Un fallo de un control ActiveX deja los sistemas con Outlook a merced de los hackers
Un hacker podría ejecutar código malicioso en el ordenador del usuario a través de una página web o un e-mail debido a un fallo encontrado en un control ActiveX incluido en Outlook 98, 2000 y 2002.
El fallo tiene su origen en el View Control de Microsoft Outlook, un control ActiveX que permite visualizar las carpetas de correo del Outlook a través de páginas web, según Microsoft. Normalmente, el control sólo debería permitir a los usuarios visualizar los datos del calendario o el correo, pero el fallo deja al descubierto una función que permite a las páginas web manipular los datos, de forma que los atacantes pueden borrar o cambiar datos, además de ejecutar código destructivo en el ordenador del usuario a través de Outlook.
Según Microsoft, hay dos formas de quedar expuesto a esta vulnerabilidad. Una es visitar simplemente una página web maliciosa, y la otra es abrir un correo electrónico HTML. Georgi Guninski, el caza-fallos búlgaro que descubrió el problema y advirtió a Microsoft de él, afirma que no es necesario abrir un archivo adjunto para que se active este control, “basta con que visite una página web o previsualice los mensajes en Outlook”.
La advertencia de Microsoft informa a los usuarios del problema y les indica cómo evitarlo desactivando temporalmente los controles ActiveX en las zonas Internet del Explorer. Los clientes tienen que asegurarse también de que han instalado la actualización de seguridad publicada por Microsoft para Outlook. Gracias a esta actualización, los mensajes HTML se abren en una zona restringida donde los controles ActiveX quedan desactivados por defecto. Actualmente, la compañía está trabajando en el desarrollo de un parche que resuelva el problema, aunque aún no está disponible.
Guninski, que ya ha descubierto decenas de bugs similares en los programas de Microsoft, publicó los detalles de esta vulnerabilidad –y el modo de explotarla- antes de que Microsoft tuviera oportunidad de arreglarla, según el equipo de seguridad de Microsoft. Debido a ello, el fabricante de software califica su actitud de “irresponsable”, ya que los usuarios se van a ver obligados a configurar sus sistemas dos veces, una para evitar el fallo, y la otra para repararlo cuando esté disponible el parche. Por su parte, el caza-fallos afirma que, si Outlook 98 sufre de este problema es porque el fallo existe desde hace años.
www.microsoft.com
