El pasado 11 de mayo Hispasec informó de una vulnerabilidad que
podía permitir la ejecución de comandos en usuarios que utilicen MSN
Messenger, MSN Chat y Exchange Instant Messenger. Se ha comprobado
que el parche que ofrecía Microsoft para solucionar el problema no
actuaba correctamente.
MSN Chat Control, MSN Messenger en sus versiones 4.5 y 4.6, y Exchange
Instant Messenger 4.5 y 4.6 están afectados por un problema de
seguridad que podría permitir a un atacante ejecutar comandos en la
máquina de la víctima. Para ello el atacante utiliza la posibilidad de
causar un desbordamiento de búfer en «ResDLL», un parámetro del
control ActiveX MSN Chat, con ello conseguiría la ejecución de código
en la máquina afectada con los privilegios del usuario atacado.
La multinacional del software a podido comprobar que el anterior
parche ofrecido a sus usuarios no ofrecía los parámetros de seguridad
deseados. Por ello, pone a disposición de sus usuarios un nuevo
parche, que esta vez esperemos tenga el efecto deseado.
Igualmente están a disposición de los usuarios versiones corregidas
para el software afectado.
MSN Chat control:
http://chat.msn.com
MSN Messenger:
http://messenger.msn.com/download/download.asp?client=1&update=1
Exchange Instant Messenger:
http://www.microsoft.com/Exchange/downloads/2000/IMclient.asp
Parche disponible en la dirección:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39632
roman@hispasec.com
Más información:
Unchecked Buffer in MSN Chat Control Can Lead to Code Execution
http://www.microsoft.com/technet/security/bulletin/MS02-022.asp
Grave problema de seguridad en MSN Chat
http://www.hispasec.com/unaaldia.asp?id=1294
Problemas de seguridad en MSN Messenger
http://www.hispasec.com/unaaldia.asp?id=272
Deja un comentario