguridad Microsoft (MS01-038):
http://www.microsoft.com/technet/security/bulletin/MS01-038.asp

una-al-dia (16/07/2001) Un control ActiveX deja vulnerable a Outlook
http://www.hispasec.com/unaaldia.asp?id=995

Aviso de Guninski:
http://www.guninski.com/vv2xp.html

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.