| Boletín de Seguridad de Microsoft MS03-006 Fallo en Windows Me Ayuda y centro de soporte. |
Descargar ahora |
Boletín de Seguridad de Microsoft MS03-006 Clasificación y resumen
- Nombre del editor:
- Microsoft
- Sitio web del editor:
- http://www.microsoft.com/
Boletín de Seguridad de Microsoft MS03-006 Etiquetas
Boletín de Seguridad de Microsoft MS03-006 Descripción
Desde Microsoft: El Centro de Ayuda y Soporte proporciona una instalación centralizada a través de la cual los usuarios pueden obtener asistencia en una variedad de temas. Por ejemplo, proporciona la documentación del producto, la asistencia para determinar la compatibilidad de hardware, el acceso a la actualización de Windows, la ayuda en línea de Microsoft y otras asistencia. Los usuarios y programas pueden ejecutar enlaces de URL para ayudar y admitir el centro utilizando el prefijo "HCP: //" en un enlace de URL en lugar de "http: //". Una vulnerabilidad de seguridad está presente en la versión de Windows ME de la ayuda y el centro de soporte, y los resultados porque el controlador de URL para el prefijo "HCP: //" contiene un búfer sin marcar. Un atacante podría explotar la vulnerabilidad al construir una URL que, al hacer clic en el usuario, ejecutaría el código de la elección del atacante en el contexto de seguridad informática local. La URL podría alojarse en una página web, o enviada directamente al usuario en el correo electrónico. En el escenario basado en la web, donde un usuario hizo clic en la URL alojada en un sitio web, un atacante podría tener la capacidad de leer o lanzar archivos ya presentes en la máquina local. En el caso de un ataque transmitido por correo electrónico, si el usuario estaba utilizando Outlook Express 6.0 o Outlook 2002 en sus configuraciones predeterminadas, o Outlook 98 o 2000 junto con la actualización de seguridad de correo electrónico de Outlook, entonces un ataque no pudo ser automatizado y el El usuario aún tendría que hacer clic en una URL enviada en el correo electrónico. Sin embargo, si el usuario no estaba utilizando Outlook Express 6.0 o Outlook 2002 en sus configuraciones predeterminadas, o Outlook 98 o 2000 junto con la actualización de seguridad de correo electrónico de Outlook, el atacante podría hacer que un ataque se active automáticamente sin que el usuario haga clic en una URL contenido en un correo electrónico.
Boletín de Seguridad de Microsoft MS03-006 Software relacionado