Importante vulnerabilidad en el convertidor HTML de Windows

Oxygen3 24h-365d, por Panda Software 

Madrid, 10 de julio, 2003 - Microsoft ha avisado en su boletín de la existencia de un problema de seguridad existente en el convertidor HTML(*), que afecta a versiones de Windows y posibilita la ejecución de código arbitrario. La compañía también ha anunciado la disponibilidad de las actualizaciones que lo corrigen.

La vulnerabilidad tiene su origen en cómo, durante una operación de cortar y pegar, procesa el convertidor HTML de Windows los datos, provocando un desbordamiento de buffer. En la práctica, como la función de conversión HTML se encuentra en Internet Explorer, un atacante podría crear una página web, o e-mail con formato HTML, para provocar la ejecución de código arbitrario aprovechando el desbordamiento de buffer.

Microsoft considera que la vulnerabilidad es "crítica" en Windows 98, NT, 2000 y XP, y la califica como "moderada" en Windows Server 2003, ya que en este último caso Internet Explorer se ejecuta por defecto en un modo más seguro, que mitiga las posibilidades del ataque. Versiones anteriores del sistema operativo, que ya no tienen soporte de Microsoft, no han sido testadas (como, por ejemplo, Windows 95), por lo que se desconoce si también se encuentran afectadas.

Todos los detalles sobre la vulnerabilidad y la descarga e instalación de las actualizaciones, según las correspondientes versiones, pueden consultarse en el boletín de Microsoft, disponible en la dirección:

http://www.microsoft.com/technet/security/bulletin/MS03-023.asp

(*)
Todas las versiones de Windows contienen funciones específicas para convertir diferentes formatos de archivos. Uno de los formatos soportados de forma nativa por el sistema operativo es el HTML,lo que permite a los usuarios ver, importar o guardar archivos como HTML.