Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio/Vulnerabilidades/Parche para MS Visual FoxPro 6.0

Parche para MS Visual FoxPro 6.0

Por Deja un comentario

Microsoft distribuye un parche para corregir una vulnerabilidad que
permitía lanzar de forma remota y automática, a través de una página
web o mensaje de correo HTML, una aplicación Visual FoxPro sin
consultar al usuario.
Microsoft distribuye un parche para corregir una vulnerabilidad que
permitía lanzar de forma remota y automática, a través de una página
web o mensaje de correo HTML, una aplicación Visual FoxPro sin
consultar al usuario.

Los afectados son aquellos usuarios que tengan instalado Visual
FoxPro 6.0 o los que cuenten con su runtime por haber instalado una
tercera aplicación de base de datos desarrollada con Visual FoxPro.
Esta última posibilidad implica que algunos usuarios no serán
conscientes a primera vista de que son vulnerables, ya que son muchos
los productos que pueden instalar alguna de las DLL de Visual FoxPro.

Para comprobar si estamos afectados por la vulnerabilidad, buscaremos
en nuestro sistema los siguientes ficheros:

(Inicio -> Buscar -> Archivos o carpetas): vfp6r.dll, vfp6t.dll, vfp6run.exe

Si cualquiera de ellos está presente, debemos de instalar el parche
distribuido por Microsoft, disponible en la dirección:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=42297

Otra opción para corregir la vulnerabilidad, sin necesidad de instalar
el parche, consiste en configurar nuestro sistema para que nos muestre
un cuadro de diálogo que fuerce a pedirnos confirmación antes de abrir
una aplicación Visual FoxPro (extensión .APP).

Los pasos son los siguientes:

1. Inicio -> Configuración -> Panel de Control
2. Menú Herramientas -> Opciones de carpeta -> pestaña Tipos de archivo
3. En Tipos de archivo registrados buscar y seleccionar la extensión
APP (si no localizamos la extensión significa que no tenemos Visual
FoxPro instalado)
4. Clic en el botón Opciones avanzadas
5. Seleccionar y activar Confirmar apertura después de la descarga
6. Aceptar -> Cerrar -> Cerrar Panel de Control

Esta vulnerabilidad ha sido descubierta por Cristobal Bielza y Juan
Carlos G. Cuartango de Instisec (http://www.instisec.com), Instituto
para la Seguridad en Internet, principales docentes de los cursos
especializados de seguridad en informática e Internet que pueden
encontrar en la dirección: http://www.hispasec.com/formacion/

Bernardo Quintero
bernardo@hispasec.com

Más información:

Microsoft Security Bulletin MS02-049
http://www.microsoft.com/technet/security/bulletin/MS02-049.asp

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.