Ultima vulnerabilidad de Windows: infectarse al visualizar un archivo .JPEG

La imagen maliciosa podría mostrarse en un sitio web, ser enviada en un correo electrónico, o descargada de una red P2P.

Son vulnerables Windows XP, Windows Server 2003 y Office XP. Las versiones anteriores de Windows, aunque no son afectadas en forma directa, se convierten en un riesgo si el usuario ha instalado cualquiera de las otras aplicaciones de Microsoft que utilizan el mismo código defectuoso.

El recientemente liberado Service Pack 2 de Windows XP no posee este fallo, pero si se ejecuta sobre él una versión vulnerable de Office o de cualquiera de los otros programas afectados, el sistema también podría ser atacado.

Los parches están disponibles en el sitio de la compañía y a través de Windows Update. Microsoft dijo no tener informes de que este agujero de seguridad haya sido explotado públicamente. Tampoco se ha visto ningún ejemplo del tipo “prueba de concepto” hasta el momento de escribir este artículo.

Esta vulnerabilidad con archivos de imágenes, no es la primera de su tipo. Los desarrolladores de Mozilla debieron corregir fallos críticos que afectaban el formato PNG, y más recientemente, otro en archivos BMP.

Durante el pasado mes de julio (2004), Microsoft solucionó dos agujeros en el Internet Explorer, también relacionados con imágenes BMP y con archivos GIF, este último anunciado casi un año antes.

La idea de poderse infectar por solo ver una imagen, siempre fue considerada absurda. Pero esto ya quedó en el pasado. Hoy día, es posible ejecutar código maligno en nuestra computadora a partir de algún archivo de este tipo, si no actualizamos nuestro software para cerrar los fallos anunciados.

El parche de Microsoft para esta vulnerabilidad está disponible en el siguiente enlace:

http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx

Un segundo parche publicado el mismo martes, corrige un potencial problema en algunos componentes de Office, que también podrían provocar la ejecución de código. Dicho parche está disponible en el siguiente enlace:

http://www.microsoft.com/technet/security/bulletin/ms04-027.mspx

Deja un comentario