Se ha anunciado la existencia de una vulnerabilidad en Windows Script
Engine por la que un atacante remoto podrá lograr la ejecución de código
arbitrario a través de un JavaScript malicioso que sea visualizado por
Internet Explorer (IE), Outlook u Outlook Express.
Windows Script Engine proporciona a los sistemas Windows la capacidad
de ejecutar código script. Se ha anunciado un fallo en la forma en que
Windows Script Engine procesa la información de scripts creados en
JavaScript. Un atacante remoto podrá explotar un desbordamiento de
entero en Windows Script Engine que permitirá la ejecución de código
arbitrario. Concretamente, la vulnerabilidad reside en la implementación
de JScript de Windows Script Engine realizada por jscript.dll
(localizada en %SystemRoot%\system32).
Un atacante podrá explotar la vulnerabilidad mediante la construcción de
una página html que cuando sea visualizada por un usuario se ejecute el
código introducido con los privilegios del usuario. La página web podrá
estar hospedada en un sitio web o bien ser enviada a través de un
e-mail.
Microsoft ha publicado un parche para evitar esta vulnerabilidad y
recomienda a todos los usuario la instalación de esta actualización. El
parche publicado puede descargarse desde Windows Update o desde las
siguientes direcciones:
Windows 98 y Windows 98 SE:
http://www.microsoft.com/windows98/d...78/default.asp
Windows Me:
Windows Update.
Windows NT 4.0:
http://microsoft.com/downloads/detai...displaylang=en
Windows NT 4.0, Terminal Server Edition:
http://microsoft.com/downloads/detai...displaylang=en
Windows 2000:
http://microsoft.com/downloads/detai...displaylang=en
Windows XP Home Edition y Professional Edition:
http://microsoft.com/downloads/detai...displaylang=en
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1607/comentar
Más información:
Microsoft Security Bulletin MS03-008
Flaw in Windows Script Engine Could Allow Code Execution
http://www.microsoft.com/technet/sec...n/MS03-008.asp
What You Should Know About Microsoft Security Bulletin MS03-008
http://www.microsoft.com/security/se...s/ms03-008.asp
Heap Overflow in Windows Script Engine
http://www.idefense.com/advisory/03.19.03.txt
Antonio Ropero
[email protected]