VSantivirus No. 659 - Año 6 - Sábado 27 de abril de 2002

Ejecución de virus al editar correo electrónico con Word


Por Redacción VSAntivirus
[email protected]

Una falla de seguridad reportada hace un tiempo, permite que cuando se utilicen Word 2000 o 2002 (XP) como editor del correo electrónico en el Outlook, creando y revisando el mismo con formatos enriquecidos o en HTML, y se responda o envía un mensaje a un atacante, puede llegar a ejecutarse código peligroso, el cuál bien podría ser un virus.

Normalmente, cuando Outlook muestra un mensaje con formato HTML, se aplica la seguridad de una zona que impide la ejecución de código maligno.

Sin embargo, si el usuario contesta o reenvía un mensaje de correo usando el Word como editor, el Outlook abre el correo pero no se bloquean los scripts ni ningún código malicioso.

Un atacante podría aprovecharse de esta vulnerabilidad enviando un mensaje en HTML que contenga un script, el que sería ejecutado por cualquiera que usara Word 2000 o XP como editor, ejecutando fácilmente un virus o cualquier otro código malicioso.

La vulnerabilidad solo afecta a los usuarios de Outlook que utilizan el Word 2000 o XP como editor, y que no han actualizado su producto con los parches respectivos.

Más información, así como los parches necesarios están disponibles en esta dirección:
<a href='ir.asp?http://www.microsoft.com/technet/security/bulletin/ms02-021.asp' target='_blank'>http://www.microsoft.com/technet/securit...</a>



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com