• Tweet

Una vulnerabilidad crítica en el navegador Internet Explorer (IE) también afecta a los usuarios del cliente de correo electrónico Outlook 2003, haciendo el problema más serio de lo que previamente se pensó.

La vulnerabilidad puede ser utilizada cuando IE u Outlook 2003 procesan gráficos Web basados en Vector Markup Language (VML). Éste problema fue reportado inicialmente el lunes por investigadores de Sunbelt Software Inc.

Los intrusos aún no han empezado a explotar la vulnerabilidad vía correo electrónico, pero varios sitios Web ya publicaron código para explotar la vulnerabilidad y hackers han publicado software que explota la vulnerabilidad.

Inicialmente, los investigadores de seguridad pensaron que sólo Internet Explorer era vulnerable a los ataques que explotaban el problema, pero Sunbelt ha concluido ahora que los usuarios de Outlook 2003 también están en riesgo.

El riesgo se eleva debido a que algunos usuarios podrían ser victimas de esta vulnerabilidad con poca o nada de interacción de estos.

Para atacar Internet Explorer los intrusos primero deberían engañar a los usuarios para que estos visitaran sitios Web maliciosos. Pero con un ataque enfocado en Outlook, los usuarios se vuelven en un objetivo más fácil de atacar.

“Todo lo que se necesita hacer es enviar un correo electrónico en HTML y el usuario es infectado,” comento Eric Sites, vicepresidente de Sunbelt.

Investigadores de iDefense también han confirmado que algunas configuraciones de Outlook deberán lanzar el código sin la interacción del usuario, comento Ked Dunhan, el director del equipo de respuesta rápida de iDefense.

Los usuarios que tengan la opción de leer mensajes en HTML son particularmente vulnerables para este ataque, comento Dunham.

Los usuarios de Outlook Express no se encuentran en riesgo, dijo Sites.

Microsoft esta avisando a sus usuarios de cómo realizar algunas medidas preventivas evitando leer correos electrónicos en HTML y configurando Outlook para leer correos en texto plano. Las instrucciones de cómo realizarlo pueden ser encontradas en el aviso de seguridad de Microsoft acerca de VLM.

De acuerdo a un investigador, Outlook 2003 no debería ejecutar código VML automáticamente, pero Outlook parece ser vulnerable debido a una segunda vulnerabilidad en el software de Microsoft. “Algunas versiones de Outlook ejecutaran VML a pesar de que no deben” dijo Russ Cooper, analista de seguridad informatica con Cybertrust Inc.

Sites agregó que “parece haber una vulnerabilidad en la última versión de Outlook”

Microsoft no ha dado una postura acerca de este nuevo problema, pero planea corregir el problema con VML como parte de su siguiente ciclo de actualizaciones, para el 10 de Octubre, pero Sites piensa que los hacker pueden forzar a Microsoft a apresurar un corrección antes.