De nuevo fue Secunia quien detecto este bug en las aplicaciones de
Microsoft y que pueden ser aprovechados por intrusos para ejecutar programas
presentes en la maquina de la victima. Este se aprovecharía del comando "shell:
" que permite que un sitio o un hacker invoque varios programas asociados con
extensiones específicas. Aunque el impacto del fallo está restringido porque no
es posible pasar parámetros a los nombres de archivos, este tipo de error podría
permitir la ejecución de código maligno, si se combina con otras
vulnerabilidades.
Según esta consultora, aunque existe esta posibilidad de ejecución, se precisa,
sin embargo, que el hacker o el sitio web que explote esta vulnerabilidad
conozca con exactitud la localización del programa en el ordenador de la
victima, algo tampoco muy difícil, ya que por regla general, todas las
aplicaciones se suelen instalar en las mismas ubicaciones. Secunia, también
insiste, que esta no permite que el intruso pueda instalar programas
perjudiciales en el sistema atacado
Esta vulnerabilidad ha sido calificada como "shell: protocol security issue"
|