Vulnerabilidad crítica en Windows (WebViewFolderIcon)


alerta Naranja

Una vulnerabilidad crítica ha sido detectada en el shell de Microsoft Windows, la cuál puede ser explotada para la ejecución de código de forma remota.

El problema es ocasionado por el objeto ActiveX "Microsoft WebViewFolderIcon ActiveX control" (Web View), utilizado por el Explorador de Windows.

La vulnerabilidad puede ser utilizada por un atacante para la ejecución remota de código, a través de una página Web maliciosa o de un correo electrónico con formato HTML.

También puede ser explotada por un troyano u otra clase de malware.

Son afectadas todas las versiones de Windows actualmente soportadas, menos Windows Server 2003 y Windows Server 2003 SP1 con la configuración por defecto.

NOTA 30/09/06: La cantidad de reportes de sitios que explotan esta vulnerabilidad ha aumentado al grado que pasamos el nivel de alerta a NARANJA. Es necesario que las personas apliquen las medidas sugeridas en este artículo para minimizar los riesgos de infección por códigos maliciosos que podrían instalarse utilizando esta vulnerabilidad, hasta que Microsoft publique un parche para el problema.


Solución:

No existe una solución oficial para este problema al momento de la publicación de esta alerta.


Herramienta para habilitar el kill bit de WEBVW.DLL

El SANS Institute Internet Storm Center (http://isc.sans.org), ha publicado una herramienta que habilita el "kill bit" del componente afectado (WEBVW.DLL)

Para usarla, descargue el archivo siguiente y ejecútelo en su PC:

http://handlers.sans.org/tliston/WEBVW.DLL_KillBit.exe

Al ejecutarlo, un mensaje del tipo "No se puede comprobar el fabricante, ¿Está seguro que desea ejecutar este software?" podría ser mostrado. En ese caso, a pesar de la advertencia, pulse el botón "Ejecutar".

Si el kill bit no ha sido activado (sería la situación normal la primera vez que use esta herramienta), una ventana con el título "Error" y el mensaje "The killbit for WEBVW.DLL is currently UNSET. Do you want to set it?" le será mostrada. Pulse en "Si" para activarlo (esto protegerá su PC de un exploit para esta vulnerabilidad).

Si por el contrario, el kill bit ya ha sido activado, una ventana con el título "Error" y el mensaje "The killbit for WEBVW.DLL is currently SET. Do you want to remove it?" le será mostrada. Pulse en "Si" para desactivarlo (si por alguna razón deseara hacerlo).

Recuerde, su PC estará protegido si ACTIVA el kill bit de WEBVW.DLL (SET killbit).

El SANS también publicó la misma herramienta para ser ejecutada desde línea de comandos.

Más información Aqui

Un Saludo

¿que raro una vulnerabilidad en windows no?



La historia de nunca acabar.

Saludos.