A20030320: Vulnerabilidades de segurança no «Script Engine» do Windows

Categoria: Alertas

quinta, 20 março 2003 16:03

Existe uma falha na maneira como o "Script Engine" para JScript processa a informação. Um atacante pode explorar esta vulnerabilidade, criando uma página web que ao ser visitada pela vitima, executará código arbitrário do atacante com os privilégios do utilizador. Alerta de segurança
Identificação: A20030320
Referências/fontes: Microsoft (www.microsoft.pt)
Severidade: Elevada
Revisões: -

CERT-PT (www.cert.pt)

I. Assunto

Vulnerabilidades de segurança no "Script Engine" do Windows.

II. Descrição

O "Script Engine" dá ao Windows a possibilidade de execução de código "script". Código "script" pode ser usado para adicionar funcionalidades a páginas web, ou para automatizar tarefas no sistema operativo ou entre programas.
O código "script" pode ser escrito em várias linguagens de programação, como por exemplo JSCript ou Visual Basic Script.

Existe uma falha na maneira como o "Script Engine" para JScript processa a informação. Um atacante pode explorar esta vulnerabilidade, criando uma página web que ao ser visitada pela vitima, executará código arbitrário do atacante com os privilégios do utilizador.
A página pode existir num servidor ou ser enviada ao utilizador por correio electrónico.

III. Impacto

O atacante pode executar código arbitrário com as permissões do utilizador.

IV. Sistemas vulneráveis/afectados

* Microsoft Windows 98
* Microsoft Windows 98 Second Edition
* Microsoft Windows Me
* Microsoft Windows NT 4.0
* Microsoft Windows NT 4.0 Terminal Server Edition
* Microsoft Windows 2000
* Microsoft Windows XP

V. Resolução

Aplicação de remendos do fabricante.
Está disponível um remendo em:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-008.asp

VI. Informações adicionais

VI.1. Alerta da Microsoft:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-008.asp