Vulnerabilidad en Windows Mail de Windows Vista
Microsoft Windows Mail (una especie de sucesor de Outlook Express en Windows Vista) es proclive a una nueva vulnerabilidad, debida a un error de diseño, que permite la ejecución de ficheros por parte de un atacante remoto.
Aprovechando este fallo, el atacante puede ejecutar código en Windows Vista con los privilegios del usuario víctima, sin más que lograr que éste pulse sobre un enlace malicioso contenido en un mensaje de correo...
Según Symantec, sólo podrían ejecutarse ficheros locales del propio sistema, a no ser que el atacante fuera capaz de ubicar su código por otros medios. SecurityFocus -en cambio- habla de "código arbitrario".
Están afectadas todas las versiones de Windows Vista y en estos momentos no existe parche. Mientras tanto se aconseja deshabilitar el correo HTML en Windows Mail.
Microsoft afirma estar investigando el asunto, aunque manifiesta que aún no tiene constancia de ataques explotando este fallo.
Más información:
- Microsoft Windows Vista Windows Mail Remote File Execution Vulnerability [SecurityFocus].
- Microsoft investigates Windows Vista Mail flaw [TechTarget].
