Rynho Zeros Web

Publicidad

Boletín: MS03-008
Fecha: 19/mar/03
Título: Fallo en Windows Script Engine puede permitir la
ejecución de código
Plataforma: Todos los Windows 32-bit
Productos: Internet Explorer, Outlook, Outlook Express
Impacto: Alto
Riesgo: Ejecución remota de código en el sistema

Una vulnerabilidad en el Windows Script Engine puede permitir
a un atacante ejecutar código en forma remota,
implementándolo en un simple JavaScript visualizado por el
Internet Explorer (IE), o en mensajes leídos con el Outlook u
Outlook Express.

Windows Script Engine proporciona a los sistemas Windows la
capacidad de ejecutar código script. El código script suele
usarse para agregar funcionalidad a páginas Web, o para
automatizar tareas dentro del sistema operativo o de los
propios programas. El código script puede ser escrito en
diversos lenguajes como Visual Basic Script, o JScript.

La falla está relacionada con la manera en que el WSE procesa
la información. Concretamente en la implementación de JScript
hecha por Windows Script Engine, que involucra a la librería
“jscript.dll” localizada en C:Windowssystem32 (o en el
directorio correspondiente al sistema operativo instalado).

Un atacante podría explotar esta vulnerabilidad construyendo
una página html maliciosa, que incluya un código en
Javascript y que al ser visualizada por el usuario, ejecute
un código determinado en la computadora de su víctima, con
los privilegios de seguridad locales. La página web podría
estar hospedada en un servidor, o bien ser enviada a través
de un correo electrónico.

Soluciones:

El parche publicado por Microsoft, evita esta vulnerabilidad.
Se considera la falla como crítica, por lo que se debería
proceder a su instalación a la brevedad posible.

Más información y descarga del parche:

http://www.microsoft.com/technet/security/bulletin/MS03-008.asp

O desde esta dirección:

http://windowsupdate.microsoft.com/

Son afectados los usuarios con los siguientes sistemas
operativos:

Windows 98
Windows 98 Segunda Edición
Windows Me
Windows NT 4.0
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

Publicidad

Otros articulos que te pueden interesar

• Salto de restricciones de seguridad en Sun Grid Engine
• Credenciales por defecto en Cisco NetFlow Collection Engine
• Ejecución de código con Yahoo! Widgets Engine
• Ejecución remota de código en Internet Explorer
• Denegación de servicio y ejecución de código en CA ARCserve Backup