Esta vez le ha tocado al Outlook Express (no confundir con Microsoft Outlook).
Unchecked Buffer in Outlook Express S/MIME Parsing
Ha sido calificado por Microsoft como critico.Afecta a todos los clientes de correo de Outlook express y proviene del empeño de Microsoft de permitir la verificacion de la autenticidad de los mensajes de correo,permitiendo que Outlook Express soporte las firmas digitales a traves de S/MIME.
Pues bien,el codigo que genera los mensajes de alerta cuando hay un error asociado a una firma digital tiene la vulnerabilidad del buffer overrun (y ya van...).
Con lo cual si creas un email firmado digitalmente y le introduces ciertos tipos de datos,al enviarlo a otro usuario un atacante puede hacerle la puñeta a ese pobre usuario de dos formas:
Hacerle que el cliente de correo funcione mal (en el mejor de los casos),que se solucionaria reiniciando el cliente de correo y borrando el mail o puede hacer que el cliente de correo ejecute el código que el atacante quiera (por ejemplo format c: ),en la maquina del pobre usuario.De lo unico que se salvaría es que este usuario estuviera en una maquina con permisos (w2000,XP) y estaría limitado por los permisos de la misma :)
Tambien hay que decir que solo se veran afectados aquellos mensajes cifrados usando S/MIME ;)
Para más info e instrucciones para descargarse el patch:
http://www.microsoft.com/technet/security/bulletin/MS02-058.asp
Unchecked Buffer in Outlook Express S/MIME Parsing
Ha sido calificado por Microsoft como critico.Afecta a todos los clientes de correo de Outlook express y proviene del empeño de Microsoft de permitir la verificacion de la autenticidad de los mensajes de correo,permitiendo que Outlook Express soporte las firmas digitales a traves de S/MIME.
Pues bien,el codigo que genera los mensajes de alerta cuando hay un error asociado a una firma digital tiene la vulnerabilidad del buffer overrun (y ya van...).
Con lo cual si creas un email firmado digitalmente y le introduces ciertos tipos de datos,al enviarlo a otro usuario un atacante puede hacerle la puñeta a ese pobre usuario de dos formas:
Hacerle que el cliente de correo funcione mal (en el mejor de los casos),que se solucionaria reiniciando el cliente de correo y borrando el mail o puede hacer que el cliente de correo ejecute el código que el atacante quiera (por ejemplo format c: ),en la maquina del pobre usuario.De lo unico que se salvaría es que este usuario estuviera en una maquina con permisos (w2000,XP) y estaría limitado por los permisos de la misma :)
Tambien hay que decir que solo se veran afectados aquellos mensajes cifrados usando S/MIME ;)
Para más info e instrucciones para descargarse el patch:
http://www.microsoft.com/technet/security/bulletin/MS02-058.asp
No, si acabaremos todos usando qnx.
Pone que es para Outlook Express 6, pero que darán los detalles en adelante.
Aqui en el curro usamos Outlook normal, pero en casa si que tengo el Express. Tocará pensarse en usar otro programa de correo... [mad]
Saludos!!!
jejejeje XD muy buena...
salu2