| CAIS-ALR-20082001aVulnerabilidade no ActiveX do Outlook [CAIS, 20.08.2001, revisão 01] Resumo A Microsoft está atualizando um alerta que envolve uma vulnerabilidade do View Control, controle ActiveX que permite que folders do Outlook sejam visualizados via html. Esta atualização do alerta ocorre pois a primeira versão apresentava uma solução temporária para o problema e agora existe uma solução definitiva para a vulnerabilidade. 1. Detalhes O controle ActiveX envolvido deveria somente permitir operações passivas, como por exemplo visualizar emails ou informações de calendário. A vulnerabilidade permite que a página html com o código malicioso manipule informações do Outlook, o que possibilita a um atacante deletar mensagens, alterar dados do calendário ou realizar qualquer ação, pois permite a execução de comandos arbitrários. Existe a possibilidade do atacante enviar um email com conteúdo html que convidaria o usuário a visitar um site que explore o código malicioso. Não existe forma do usuário ser forçado a visitar tal site. O aplicativo "Outlook E-mail Security Update" presente no Outlook 2002 inviabiliza este caso particular de ataque pois abre emails html na Zona de Sites Restritos (Restricted Sites Zone), onde os controles ActiveX são desabilitados por default. Para maiores informações sobre o "Outlook E-mail Security Update" visite: Para obter maiores informações sobre a vulnerabilidade citada e sobre como identificar tentativa de exploração através de sistemas de detecção, segue o nome padrão da vulnerabilidade, segundo o CVE (Common Vulnerabilities Outlook View ActiveX Control – CAN-2001-0538 2. Sistemas afetados Os sistemas conhecidamente afetados são: Microsoft Outlook 98 3. Aplicação de Correções As correções respectivas para cada versão são: Outlook 2002: Outlook 2000: Versão Administrador do Patch para o Outlook 2002 disponível em: A versão original do alerta da Microsoft pode ser vista em: http://www.microsoft.com/technet/security/bulletin/ms01-038.mspx O CAIS está a disposição para esclarecimentos. | Contato com o Cais: +55 (19) 3787-3300 |