Se ha detectado un problema de seguridad en la biblioteca Hyperlink Object (Hyperlink Object Library), que podría permitir a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft.

Nivel de gravedad: Crítica
Impacto: Ejecución remota de código
Fecha publicación: 8 de febrero de 2005


Software afectado:

- Microsoft Windows 2000 Service Pack 3
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
- Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 for Itanium-based Systems
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (ME)

El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft.

La versión original de Windows XP está fuera del ciclo de soporte extendido, finalizado el 30 de setiembre de 2004, por lo que se recomienda su actualización a Windows XP SP1 o superior.

La versión original de Windows 2000 Service Pack 2, está fuera del ciclo de soporte extendido, finalizado el 30 de junio de 2004.

Las versiones anteriores de Windows (98, 98 SE y Me), ya no poseen soporte y solo se proporciona actualizaciones en fallos críticos a través de Windows Update.

Versiones anteriores ya no poseen ninguna clase de soporte.


Descripción

Existe una vulnerabilidad en la biblioteca Hyperlink Object Library. El problema se produce por un búfer no comprobado cuando se manejan hiperenlaces. Un atacante podría explotar esta vulnerabilidad, construyendo un hiperenlace malicioso que potencialmente podría llevar a la ejecución remota de código, si el usuario hace clic sobre un enlace en una página web o en un correo electrónico, aunque se requiere cierta interacción para que el exploit sea exitoso.

Si el usuario actual tiene privilegios administrativos, un atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones.

La vulnerabilidad no puede explotarse de forma automática a través de un correo electrónico. El usuario debe hacer clic sobre un enlace en el mensaje para que el ataque tenga éxito. Se recomienda no seguir enlaces en mensajes no solicitados.

La biblioteca Hyperlink Object Library, es una colección de interfases para la programación de aplicaciones, utilizadas para el manejo de hiperenlaces.

La vulnerabilidad es crítica en los sistemas mencionados (incluido Windows 98, 98 SE y ME), pero en este último caso, la única forma de actualización es mediante el "Windows Update Web site" en el siguiente enlace:

http://go.microsoft.com/fwlink/?LinkId=21130


Descargas:

Las actualizaciones pueden descargarse de los siguientes enlaces:

Microsoft Windows 2000 SP3 y Microsoft Windows 2000 SP4
Actualización de seguridad para Windows 2000 (KB888113)
[url]http://www.microsoft.com/downloads/details.aspx?familyid=[/url]
9DC37971-9268-4CED-85A3-2CF487EAE378&displaylang=es

Microsoft Windows XP SP1 y Microsoft Windows XP SP2
Actualización de seguridad para Windows XP (KB888113)
[url]http://www.microsoft.com/downloads/details.aspx?familyid=[/url]
6005C5A3-AFF2-4765-B26F-BE47ED408E0B&displaylang=es

Microsoft Windows Server 2003
Actualización de seguridad para Windows Server 2003 (KB888113)
[url]http://www.microsoft.com/downloads/details.aspx?familyid=[/url]
68C55E18-3A3F-455B-A6C3-BB87B33CFD8E&displaylang=es

Descarga para otros productos:
[url]www.microsoft.com/technet/security/bulletin/ms05-015.mspx[/url]


Nota:

Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.


Más información:

Microsoft Security Bulletin MS05-015
[url]www.microsoft.com/technet/security/bulletin/ms05-015.mspx[/url]

Microsoft Knowledge Base Article - 888113
[url]http://support.microsoft.com/?kbid=888113[/url]

__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad