| |
VSantivirus No. 194 - Año 5 - Jueves 18 de enero de 2001
Stack Overflow y Denegación de Servicio en Outlook, Internet Explorer y Outlook Express
Esta vulnerabilidad fue hecha pública el pasado 15 de enero de 2001.
Versiones afectadas
Microsoft Internet Explorer 4.0 y posteriores
Microsoft Outlook Express
Microsoft Outlook
Se trata de una falla considerada de bajo riesgo, que ocasiona un desbordamiento de stack, con el consecuente cuelgue de cualquiera de los programas mencionados.
El culpable de esta acción es la librería MSHTML.DLL, el archivo encargado de analizar el código HTML para que este pueda ser utilizado por cualquiera de estos programas. De este modo, todos ellos son vulnerables.
Esta falla es considerada de bajo riesgo, debido a que no es posible que al explotarla, un intruso pueda enviar comandos o código arbitrario a nuestra computadora. Solo ocasiona como dijimos, el cuelgue del programa afectado.
El problema solo ocurre, cuando se manejan ventanas con múltiples objetos, y uno de ellos está recibiendo datos.
Un código de demostración, proporcionado por el descubridor de la falla, demuestra esta acción.
Microsoft fue notificado el 4 de diciembre de 2000. Por el momento la falla no está neutralizada, pero la solución será parte del próximo Service Pack de Internet Explorer, según fuentes de la compañía.
Fuentes:
http://www.ntsecurity.net/Articles/Print.cfm?ArticleID=19638
|
|
