El fallo de seguridad al que se refiere Microsoft afecta a los llamados Microsoft Data Access Components (MDAC), una serie de componentes que permiten el acceso a bases de datos, según un comunicado de Foundstone, la empresa que descubrió el fallo.

Esta vulnerabilidad incluye lo que se conoce como “búfer no verificado” en el componente RDS (Remote Data Services) de MDAC. La programación defectuosa está en una función llamada RDS Data Stub, que se utiliza para tomar datos de las solicitudes HTTP entrantes y generar comandos RDS, según Microsoft.

Un atacante podría aprovechar el fallo enviando una solicitud de datos falsa con un exceso de datos en HTTP al Data Stub, lo que provocaría un desbordamiento del búfer, permitiendo que se admitan los datos del atacante y se ejecuten en el equipo afectado.

La vulnerabilidad afecta a ciertas versiones de Windows NT, Windows 2000 y Windows Me, así como potencialmente a otras versiones de su sistema operativo. Según Microsoft, los usuarios de Windows XP no se incluyen entre los afectados y por tanto no es necesario que tomen ningún tipo de medida. La vulnerabilidad afecta a MDAC, versiones 2.1, 2.5 y 2.6, según Microsoft. El agujero de seguridad en MDAC es particularmente peligroso debido a la gran cantidad de sistemas vulnerables y por la facilidad con la que gusanos existentes como Code Red o Nimda podrían ser modificados para aprovecharlo, como afirma Stuart McClure, presidente de Foundstone.

Microsoft recomienda a los usuarios que puedan estar afectados por esta vulnerabilidad que consulten el boletín de seguridad MS02-065 que se encuentra en el sitio web de Microsoft. El parche de seguridad se puede descargar en la dirección www.microsoft.com/downloads/release.asp?ReleaseID=44733.

Tel: 918 079 999

www.microsoft.com