Boletines de Vulnerabilidades |
Vulnerabilidad en Microsoft Outlook Express |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Microsoft |
Software afectado |
Microsoft Outlook Express 6.0 Microsoft Outlook Express 5.5 |
Descripción |
|
Se ha descubierto una vulnerabilidad en el MHTML URL Handler en Outlook Express. Debido a este fallo sería posible construir una URL que esté enlazada a un archivo de texto almacenado en el ordenador local y que sea interpretado como un archivo HTML. Si dicho archivo de texto contiene un script, este script será ejecutado cuando el archivo sea abierto. Un atacante puede construir una URL y almacenarla en un sitio Web o mandarla en un mensaje de correo electrónico. Si el usuario víctima hace un clic sobre la URL, el atacante podrá ejecutar comandos arbitrarios en la máquina con los privilegios del usuario víctima. |
|
Solución |
|
Actualización de software Outlook Express http://www.microsoft.com/windows/ie/downloads/critical/330994/default.asp |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2002-0980 |
BID | |
Recursos adicionales |
|
Microsoft Security Bulletin MS03-014 http://www.microsoft.com/technet/security/bulletin/MS03-014.mspx Microsoft Knowledge Base - 330994 http://support.microsoft.com/?id=330994 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-04-25 |