Categories: SeguridadVirus

Vulnerabilidad en función webcam de Microsoft Messenger 7.x

El programa, sin duda el más popular utilizado para la mensajería instantánea, sufre de un fallo muy parecido al que hace unas semanas se anunció en Yahoo! Messenger, otro popular cliente de mensajería.

Microsoft MSN Messenger, llamado Live Messenger desde su versión 8.x, apenas necesita presentación. Es el cliente de mensajería instantánea más usado desde que Windows XP lo incorporara por defecto en su instalación y desbancara al no menos popular ICQ, rey de la mensajería en los primeros años de Internet. El programa no ha sufrido demasiados problemas de seguridad en su versión 7.x, tampoco su versión 6.x resultó especialmente problemática.

Sí que ha servido para la propagación de troyanos a través de ingeniería social (enlaces en la conversación creados automáticamente y aparentemente originados por algún contacto), también para lo que se dio en llamar SPIM (SPAM over Instant Messenger) e incluso para el intento de propagación de adware (winfixer) a través de las pancartas de publicidad asociada que ofrece el programa.

El fallo publicado se debe a un error en el manejo de conversaciones de vídeo. Si se envían datos especialmente manipulados, un atacante podrá provocar un desbordamiento de heap y ejecutar código arbitrario si la víctima acepta una invitación de cámara web. Este fallo es muy similar al que se detectó a mediados de agosto en Yahoo! Messenger, competencia directa de Microsoft en mensajería instantánea.

El fallo se ha encontrado en versiones 7.x y anteriores. La versión 8.1 parece que no se ve afectada por este problema, lo que mitiga en parte el potencial impacto de la vulnerabilidad al ser la versión mayoritariamente usada. No existe parche oficial. Se recomienda no aceptar sesiones de cámara web no solicitadas y actualizar a la última versión 8.1 desde http://get.live.com/messenger/.

Los usuarios de Windows 2000 lo tienen más complicado. Messenger 8.x no se instalará en esta versión del sistema operativo, por lo que no podrán actualizar hasta que aparezca el parche correspondiente. El descubridor ha hecho público además un exploit para aprovechar el fallo que dice funcionar para la versión China de Windows 2000, pero que con algunas modificaciones, conseguiría ejecutar código en otros idiomas. Microsoft no ha realizado aún comunicado alguno al respecto.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago