Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Fallo en Windows Script Engine puede permitir la ejecución de código

Fallo en Windows Script Engine puede permitir la ejecución de código

Por Leave a Comment

Se ha anunciado la existencia de una vulnerabilidad en Windows Script
Engine por la que un atacante remoto podrá lograr la ejecución de código
arbitrario a través de un JavaScript malicioso que sea visualizado por
Internet Explorer (IE), Outlook u Outlook Express.

Windows Script Engine proporciona a los sistemas Windows la capacidad
de ejecutar código script. Se ha anunciado un fallo en la forma en que
Windows Script Engine procesa la información de scripts creados en
JavaScript. Un atacante remoto podrá explotar un desbordamiento de
entero en Windows Script Engine que permitirá la ejecución de código
arbitrario. Concretamente, la vulnerabilidad reside en la implementación
de JScript de Windows Script Engine realizada por jscript.dll
(localizada en %SystemRoot%\system32).

Un atacante podrá explotar la vulnerabilidad mediante la construcción de
una página html que cuando sea visualizada por un usuario se ejecute el
código introducido con los privilegios del usuario. La página web podrá
estar hospedada en un sitio web o bien ser enviada a través de un
e-mail.

Microsoft ha publicado un parche para evitar esta vulnerabilidad y
recomienda a todos los usuario la instalación de esta actualización. El
parche publicado puede descargarse desde Windows Update o desde las
siguientes direcciones:
Windows 98 and Windows 98 SE:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q814078
/default.asp
Windows Me:
Windows Update.
Windows NT 4.0:
http://microsoft.com/downloads/details.aspx?FamilyId=C6504FD9-5E2C-45BF-
9424-55D7C5D2221B&displaylang=en
Windows NT 4.0, Terminal Server Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=C6504FD9-5E2C-45BF-
9424-55D7C5D2221B&displaylang=en
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=824B1BD4-B4D6-49D5-
8C58-199BDC731B64&displaylang=en
Windows XP Home Edition y Professional Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=824B1BD4-B4D6-49D5-
8C58-199BDC731B64&displaylang=en

Antonio Ropero
antonior@hispasec.com

Más información:

Microsoft Security Bulletin MS03-008
Flaw in Windows Script Engine Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-008.asp

What You Should Know About Microsoft Security Bulletin MS03-008
http://www.microsoft.com/security/security_bulletins/ms03-008.asp

Heap Overflow in Windows Script Engine
http://www.idefense.com/advisory/03.19.03.txt

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.