El experto búlgaro ha encontrado un agujero de seguridad en el componente Active X de Office XP. Microsoft Outlook View Control brinda acceso a los mensajes de correo electrónico e información del calendario de Outlook vía web. Según Guniski, no es problema alguno para intrusos leer, modificar y borrar datos aprovechando un error de tal componente.
También es posible tener acceso al objeto de aplicaciones de Outlook, lo que significa que el intruso puede ejecutar scripts de su elección, con todos los derechos del programa. En la práctica, esto equivale a tomar el control de la máquina intervenida.
El error puede ser explotado mediante un sitio web manipulado o mediante un mensaje de e-mail. Guninski descubrió que no es necesario siquiera abrir el mensaje, ya que el script se activa incluso con la función de prever presente en Outlook.
En el sitio web de Guninski es posible probar una versión de demostración del problema, que requiere Internet Explorer 5.5, Outlook XP y Windows 2000.
Microsoft aún no publica un parche o código reparador del problema revelado por Guninski el 9 de julio.
📬 Newsletter gratuito
Lo más relevante de tecnología y negocios digitales en español — cada día, en cinco minutos.
