Por Panda Software ( http://www.pandasoftware.es
) Madrid, 26 de abril, 2002 - Microsoft publica un parche(*) para Outlook 2000 y 2002 que corrige una vulnerabilidad que permite ejecutar un script al responder o reenviar un e-mail cuando se utiliza Word como editor. El mencionado problema tiene su origen en que Outlook 2000 y 2002 pueden emplear Microsoft Word como editor a la hora de escribir un mensaje de correo electrónico con formato de texto enriquecido (RTF) o HTML. Bajo esta configuración es posible que un e-mail pueda ejecutar un script de forma arbitraria, ya que cuando se edita un mensaje el sistema trabaja en la zona de seguridad local, donde existen menos restricciones de seguridad. En la práctica, un atacante podría crear un mensaje que contenga en su interior un script dañino. Cuando la víctima recibe el mensaje y lo visualiza, Outlook le aplica la zona de seguridad Internet, en la que el script no puede ejecutarse. Si embargo, si la víctima decide responder o reenviar el e-mail, éste es editado con Microsoft Word, momento en el que el script puede llevar a cabo su acción dañina, ya que el contenido del mensaje pasa a ser procesado bajo la zona de seguridad local. (*)Información adicional en:
|
