Vulnerability Bulletins |
Vulnerabilidad en Microsoft Outlook Express |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Experto |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | Microsoft |
Affected software |
Microsoft Outlook Express 6.0 Microsoft Outlook Express 5.5 |
Description |
|
Se ha descubierto una vulnerabilidad en el MHTML URL Handler en Outlook Express. Debido a este fallo sería posible construir una URL que esté enlazada a un archivo de texto almacenado en el ordenador local y que sea interpretado como un archivo HTML. Si dicho archivo de texto contiene un script, este script será ejecutado cuando el archivo sea abierto. Un atacante puede construir una URL y almacenarla en un sitio Web o mandarla en un mensaje de correo electrónico. Si el usuario víctima hace un clic sobre la URL, el atacante podrá ejecutar comandos arbitrarios en la máquina con los privilegios del usuario víctima. |
|
Solution |
|
Actualización de software Outlook Express http://www.microsoft.com/windows/ie/downloads/critical/330994/default.asp |
|
Standar resources |
|
Property | Value |
CVE | CAN-2002-0980 |
BID | |
Other resources |
|
Microsoft Security Bulletin MS03-014 http://www.microsoft.com/technet/security/bulletin/MS03-014.mspx Microsoft Knowledge Base - 330994 http://support.microsoft.com/?id=330994 |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2003-04-25 |