miércoles, 29 de agosto de 2007

Vulnerabilidad en función webcam de Microsoft Messenger 7.x

Se han publicado los detalles de una vulnerabilidad en MSN Messenger
que puede ser aprovechada por atacantes para ejecutar código
arbitrario en el sistema víctima.

El fallo publicado se debe a un error en el manejo de conversaciones
de vídeo. Si se envían datos especialmente manipulados, un atacante
podrá provocar un desbordamiento de heap y ejecutar código arbitrario
si la víctima acepta una invitación de cámara web. Este fallo es muy
similar al que se detectó a mediados de agosto en Yahoo! Messenger,
competencia directa de Microsoft en mensajería instantánea.

El fallo se ha encontrado en versiones 7.x y anteriores. La versión
8.1 parece que no se ve afectada por este problema, lo que mitiga en
parte el potencial impacto de la vulnerabilidad al ser la versión
mayoritariamente usada. No existe parche oficial. Se recomienda no
aceptar sesiones de cámara web no solicitadas y actualizar a la última
versión 8.1