Microsoft publica un parche para un nuevo agujero de seguridad de Outlook

El vínculo de una vCard o tarjeta virtual es muy habitual para compartir con otros usuarios la información de la libreta de contactos. Como ocurre con muchos virus, este fallo sólo puede tener lugar si el usuario abre una vCard “infectada” vinculada a un mensaje recibido a través de Outlook o Outlook Express. Ollie Whitehouse, un programador británico, fue el que descubrió el problema.

El parche ya está disponible en la web de Microsoft y, como siempre, la compañía ha urgido a los usuarios a poner en práctica medidas de seguridad entre las que se encuentra no abrir ficheros adjuntos a menos que se conozca y confíe en el emisor del mensaje. Según la compañía, “Outlook Express proporciona varios componentes que utiliza tanto Outlook Express como –si está instalado en la misma máquina- Outlook. Uno de ellos, destinado a procesar las vCards, contiene un buffer <sin verificación>”.

El buffer almacena temporalmente los datos en los equipos o en el software. Los programadores pueden diseñarlos para que verifiquen el tamaño de los datos introducidos y rechacen las entradas demasiado largas. Cuando no incluyen esta verificación, no existe tal medida de seguridad, y los usuarios pueden introducir cualquier cantidad de datos. En el caso de Outlook, este buffer podría permitir a un usuario crear una vCard que contenga lo que Microsoft denomina “datos especialmente dañinos”. Cuando el receptor abre una tarjeta de este tipo, los datos sobrecargan el tamaño de buffer disponible y hacen que el software de e-mail falle.

“En un caso especialmente problemático, un usuario malicioso podría aprovecharse de esta característica para ejecutar código no autorizado en el ordenador del usuario receptor”, advierte Microsoft. No obstante, la compañía aún no ha detectado ningún caso de este tipo.

www.microsoft.com