Falla en Outlook Express al verificar firma digital


Un nuevo parche liberado por Microsoft, soluciona otra falla importante en la seguridad de Outlook Express.

El error, afecta al popular cliente de correo electrónico proporcionado gratuitamente con todas las versiones actuales de Internet Explorer, y permite a un atacante o bien colgar al programa o incluso llegar a tomar el control de la computadora afectada.





Esta falla no afecta al Outlook, el programa incluido en la
suite Microsoft Office, que no es gratuito.

Los usuarios que ya descargaron el Service Pack 1 para
Internet Explorer 6 o para Windows XP, también están
protegidos.

Quienes tengan versiones anteriores (Internet Explorer 5.5 y
6.0), deberán descargar e instalar este parche.

Las versiones anteriores a la 5.5 no son soportadas.

Para permitir la verificación de la autenticidad de los
mensajes, Outlook Express implementa firmas digitales a
través de S/MIME.

Un desbordamiento de búfer (el espacio asignado en memoria
para depósito temporal durante el intercambio de datos con el
programa), que se produce al generarse un mensaje de error
específico durante una condición particular al verificarse
una firma digital, puede provocar al menos dos efectos
indeseados:

1. El Outlook Express puede colgarse, y en algunos casos,
colgar a otros programas, incluyendo al propio Windows. La
solución es borrar el mensaje problemático.

2. Un mensaje creado en forma maliciosa por un atacante,
puede hacer que la falla ejecute cualquier clase de código,
incluso un troyano, limitado en su accionar solamente por los
niveles de permiso de la víctima destinataria del mensaje.

Versiones vulnerables:

Outlook Express versión 5.50
Outlook Express versión 6.0

Versiones inmunes:

Outlook Express 5.5 SP2
Outlook Express 6.0 SP1 (incluido en el SP1 de Windows XP)
Microsoft Outlook

S/MIME (Secure Multipurpose Internet Mail Extensions), nace
en 1995 como una iniciativa de RSA Security y varios
fabricantes de software con el objetivo de brindar
autenticación, y de garantizar la privacidad y la integridad
de los datos al intercambiarse estos entre diferentes
aplicaciones.

Según las especificaciones RFC 2311
(http://www.ietf.org/rfc/rfc2311.txt?number=2311), un mensaje
de error debe ser mostrado cuando el campo "From" (De:), no
sigue el estándar predefinido en un mensaje electrónico
firmado digitalmente.

Este mensaje de error indica que el remitente no es el mismo
que firma digitalmente el mensaje.

Irónicamente, puede provocarse un mensaje falso, generando el
desbordamiento de búfer mencionado antes, con las
consecuencias explicadas.

La falla se produce al leerse este mensaje, aún si se hace
desde el panel de vista previa.

Quienes no hayan descargado las actualizaciones antes
mencionadas, deberán descargar y ejecutar el parche desde la
siguiente dirección, seleccionando el idioma adecuado
(“Spanish” para Windows en español):

http://www.microsoft.com/windows/ie/downloads/critical/q328676/default.asp

Más información:

http://www.microsoft.com/technet/security/bulletin/MS02-058.asp


Fuente:(c) VSAntivirus


Otras noticias de interés:

Denegación de servicio en eMule
Se ha descubierto una vulnerabilidad en eMule que puede ser explotada por usuarios malintencionados para provocar una denegación de servicio....
YA HA APARECIDO EL LIBRO HACKERS 4 DE MCGRAW-HILL
El mundo digital avanza rápidamente. Cada día aparecen nuevas herramientas, técnicas y metodologías que utilizan los hackers para introducirse en todo tipo de sistemas y redes. El bestsellers Hackers se actualiza una vez más para tratar las últ...
Se publica una nueva versión de Apache 2.0
Se ha hecho pública una nueva versión de Apache 2.0, concretamente la versión 2.0.40. Esta versión soluciona un grave problema de seguridad que afecta a los usuarios Apache en plataformas no UNIX....
En Animación y efectos GNU/Linux es el sistema operativo preferido por Hollywood
GNU/Linux es usado para crear prácticamente la totalidad de los grandes éxitos cinematográficos producidos por Disney/Pixar, DreamWorks, Sony y los demás grandes estudios....
Boletín de Seguridad MS04-004
Actualización de seguridad acumulativa para Internet Explorer (832894) Expuesto originalmente: 2 de Febrero de 2004 Versión: 1.0 Resumen Quién debería leer este boletín: Los clientes que utilicen Internet Explorer ® ...
La Justicia intenta poner freno a los virus
La guerra contra los virus se está llevando a cabo desde diferentes frentes. Por un lado los fabricantes de antivirus ponen todo su empeño en evitar una propagación masiva de los códigos maliciosos y, ahora, la policía está coordinando todos su...
Chrome OS, opción hacia la nube
El cofundador de Google, Sergey Brin, ha declarado que Windows y otros sistemas operativos tradicionales están torturando a los usuarios. Unas declaraciones que ha realizado durante el lanzamiento de Chrome OS, un evento en el que afirmó que el 75 ...
Once boletines de seguridad para Windows y Office
Microsoft planea para octubre, un total de once boletines de seguridad, seis de ellos relacionados con Windows, cuatro con Office, y uno con .NET Framework....
Dos páginas del Gobierno Venezolano Hackeadas.
La página de la Onidex (Oficina Nacional de Identificación y Extranjería) onidex.gov.ve y la de vicepresidencia.gov.ve aparecieron con un index diferentes el día de hoy. El Mensaje en ambos sitio fue el siguiente:...
Vulnerabilidad en el cortafuegos de Windows XP SP2
Ha sido reportada una vulnerabilidad en el cortafuegos de Windows XP Service Pack 2 (SP2), que permite a un usuario remoto conseguir el acceso a las carpetas compartidas....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • digital
  • exploits
  • express
  • falla
  • fedora
  • fice
  • firefox
  • firma
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • outlook
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • verificar
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra