Todas las versiones de Windows, desde Windows 98 hasta la actualidad, incluyen una función de ayuda basada en HTML (Hypertext Markup Language). La mayor parte de su funcionalidad está provista por un control ActiveX, un componente de software que puede ser llamado por una página web. Un buffer no revisado en este control es lo que expone el sistema del usuario, según ha informado Microsoft en el boletín de seguridad MS02-055.

La cuestión ha sido considerada como crítica por Microsoft puesto que la función de ayuda también puede ser activada por un sitio web o un correo electrónico HTML, no sólo mediante las aplicaciones del PC del usuario. Un atacante que invoque la función de ayuda y explote el fallo podría llevar a cabo virtualmente cualquier acción que el mismo usuario pudiera ejecutar.

Los usuarios de Outlook 2002 o Outlook Express 6 están protegidos de el ataque basado en el correo electrónico porque estas aplicaciones operan con mensajes de HTML de una forma diferente. Los usuarios que hayan instalado la actualización de seguridad para Outlook recomendada por Microsoft, también están protegidos contra estos ataques.

Para proteger el sistema contra este tipo de ataques, Micorostf ha puesto a disposición de los usuarios un parche. De todos modos, los usuarios necesitarían la versión 5,01, la 5.5 o la 6 de Internet Explorer instalada para que realmente funcione.

www.microsoft.com