Desbordamiento de búfer en extensiones de servidor FrontPage 2000 y 2002

Un problema en las extensiones FrontPage de servidor puede permitir
a un usuario malicioso la realización de ataques de denegación de
servicio o incluso la ejecución de código en los servidores afectados.
El interprete SmartHTML (shtml.dll) forma parte de las extensiones
FrontPage de servidor (FPSE), y proporciona soporte para formularios
web y otro contenido dinámico basado en FrontPage. El intérprete
contiene un fallo que puede ser expuesto al procesar una petición de
un tipo particular de archivo web si la petición tiene determinadas
características.

Un ataque exitoso tendrá diferentes resultados en función de la
versión instalada, bajo FrontPage Server Extensions 2002 se producirá
un desbordamiento de búfer que permitirá al atacante la ejecución de
código. Mientras que bajo FrontPage Server Extensions 2000 provocará
el consumo de la mayor parte (o todos) de los recursos de CPU hasta
que el servicio web se reinicie.

Las actualizaciones publicadas por Microsoft se encuentran disponibles en:
Microsoft FrontPage Server Extensions 2002
http://download.microsoft.com/download/FrontPage2002/fpse1002/1/W98NT42KMeXP/EN-US/fpse1002.ex
Microsoft FrontPage Server Extension 2000 para NT4
http://download.microsoft.com/download/fp2000fd2000/Patch/1/W9XNT4Me/EN-US/fpse0901.exe
Microsoft FrontPage Server Extensions 2000 para Windows XP:
http://windowsupdate.microsoft.com/
Microsoft FrontPage Server Extensions 2000 para Windows 2000:
http://windowsupdate.microsoft.com/

Más información:

Microsoft Security Bulletin MS02-053: Buffer Overrun in SmartHTML Interpreter Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS02-053.asp

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog