Microsoft distribuye un parche para corregir una vulnerabilidad que
permitía lanzar de forma remota y automática, a través de una página
web o mensaje de correo HTML, una aplicación Visual FoxPro sin
consultar al usuario.
Microsoft distribuye un parche para corregir una vulnerabilidad que
permitía lanzar de forma remota y automática, a través de una página
web o mensaje de correo HTML, una aplicación Visual FoxPro sin
consultar al usuario.
Los afectados son aquellos usuarios que tengan instalado Visual
FoxPro 6.0 o los que cuenten con su runtime por haber instalado una
tercera aplicación de base de datos desarrollada con Visual FoxPro.
Esta última posibilidad implica que algunos usuarios no serán
conscientes a primera vista de que son vulnerables, ya que son muchos
los productos que pueden instalar alguna de las DLL de Visual FoxPro.
Para comprobar si estamos afectados por la vulnerabilidad, buscaremos
en nuestro sistema los siguientes ficheros:
(Inicio -> Buscar -> Archivos o carpetas): vfp6r.dll, vfp6t.dll, vfp6run.exe
Si cualquiera de ellos está presente, debemos de instalar el parche
distribuido por Microsoft, disponible en la dirección:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=42297
Otra opción para corregir la vulnerabilidad, sin necesidad de instalar
el parche, consiste en configurar nuestro sistema para que nos muestre
un cuadro de diálogo que fuerce a pedirnos confirmación antes de abrir
una aplicación Visual FoxPro (extensión .APP).
Los pasos son los siguientes:
1. Inicio -> Configuración -> Panel de Control
2. Menú Herramientas -> Opciones de carpeta -> pestaña Tipos de archivo
3. En Tipos de archivo registrados buscar y seleccionar la extensión
APP (si no localizamos la extensión significa que no tenemos Visual
FoxPro instalado)
4. Clic en el botón Opciones avanzadas
5. Seleccionar y activar Confirmar apertura después de la descarga
6. Aceptar -> Cerrar -> Cerrar Panel de Control
Esta vulnerabilidad ha sido descubierta por Cristobal Bielza y Juan
Carlos G. Cuartango de Instisec (http://www.instisec.com), Instituto
para la Seguridad en Internet, principales docentes de los cursos
especializados de seguridad en informática e Internet que pueden
encontrar en la dirección: http://www.hispasec.com/formacion/
bernardo@hispasec.com
Más información:
Microsoft Security Bulletin MS02-049
http://www.microsoft.com/technet/security/bulletin/MS02-049.asp
Deja una respuesta