| Artículos | 01 JUN 2002

Vulnerabilidades en tecnología Microsoft aplicada a terceros.

Tags: Histórico
Daniel Avila.

Daniel Avila Rubio davila@idg.es

Productos de fabricantes que usan la tecnología de Microsoft se ven envueltos en los fallos de seguridad que les afectan directamente; en este caso Cisco es el protagonista. También advertimos a los usuarios de Mac que utilicen Microsoft Internet Explorer y Office (en varias versiones) de la existencia de nuevas vulnerabilidades existentes en este software.

Vulnerabilidad: fallos de Microsoft IIS en productos Cisco
Este aviso describe una vulnerabilidad producida en varios productos de la empresa Cisco que son instalados en sistemas operativos de Microsoft junto al servidor de servicios Web IIS (Internet Information Server). La vulnerabilidad se encuentra en el software de Microsoft y no en los productos de Cisco, pero aun así, esto hace que los productos de Cisco basados en software de Microsoft sean vulnerables.

Para determinar si un producto es vulnerable consulte la lista siguiente (si se indica la versión, sólo ésa será vulnerable):
- Cisco CallManager 3.0, 3.1, 3.2.
- Cisco ICS 7750.
- Cisco Unity.
- Cisco Building Broadband Service Manager 4.x, 5.x.
- Cisco uOne Enterprise Edition.
- Cisco Network Registrar (CNR).
- Cisco Intelligent Contact Manager (ICM).
Los siguientes productos de Cisco pueden ser instalados en varios servidores Web, y son vulnerables si se instalan en un IIS:
- Cisco Collaboration Server (CCS).
- Cisco Dynamic Content Adapter (DCA).
- Cisco Media Blender (CMB).
- TrailHead.

En concreto, las vulnerabilidades que afectan a los productos de Cisco son de dos tipos: denegación de servicio (DoS) y buffer overflow. La primera hace que la máquina afectada deje de responder eficazmente y, por tanto, la inutiliza; la segunda permite la ejecución de software sin consentimiento del administrador.

Si bien estas vulnerabilidades ya han sido publicadas por Microsoft independientemente de los productos de Cisco, es cierto que muchos integradores de sistemas Cisco instalan IIS como añadido y le restan importancia, lo cual es un error desde el punto de vista de la seguridad.

Solución
En la siguiente dirección se puede encontrar más información sobre esta vulnerabilidad, así como los parches correspondientes proporcionados por Cisco para sus clientes:
www.cisco.com/warp/public/707/Microsoft-IIS-vulnerabilities-MS02-018.shtml.

Vulnerabilidad: buffer overflow en Internet Explorer yOffice para Mac OS X
Las últimas versiones del sistema operativo de Apple Mac OS X se venden con el navegador Internet Explorer de Microsoft instalado por defecto para proporcionar acceso a la red de redes.

Existe un fallo en la versión actualmente suministrada que permite a un hacker enmascarar en una página web una serie de códigos que permiten la ejecución arbitraria de software en la máquina afectada, debido a un fallo de tipo buffer overflow.
El siguiente código es un ejemplo que puede reproducir este fallo:
<html>
<body>
<img src=file:///[1313 caracteres]%41%42%43%44>
</body>
</html>

Al ejecutar este sencillo código, la rutina de devolución de la dirección de IE generará un desbordamiento de buffer y permitirá a un atacante ejecutar código arbitrario en la máquina afectada.

Además del navegador, otras aplicaciones afectadas son Microsoft Outlook Express (5.0.2), Entourage (2001 y X), PowerPoint (98, 2001 y X), Excel (2001 y X) y Word (2001).

Solución
Para el software Internet Explorer para Mac OS X se puede descargar el parche de www.apple.com/macosx/upgrade/softwareupdates.html. Para el resto de productos, los parches se pueden descargar de la web de Microsoft dedicada al Mac www.microsoft.com/mac/download.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información