Tres nuevos agujeros de seguridad en el software de Microsoft

Microsoft ha advertido sobre la existencia de dos agujeros de seguridad en su software que pueden dar control o acceso a personas no autorizadas a los ordenadores. Un tercer fallo ha sido descubierto por Secunia, firma de investigación especializada en seguridad.


Una de las vulnerabilidades está relacionada con el problema Windows Metafile (WMF) de diciembre, pero afecta a menos usuarios. En concreto, este agujero se encuentra en Internet Explorer (IE) 5.01 Service Pack 4 sobre Windows 2000 Service Pack 4 y en IE 5.5 Service Pack 2 sobre Windows Millenium, según la compañía. Aprovechándolo, un atacante podría hacerse con el control del sistema si el usuario abriera un vínculo de correo electrónico malicioso o fuera persuadido para visitar un sitio Web con una WMF específicamente maleada.

El parche para este problema aún no está disponible, pero Microsoft asegura estar investigando y poder ofrecer un parche “de emergencia” dependiendo de las necesidades de los clientes. Generalmente, la compañía publica su actualización mensual de parches el segundo martes de cada mes.

La segunda vulnerabilidad permitiría a un usuario con privilegios básicos obtener acceso de más alto nivel. Para explotar este fallo, el hacker intentaría aprovechar controles de acceso excesivamente permisivos sobre servicios de aplicación de terceras partes, así como algunos de los servicios activados por defecto de Windows XP Service Pack1 y Windows Server 2003. No obstante, según Microsoft algunos factores atenúan la importancia de esta amenaza. Por ejemplo, los sistemas que corren Windows XP Service Pack 2 y Windows Server 2003 Service Pack 1 (la actualización más reciente del software) no se ven afectados, y, para lanzar un ataque, el hacker requiere necesita contar con acceso autenticado al sistema operativo afectado.

En cuanto al tercer problema, ha sido descubierto por el suministrador de soluciones de seguridad Secunia y se encuentra directamente relacionado con el software HTML Help Workshop de Microsoft, diseñado para poner en funcionamiento un sistema de ayuda online para una aplicación o un contenido de sitio Web. Según Secunia, el fallo está ocasionado por un error de frontera en el manejo de algún fichero “.hhp” que contiene una cadena excesivamente larga en el campo “contents file”. Puede ser aprovechado para ocasionar un ataque de sobrecarga de buffer basado en pila y permite la ejecución de código arbitrario cuando se abre un fichero “.hhp” malicioso.



Contenido Patrocinado

Fernando Rubio Román, CTO de Microsoft España. TECNOLOGÍA
Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital