Falla en Outlook Express al verificar firma digital


Un nuevo parche liberado por Microsoft, soluciona otra falla importante en la seguridad de Outlook Express.

El error, afecta al popular cliente de correo electrónico proporcionado gratuitamente con todas las versiones actuales de Internet Explorer, y permite a un atacante o bien colgar al programa o incluso llegar a tomar el control de la computadora afectada.





Esta falla no afecta al Outlook, el programa incluido en la
suite Microsoft Office, que no es gratuito.

Los usuarios que ya descargaron el Service Pack 1 para
Internet Explorer 6 o para Windows XP, también están
protegidos.

Quienes tengan versiones anteriores (Internet Explorer 5.5 y
6.0), deberán descargar e instalar este parche.

Las versiones anteriores a la 5.5 no son soportadas.

Para permitir la verificación de la autenticidad de los
mensajes, Outlook Express implementa firmas digitales a
través de S/MIME.

Un desbordamiento de búfer (el espacio asignado en memoria
para depósito temporal durante el intercambio de datos con el
programa), que se produce al generarse un mensaje de error
específico durante una condición particular al verificarse
una firma digital, puede provocar al menos dos efectos
indeseados:

1. El Outlook Express puede colgarse, y en algunos casos,
colgar a otros programas, incluyendo al propio Windows. La
solución es borrar el mensaje problemático.

2. Un mensaje creado en forma maliciosa por un atacante,
puede hacer que la falla ejecute cualquier clase de código,
incluso un troyano, limitado en su accionar solamente por los
niveles de permiso de la víctima destinataria del mensaje.

Versiones vulnerables:

Outlook Express versión 5.50
Outlook Express versión 6.0

Versiones inmunes:

Outlook Express 5.5 SP2
Outlook Express 6.0 SP1 (incluido en el SP1 de Windows XP)
Microsoft Outlook

S/MIME (Secure Multipurpose Internet Mail Extensions), nace
en 1995 como una iniciativa de RSA Security y varios
fabricantes de software con el objetivo de brindar
autenticación, y de garantizar la privacidad y la integridad
de los datos al intercambiarse estos entre diferentes
aplicaciones.

Según las especificaciones RFC 2311
(http://www.ietf.org/rfc/rfc2311.txt?number=2311), un mensaje
de error debe ser mostrado cuando el campo "From" (De:), no
sigue el estándar predefinido en un mensaje electrónico
firmado digitalmente.

Este mensaje de error indica que el remitente no es el mismo
que firma digitalmente el mensaje.

Irónicamente, puede provocarse un mensaje falso, generando el
desbordamiento de búfer mencionado antes, con las
consecuencias explicadas.

La falla se produce al leerse este mensaje, aún si se hace
desde el panel de vista previa.

Quienes no hayan descargado las actualizaciones antes
mencionadas, deberán descargar y ejecutar el parche desde la
siguiente dirección, seleccionando el idioma adecuado
(“Spanish” para Windows en español):

http://www.microsoft.com/windows/ie/downloads/critical/q328676/default.asp

Más información:

http://www.microsoft.com/technet/security/bulletin/MS02-058.asp


Fuente:(c) VSAntivirus


Otras noticias de interés:

Forma Fácil de Firmar el Código de conducta Ubuntu
El proceso de la firma del código de conducta Ubuntu, documento que indica como debería ser el comportamiento de todo integrante de la comunidad Ubuntu en el mundo, es un proceso laborioso (más no complicado) que sobre todo a usuarios noveles o a ...
OpenOffice.org de Cumpleaños
El día de viernes 13 de octubre el proyecto OpenOffice.org cumplió 6 años y con este motivo se puso a disposición de toda la comunidad de usuarios y desarrolladores la versión 2.0.4, es altamente recomendada, tiene nuevas características, corre...
Problemas para la adopción del IPv6
Según quienes lo deben implementar -básicamente los ISP’s- no hay incentivos de negocio para hacerlo, aunque los expertos predicen que en 2012 se agotarán las direcciones IPv4 disponibles y el público en general muestra cada día mayor interés...
Netiqueta: ¿alguien la utiliza?
Leyendo en barrapunto.com este titulo y los comentarios de este post, estoy deacuerdo que nadie le hace caso a estas sencillas normas del uso del correo electrónico....
Murio el desarrollador del lenguaje de programación FORTRAN
El 17-03-2007, contando con 82 años ha muerto John W. Backus, desarrollador del lenguaje de programación FORTRAN. John Backus (Filadelfia, 3 de diciembre de 1924 - Oregon, 17 de marzo de 2007) es un informático estadounidense, ganador del Premio T...
EL site de la Universidad Rafael Urdaneta ha sido hackeada!
La site de la Universidad Rafael Urdaneta en Venezuela fue victima de uno de nuestros usuarios conocido en el mundo under como Blackcat....
Vulnerabilidad en Microsoft HTML Help Workshop (.HHP)
Microsoft HTML Help Workshop es una herramienta que permite la creación de archivos de ayuda de Windows y también páginas Web que utilizan controles de navegación....
Vulnerabilidad en PHP en la función "html_entity_decode()"
Se ha divulgado una vulnerabilidad en el prestigioso lenguaje de programación web PHP, que puede ser explotado por personas maliciosas con algún conocimiento de información potencialmente sensible....
Despiste de seguridad en Fedora 12
Seguramente muchos ya hayáis leído algo sobre el tema, pero lo cierto es que es curioso que una distribución tan pulida como esta haya fallado en un aspecto tan singular como la seguridad de primer nivel....
Las 5 mini-versiones de Linux más grandes
InformationWeek selecciona las mejores distribuciones del sistema operativo de fuenta abierta que ocupan menos espacio....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • digital
  • exploits
  • express
  • falla
  • fedora
  • fice
  • firefox
  • firma
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • outlook
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • verificar
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra