Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-014
Revisión acumulativa para Outlook Express (330994)
 

Expuesto originalmente: 23 de abril de 2003

Resumen

 

Quién debería leer este boletín: Los usuarios que utilicen Outlook Express

 

Alcance de la vulnerabilidad: Ejecución de cualquier código que elija el atacante.

 

Gravedad máxima: Crítica.

 

Recomendación: Los usuarios deberían instalar la revisión de seguridad lo antes posible.

 

Boletín para el usuario final: texto en:  www.microsoft.com/latam/seguridad/boletines/MS03-014/MS03-014_USER.asp

 

Software afectado:

       • Microsoft Outlook Express 5.5
       • Microsoft Outlook Express 6.0
 

 
 
Detalles técnicos
 

 

 

Descripción técnica:

Las siglas MHTML significan Encapsulación MIME de HTML acumulado (del inglés MIME Encapsulation of Aggregate HTML) y representan una norma estándar de Internet. Esta norma define la estructura MIME (Multipurpose Internet Mail Extensions, Extensiones multiuso de correo por Internet) utilizada para enviar contenido HTML en el cuerpo de los mensajes de correo electrónico. El controlador de direcciones URL MHTML en Windows forma parte de Outlook Express y proporciona un tipo de dirección URL que puede utilizarse en el equipo local. Este tipo de dirección URL (MHTML://) permite ejecutar los documentos MHTML desde una línea de comandos, desde Inicio/Ejecutar, utilizando el Explorador de Windows o desde el interior de Internet Explorer.

Existe un punto vulnerable en el controlador de direcciones URL MHTML que permite que cualquier archivo que pueda procesarse como texto se pueda abrir y procesar como parte de una página en Internet Explorer. Esto quiere decir que se podría crear una dirección URL que hiciese referencia a un archivo de texto almacenado en el equipo local y procesar dicho archivo como HTML. Como el archivo reside en el equipo local, se procesará en la zona de seguridad Equipo local. Los archivos que se abren en la zona Equipo local están sujetos a menos restricciones que los que se abren en otras zonas de seguridad.

Utilizando este método, un atacante podría crear una dirección URL y alojarla en un sitio Web o enviarla a través del correo electrónico. En el escenario basado en Web, en el que el usuario tiene que hacer clic en una dirección URL alojada en un sitio Web, el atacante tendría la posibilidad de leer o ejecutar archivos existentes en el equipo local. En el caso de un ataque mediante correo electrónico, si el usuario estuviera utilizando Outlook Express 6.0 o Outlook 2002 con las configuraciones predeterminadas, o Outlook 98 o 2000 junto con la actualización de seguridad para correo electrónico de Outlook, el ataque no podría llevarse a cabo de forma automática y el usuario tendría que hacer clic en una dirección URL enviada por correo electrónico. No obstante, si el usuario no estuviera utilizando Outlook Express 6.0 o Outlook 2002 con las configuraciones predeterminadas, o Outlook 98 o 2000 junto con la actualización de seguridad para correo electrónico de Outlook , el atacante podría activar de forma automática el ataque sin necesidad de que el usuario hiciera clic en una dirección URL incluida en un correo electrónico. En ambos casos, el basado en Web y el basado en correo electrónico, las limitaciones de los privilegios del usuario también restringirían las posibilidades de la secuencia de comandos del atacante.

La aplicación de la actualización mencionada en el boletín de seguridad de Microsoft MS03-004 (Revisión acumulativa para Internet Explorer) ayudará a bloquear los intentos de un atacante para cargar un archivo en el equipo del usuario y a impedir la transferencia de parámetros a un archivo ejecutable. Esto quiere decir que el atacante sólo puede ejecutar un programa que ya exista en el equipo (siempre que sepa la ubicación de dicho programa) y no podrá transferir parámetros al programa para que los ejecute.

MHTML es una norma estándar para el intercambio de contenido HTML mediante correo electrónico y, por tanto, la función del controlador de direcciones URL MHTML se ha implementado en Outlook Express. Internet Explorer también puede procesar contenido MHTML, aunque la función MHTML no ha sido implementada por separado en Internet Explorer y esta aplicación simplemente utiliza Outlook Express para procesar el contenido MHTML.

Factores atenuantes:

  • En el escenario basado en Web, el atacante tiene que alojar un sitio Web que contenga una página Web diseñada para aprovechar este punto vulnerable y atraer al usuario para que la visite. El atacante no puede obligar al usuario a visitar dicho sitio. Por tanto, tendrá que atraerlo a dicho sitio, normalmente incitándole a hacer clic en un enlace que le lleve al sitio del atacante.

  • Un ataque hipotético basado en correo HTML sería bloqueado por Outlook Express 6.0 y Outlook 2002 con sus configuraciones predeterminadas, y por Outlook 98 y 2000 si se utilizan junto con la actualización de seguridad para correo electrónico de Outlook .

  • Al aprovechar este punto vulnerable, el atacante sólo obtendría los mismos privilegios que el usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos privilegios sobre el sistema correrían un riesgo menor que aquellos que cuenten con privilegios administrativos.

  • Si se ha instalado la revisión acumulativa MS03-004 para Internet Explorer, se bloquearán los métodos conocidos mediante los cuales un atacante podría copiar un archivo en el equipo del usuario.

  • A fin de invocar un archivo ejecutable que esté presente en el sistema local, el atacante tiene que conocer la ruta de acceso de dicho archivo.

Gravedad:  

 

  Internet Explorer 5.01

Crítica

 

Internet Explorer 5.5

 Crítica
 

Internet Explorer 6.0

 Crítica

 

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad.

 

Identificador de vulnerabilidad: CAN-2003-0008   

 

Versiones probadas:
 

Estos puntos vulnerables se han probado en las versiones siguientes: Internet Explorer 5.01 SP3, 5.5 SP2, 6.0 Gold y 6.0 SP1, así como en Outlook Express 5.5 SP2, 6.0 Gold y 6.0 SP1. Las versiones de Internet Explorer anteriores a 5.01 Service Pack 3 ya no disponen de soporte para las revisiones. Para obtener más información sobre los ciclos vitales de los componentes del sistema operativo Windows, visite: http://microsoft.com/windows/lifecycle/desktop/consumer/components.mspx.

 

 
 
Preguntas más frecuentes
 

 

¿Cuál es el alcance de esta vulnerabilidad?
La vulnerabilidad podría permitir a un atacante leer archivos o ejecutar un programa en el equipo del usuario en la zona Equipo local.
Si un atacante alojase un sitio Web malintencionado que contuviera un documento MHTML y pudiera convencer al usuario para que visitase dicho sitio, podría, en teoría, aprovechar este punto vulnerable y leer y ejecutar archivos que ya estuvieran presentes en el sistema del usuario.
El boletín de seguridad de Microsoft
MS03-004 describe un punto vulnerable mediante el cual un atacante podría cargar un archivo en el sistema local del usuario. Si se ha aplicado la revisión mencionada en el boletín de seguridad de Microsoft MS03-004, el alcance de esta nueva vulnerabilidad se reducirá de forma significativa. En este caso, el atacante no podría copiar un programa de su elección en el sistema local, ya que el programa debe estar presente en el sistema para que el atacante pueda invocarlo, y tampoco podría transferir parámetros a un programa ejecutable.

¿Qué es MHTML?
Las siglas
MHTML significan Encapsulación MIME de documentos HTML acumulados (del inglés MIME Encapsulation of Aggregate HTML Documents) y representan una norma estándar de Internet. Esta norma define la estructura MIME (Multipurpose Internet Mail Extensions, Extensiones multiuso de correo por Internet) utilizada para enviar contenido HTML en el cuerpo de los mensajes. El controlador de direcciones URL MHTML se utiliza para empaquetar contenido HTML en los mensajes de correo electrónico. Es un formato habitual para encapsular los diversos archivos asociados a un documento HTML.
MHTML hace una “foto” de la página HTML actual y la archiva para enviarla a alguien por correo electrónico o para mostrarla sin conexión en Internet Explorer. Por ejemplo, se puede guardar una página Web en Internet Explorer como un archivo individual para visualizarlo sin conexión utilizando la opción “Archivo| Guardar como” y seleccionando a continuación la opción “Archivo Web, archivo único” del menú desplegable. La página Web se guardará como un archivo único en formato HTML. El artículo 221787 de Microsoft Knowledge Base describe detalladamente esta función.

¿Qué es HTML?
Las siglas HTML quieren decir Lenguaje de marcado de hipertexto (Hypertext Markup Language). Este lenguaje se utiliza para crear documentos transportables entre diversas plataformas. Una de sus características básicas es la capacidad para procesar un documento compuesto por distintos recursos, tales como imágenes, archivos de sonido, etc., además de texto.

¿Qué problema tiene la implementación del formato MHTML?
El controlador de direcciones URL MHTML es capaz de procesar cualquier tipo de archivo como si fuese un archivo HTML. Por ejemplo, si se abre un archivo .txt utilizando el protocolo MHTML, podría procesarse como si se tratase de un archivo HTML. Esto representa un punto vulnerable en la seguridad, ya que algunos archivos, como los archivos de texto, se consideran con frecuencia “tipos de archivos seguros” y una página Web podría abrirlos en la zona Equipo local. Si un archivo de este tipo contuviese una secuencia de comandos ejecutable que se pudiese ejecutar remotamente, lo haría con los privilegios asociados a la zona Equipo local en lugar de los asociados al sitio Web.

Se han mencionado las zonas de seguridad de Internet, ¿qué son exactamente?
Las
zonas de seguridad de IE son un sistema que divide el contenido en línea en categorías o zonas basándose en el grado de confianza. Se pueden asignar dominios Web específicos a una zona, dependiendo de la confianza que se tenga en el contenido de cada dominio. Posteriormente, la zona restringe las capacidades del contenido Web basándose en la configuración de la misma.
De forma predeterminada, la mayoría de los dominios de Internet se tratan como parte de la zona Internet. La zona Internet dispone de parámetros y restricciones que se pueden configurar para impedir que ciertas secuencias de comandos y otros códigos activos puedan utilizar recursos del equipo local.

¿Qué es la zona Equipo local?
La zona Equipo local es una zona implícita que se utiliza para el contenido existente en el equipo del usuario. Tiene muchas menos restricciones y permite que las secuencias de comandos y el código activo utilicen y manipulen el contenido del equipo local. De forma predeterminada, los archivos guardados en el sistema local se ejecutan en la zona Equipo local

¿Qué es un controlador de direcciones URL?
El controlador de direcciones URL permite a una aplicación registrar un tipo nuevo de dirección URL que, al ser invocada por una página Web, inicia automáticamente dicha aplicación. Por ejemplo, cuando se instala Outlook 2002 en un sistema, esta aplicación registra "outlook://" como un controlador de direcciones URL personalizado. A partir de ese momento, se puede invocar Outlook escribiendo esta dirección URL en Internet Explorer, en el cuadro "Ejecutar" o haciendo clic en un hipervínculo. En el caso de MHTML, la dirección URL utilizada es “mhtml://”

¿Cuál es la causa de esta vulnerabilidad?

Esta vulnerabilidad se produce porque el componente de Outlook Express que muestra las páginas codificadas en formato MHTML contiene un defecto que le permite procesar archivos que no tienen formato MHTML como si fueran páginas HTML. Este defecto permite el procesamiento de cualquier archivo cuyo contenido tenga el formato de texto, como por ejemplo, un archivo .txt o un archivo que contenga una secuencia de comandos.

¿Qué podría hacer un atacante que aprovechara esta vulnerabilidad?
El atacante podría intentar utilizar el controlador de direcciones URL MHTML para procesar un archivo que ya estuviera presente en el sistema del usuario como una página HTML. Si el atacante fuera capaz de copiar un archivo .txt que contuviera una secuencia de comandos malintencionada en el equipo del usuario, podría intentar posteriormente utilizar el controlador de direcciones URL MHTML para abrir dicho archivo como un archivo HTML, provocando de este modo la ejecución de la secuencia de comandos. Las secuencias de comandos que se ejecutan en la zona Equipo local tienen generalmente un nivel de confianza más elevado que las que se ejecutan en la zona Internet, ya que estas últimas normalmente se han descargado e invocado desde un sitio Web.
No obstante, debe tenerse en cuenta que si se ha aplicado la revisión mencionada en el boletín de seguridad de Microsoft
MS03-004, el atacante no podrá copiar ningún archivo en el sistema local del usuario. Esto limitará las posibilidades del atacante, ya que sólo podrá ejecutar archivos que ya estén presentes en el sistema local (tampoco podrá transferir parámetros a archivos ejecutables).

¿Cómo podría aprovechar un atacante esta vulnerabilidad?
Un atacante podría aprovechar esta vulnerabilidad diseñando una dirección URL en formato MHTML y persuadiendo al usuario para que visitase el sitio Web dónde se encuentra (probablemente mediante el envío de dicha dirección URL por correo electrónico). Si el atacante fuese capaz de adivinar la ubicación en el sistema local del usuario de un archivo que contuviese una secuencia de comandos malintencionada o si fuera capaz de copiar dicha secuencia en una ubicación conocida del equipo local, podría provocar la ejecución de dicha secuencia de comandos en una página HTML.

Esta solución parece resolver un problema de visualización de páginas Web. ¿Por qué el boletín se denomina “Revisión acumulativa para Outlook Express”?
El lenguaje MHTML fue diseñado como una norma estándar de Internet para enviar contenido HTML en el cuerpo de los mensajes de correo electrónico, junto con aquellos recursos referenciados desde el propio contenido HTML. Por consiguiente, la función MHTML se ha implementado en Outlook Express. Cada vez que Internet Explorer tiene que procesar una página MHTML, utiliza realmente la función MHTML de Outlook Express (el controlador de direcciones URL MHTML no se ha implementado por separado en Internet Explorer).
Debido a que el punto vulnerable se encuentra en Outlook Express, esta revisión contiene la solución para la vulnerabilidad descrita, así como todas las soluciones presentadas anteriormente para Outlook Express.

Entonces, aunque esta vulnerabilidad afecta a la forma en que se muestran ciertas páginas Web, ¿no afecta a Internet Explorer?
Sí, Internet Explorer no procesa por sí mismo los archivos MHTML. El lenguaje MHTML fue diseñado como una norma estándar para intercambiar contenido HTML por correo electrónico y, por tanto, el controlador de direcciones URL MHTML se ha implementado en Outlook Express y no en Internet Explorer.

No utilizo Outlook Express para leer el correo. ¿Es necesario que instale esta revisión?
Sí. Como el controlador de direcciones URL que gestiona los archivos MHTML se encuentra en Outlook Express, el usuario tiene que instalar esta revisión aunque no utilice Outlook Express para leer el correo.

¿Cómo funciona esta revisión de seguridad?
Esta revisión elimina el punto vulnerable prohibiendo que el formato MHTML lea cualquier tipo de archivo distinto de .MHT o .MHTML (que son los tipos de archivo asociados a los archivos con formato MHTML).

 

Disponibilidad de la revisión de seguridad

Lugares de descarga de esta revisión de seguridad

 

 
 
Información adicional acerca de esta revisión de seguridad
 

 

 

Plataformas de instalación:

Esta revisión puede instalarse en los sistemas que ejecuten:

  • La revisión para Outlook Express 5.5 SP2 puede instalarse en sistemas Windows 2000 con Service Pack 3

  •  La revisión para Outlook Express 6.0 puede instalarse en sistemas que ejecuten Windows XP Gold.

  • La revisión para Outlook Express 6.0 SP1 puede instalarse en sistemas que ejecuten XP Service Pack 1

 

Inclusión en futuros Service Packs:
La solución a este problema se incluirá en Internet Explorer 6.0 Service Pack 2.

 

Reinicio necesario: No

 

¿Se puede desinstalar esta revisión de seguridad? No

 

Revisiones de seguridad anuladas por ésta:
Ésta es una revisión acumulativa para Outlook Express e incluye la solución descrita en el boletín de seguridad de Microsoft MS02-058. .

 

Comprobación de la instalación de la revisión de seguridad:

  •  Para comprobar que la revisión se ha instalado en el equipo, abra Internet Explorer, seleccione Ayuda, haga clic en Acerca de Internet Explorer y confirme que Q330994  está incluido en el campo de versiones de actualización.

  • Para comprobar los archivos individuales, consulte la información sobre revisiones en el artículo 330994 de Microsoft Knowledge Base.

Advertencias: Ninguna.

 

Versiones traducidas:
Existen versiones traducidas de esta revisión de seguridad en las ubicaciones indicadas en "Disponibilidad de la revisión de seguridad".

 

Obtención de otras revisiones de seguridad:
Las revisiones de seguridad para otros problemas están disponibles en las ubicaciones siguientes:

·        Las revisiones de seguridad están disponibles en Microsoft Download Center, y se pueden encontrar con mayor facilidad mediante una búsqueda de la palabra clave "security_patch".

·        Las revisiones de seguridad para plataformas de usuarios están disponibles en el sitio Web WindowsUpdate.

 

 

Otra información:

 

Soporte técnico:

·        El artículo 330994 de la Knowledge Base de Microsoft trata este problema y estará disponible aproximadamente 24 horas después de la publicación de este boletín. Los artículos de la Knowledge Base se encuentran en el sitio Web de Soporte técnico en línea de Microsoft.

·        Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft. Las llamadas de soporte técnico relacionadas con las revisiones de seguridad son gratuitas.

 

Recursos de seguridad: El sitio Web Microsoft TechNet Security proporciona información adicional sobre la seguridad de los productos de Microsoft.

 

Renuncia:
La información proporcionada en la Knowledge Base de Microsoft se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales consecuenciales, pérdida de beneficios o daños especiales, aun en el caso de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.

 

Revisiones:

  •   V1.0 23.04.03: Creación del boletín.

 

 


 

 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft