viernes, 12 de octubre de 2007

Vulnerabilidad en IE al usar cualquier objeto COM

Según una alerta publicada por el US-CERT, Microsoft Internet Explorer (IE), puede intentar utilizar objetos COM que no están destinados para ser empleados en el navegador. Esto puede provocar una variedad de comportamientos no deseados en el sistema, tales como que el IE deje de responder.

Microsoft COM (Modelo de Objetos Componentes), es una tecnología que permite a los programadores, crear elementos reutilizables que pueden ser incorporados a diferentes aplicaciones para extender su funcionalidad. Esto incluye COM+, Distributed COM (DCOM), y controles ActiveX.

Los controles ActiveX son diseñados tradicionalmente para ser utilizados en el Internet Explorer. Una página Web puede hacer uso de un control ActiveX de diversas maneras, por ejemplo haciendo referencia a él por su identificador de clase (CLSID) en una etiqueta HTML (cada componente COM tiene su CLSID en el registro de Windows).

El problema se produce porque Internet Explorer admite cualquier objeto COM referenciado en un documento HTML, sin importar si el mismo ha sido diseñado o no para ser utilizado en el navegador.

La "instanciación" de ciertos objetos COM (término aplicado en programación a la creación de un objeto a partir de una clase específica), puede causar que IE falle. Otros objetos COM podrían provocar efectos inesperados.

La cantidad de objetos COM vulnerables presentes en el sistema, depende del software instalado, ya que probablemente éste agregue más objetos COM vulnerables a los que de por sí incorpora el propio Windows.

Si un atacante convence a un usuario para visualizar una página Web o un correo electrónico con formato HTML creados maliciosamente, podría llegar a ejecutar código arbitrario con los mismos privilegios del usuario que inició la sesión actual.

El atacante también podría hacer que Internet Explorer u otro programa utilizado para ver el código anterior, se bloquee.

Una de las formas de minimizar este riesgo, es instalar Internet Explorer 7, ya que el mismo agrega la opción "ActiveX Opt-In". Se trata de una protección contra aquellos controles ActiveX no autorizados, que deshabilita automáticamente todos los controles que el usuario no ha habilitado previamente, solicitándosele una confirmación a través de la barra de información antes de tener acceso a los mismos ("Instalar control ActiveX...").

Tenga en cuenta que utilizar otro navegador, no elimina IE de un sistema Windows, y otros programas pueden invocar al Internet Explorer, o a otros componentes de Windows involucrados, tales como el WebBrowser ActiveX control (WebOC), o el motor HTML (MSHTML).

No aceptar enlaces no solicitados y configurar el correo electrónico para visualizarlo solo en modo texto, también ayuda a proteger el sistema (en el Outlook Express y en Windows Mail, esto se encuentra en Herramientas, Opciones, Leer, seleccionando "Leer todos los mensajes como texto sin formato").


Relacionados:

Vulnerability Note VU#680526
Microsoft Internet Explorer can use any COM object
http://www.kb.cert.org/vuls/id/680526


Créditos:

Shane Hird