Microsoft Windows 98 
Microsoft Windows 98 Second Edition 
Microsoft Windows Millennium 
Microsoft Windows NT 4.0 
Microsoft Windows 2000 
Microsoft Windows XP

Impacto: Denegación de servicio
Riesgo: Crítico

Según informa Microsoft en su boletín de seguridad MS02-048, todas las versiones de Windows posteriores a 1996 poseen una grave vulnerabilidad relacionada con la inscripción de los certificados de seguridad digitales.

Desde Windows 95, Microsoft incluye en sus versiones un control ActiveX llamado 'Certificate Enrollment Control' (Control de Inscripción de Certificados). Este control es utilizado para solicitar nuevos certificados digitales vía Internet, y luego instalarlos y almacenarlos en forma local en nuestra computadora.

Dicho control contiene un error que permite que pueda ser utilizado para borrar o corromper los certificados digitales a instalar o ya instalados.

Un atacante puede explotar esta vulnerabilidad desde dos escenarios. Uno es a través de una página Web maliciosa que puede afectar a todos quienes la visiten.

El segundo escenario es a través del correo electrónico, enviando un mensaje con formato HTML con el código necesario para realizar el ataque al abrir dicho mensaje.

La corrupción o el borrado de los certificados digitales pueden tener consecuencias desastrosas para el sistema afectado. Windows utiliza los certificados para tareas como encriptación de correo electrónico, autenticación de transacciones vía Web, o protección de los sistemas de encriptación de archivos en Windows 2000 y XP.

Aunque el fallo afecta a todas las versiones de Windows, el parche solo proporciona la corrección para Windows 98, 98 Segunda Edición, Windows Millennium, Windows NT4 y Windows 2000 y XP. Windows 95 también sería vulnerable, pero de acuerdo a su política de caducidad, Microsoft ya no proporciona soporte de ningún tipo para esta versión.

La recomendación es descargar y ejecutar el parche, el cuál suplantará dicho control por uno corregido. Se requiere tener instalado Internet Explorer 5 o superior (Windows 98 trae la versión 4.0, por lo que debe ser actualizado antes de instalar el parche).

Además de ello, este parche agrega la solución para otras fallas de menor importancia que afectan otros controles usados por Windows 2000 y XP (SmartCard Enrollment).

En caso de no instalarse el parche, se sugieren las siguientes soluciones alternativas para evitar la ejecución de la falla.

1. Deshabilitar 'Controles y complementos de ActiveX' en la zona de seguridad de Internet.

1a. Vaya a Herramientas, Opciones de Internet y seleccione la lengüeta "Seguridad".

1b. Pinche en el icono de la Zona denominada "Internet" y luego pinche en "Personalizar nivel".

1c. Busque la rama "Controles y complementos de ActiveX", y marque la casilla "Desactivar" en todas las opciones. Finalmente pinche en ACEPTAR y confirme los cambios.

1d. Reitere los pasos '1b' y '1c', seleccionando la Zona "Sitios restringidos".

2. Deshabilitar 'Controles y complementos de ActiveX' en Outlook Express

2a. Abra el Outlook Express, y vaya a Herramientas, Opciones. Seleccione la lengüeta "Seguridad".

2b. Pinche en "Zonas de seguridad", y luego pinche en "Zonas de sitios restringidos (más segura)".

2c. Finalmente pinche en ACEPTAR y confirme los cambios.

Nota: Debe tener en cuenta que al hacer estos cambios, tal vez algunas páginas y mensajes con formato no serán visualizados correctamente.


Más información y descargas (en todos los casos, busque la versión en español):

Microsoft Security Bulletin MS02-048
http://www.microsoft.com/technet/security/bulletin/ms02-048.asp

También disponible en:
http://www.microsoft.com/windowsupdate



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com