Agujero extensiones de Frontpage

  • Por
Basada en ataques de denegación de servicio o la ejecución de código malicioso.
Los chicos de Hispasec se hacen eco de una nueva vulnerabilidad recogida por los productos Microsoft.

Un problema en las extensiones FrontPage de servidor puede permitir a un usuario malicioso la realización de ataques de denegación de servicio o incluso la ejecución de código en los servidores afectados.

El interprete SmartHTML (shtml.dll) forma parte de las extensiones FrontPage de servidor (FPSE), y proporciona soporte para formularios web y otro contenido dinámico basado en FrontPage. El intérprete contiene un fallo que puede ser expuesto al procesar una petición de un tipo particular de archivo web si la petición tiene determinadas características.

Un ataque exitoso tendrá diferentes resultados en función de la versión instalada, bajo FrontPage Server Extensions 2002 se producirá un desbordamiento de búfer que permitirá al atacante la ejecución de código. Mientras que bajo FrontPage Server Extensions 2000 provocará el consumo de la mayor parte (o todos) de los recursos de CPU hasta que el servicio web se reinicie.

Las actualizaciones publicadas por Microsoft se encuentran disponibles en:

Microsoft FrontPage Server Extensions 2002
http://download.microsoft.com/download/FrontPage2002/.....
Microsoft FrontPage Server Extension 2000 para NT4
http://download.microsoft.com/download/fp2000fd2000/.....
Microsoft FrontPage Server Extensions 2000 para Windows XP:
http://windowsupdate.microsoft.com/
Microsoft FrontPage Server Extensions 2000 para Windows 2000:
http://windowsupdate.microsoft.com/

Más información:

Microsoft Security Bulletin MS02-053: Buffer Overrun in SmartHTML Interpreter Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS02-053.asp

Autor

Miguel Angel Alvarez

Miguel es fundador de DesarrolloWeb.com y la plataforma de formación online EscuelaIT. Comenzó en el mundo del desarrollo web en el año 1997, transformando su hobby en su trabajo.

Compartir