Microsoft Outlook también cayó en la trampa de URI
Traducción exclusiva de Segu-Info del documento original de Heise Security
Según un anuncio de Secunia, proveedor de servicios de seguridad, Outlook Express y Outlook 2000 también se ven afectados por el problema de Windows con URI. No sólo Firefox, Skype, Adobe Reader, Miranda, mIRC y Netscape como previamente se informó, sino también las aplicaciones de Microsoft podrían explotarse y ejecutar programas arbitrarios en el sistema de un usuario haciendo clic en una URL maliciosa. Hasta el momento, Microsoft no ha visto la necesidad de proporcionar un parche para eliminar el problema desde su orígen, es decir, Windows, y ha negado alguna vulnerabilidad relacionada en productos de Microsoft.
La causa del problema es el comportamiento inconsistente de Windows al abrir ciertos URLs que contienen cadenas inválidas. Mientras que Windows XP con Internet Explorer 6 ejecutaba el URL apropiado al tratarse de estos URLs - por ejemplo, Outlook Express en caso del mailto: URLs -, se puede ejecutar una aplicación arbitraria si se instala el Internet Explorer 7, como por ejemplo la calculadora en las demostraciones inofensivas que se realizaron. En Windows Vista, por otro lado, se produce un simple mensaje de error cuando los mismos URLs se abren. El proveedor de servicios de seguridad, Secunia, fue uno de los primeros en determinar que Windows, y no Firefox, es la causa real del problema.
Muchas aplicaciones, incluso el Outlook Express y Outlook 2000, simplemente pasan las URLs, por las que ellos no se consideran responsables, al sistema operativo. Una prueba corta realizada por Heise Seguridad ha mostrado que pulsando el botón 'Ir' en una entrada especial en la libreta de direcciones de Outlook abre la calculadora sin avisar al usuario. Bajo Windows XP con IE7 esto puede permitir a los atacantes inyectar código malicioso, como spyware, hacia un sistema a través de VCards.
Sólo ayer, Adobe advirtió de un problema similar en Adobe Reader/Acrobat y ha anunciado un parche para finales de octubre. Aunque Firefox y Skype ya han liberado actualizaciones para proteger a sus usuarios; mIRC, Netscape, Miranda y probablemente otros más, todavía son afectados. El anuncio de que Outlook también se ve atrapado en la trampa de URI, incrementa las esperanzas de que Microsoft aceptará finalmente su responsabilidad por solucionar el problema y tomará pasos para hacer los comportamientos de Windows más previsibles. Thomas Kristensen, CTO de Secunia señaló: "Nosotros esperamos que Microsoft escoja ahora el camino correcto y cree un arreglo general para Windows/IE7 en lugar de salir a parchear todas sus propias aplicaciones y pedirle a terceros que hagan lo mismo."
Lea también:
Grave problema de URI afecta a Acrobat Reader en XP
Adobe advierte los problemas de URI, Microsoft no hace nada
Fuente: http://www.heise-security.co.uk/news/97139/from/atom10
Traducción: Sebastian para www.segu-info.com.ar
Según un anuncio de Secunia, proveedor de servicios de seguridad, Outlook Express y Outlook 2000 también se ven afectados por el problema de Windows con URI. No sólo Firefox, Skype, Adobe Reader, Miranda, mIRC y Netscape como previamente se informó, sino también las aplicaciones de Microsoft podrían explotarse y ejecutar programas arbitrarios en el sistema de un usuario haciendo clic en una URL maliciosa. Hasta el momento, Microsoft no ha visto la necesidad de proporcionar un parche para eliminar el problema desde su orígen, es decir, Windows, y ha negado alguna vulnerabilidad relacionada en productos de Microsoft.
La causa del problema es el comportamiento inconsistente de Windows al abrir ciertos URLs que contienen cadenas inválidas. Mientras que Windows XP con Internet Explorer 6 ejecutaba el URL apropiado al tratarse de estos URLs - por ejemplo, Outlook Express en caso del mailto: URLs -, se puede ejecutar una aplicación arbitraria si se instala el Internet Explorer 7, como por ejemplo la calculadora en las demostraciones inofensivas que se realizaron. En Windows Vista, por otro lado, se produce un simple mensaje de error cuando los mismos URLs se abren. El proveedor de servicios de seguridad, Secunia, fue uno de los primeros en determinar que Windows, y no Firefox, es la causa real del problema.Muchas aplicaciones, incluso el Outlook Express y Outlook 2000, simplemente pasan las URLs, por las que ellos no se consideran responsables, al sistema operativo. Una prueba corta realizada por Heise Seguridad ha mostrado que pulsando el botón 'Ir' en una entrada especial en la libreta de direcciones de Outlook abre la calculadora sin avisar al usuario. Bajo Windows XP con IE7 esto puede permitir a los atacantes inyectar código malicioso, como spyware, hacia un sistema a través de VCards.
Sólo ayer, Adobe advirtió de un problema similar en Adobe Reader/Acrobat y ha anunciado un parche para finales de octubre. Aunque Firefox y Skype ya han liberado actualizaciones para proteger a sus usuarios; mIRC, Netscape, Miranda y probablemente otros más, todavía son afectados. El anuncio de que Outlook también se ve atrapado en la trampa de URI, incrementa las esperanzas de que Microsoft aceptará finalmente su responsabilidad por solucionar el problema y tomará pasos para hacer los comportamientos de Windows más previsibles. Thomas Kristensen, CTO de Secunia señaló: "Nosotros esperamos que Microsoft escoja ahora el camino correcto y cree un arreglo general para Windows/IE7 en lugar de salir a parchear todas sus propias aplicaciones y pedirle a terceros que hagan lo mismo."
Lea también:
Grave problema de URI afecta a Acrobat Reader en XP
Adobe advierte los problemas de URI, Microsoft no hace nada
Fuente: http://www.heise-security.co.uk/news/97139/from/atom10
Traducción: Sebastian para www.segu-info.com.ar
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!