El shell de Windows es responsable de proporcionar el marco básico de la experiencia de interfaz de usuario de Windows. Es más familiar para los usuarios como el escritorio de Windows, sino que también ofrece una variedad de otras funciones para ayudar a definir la sesión de cómputo del usuario, incluyendo la organización de archivos y carpetas, y proporcionar los medios para iniciar aplicaciones.
Existe un búfer sin comprobar en una de las funciones usadas por el shell de Windows para extraer información de atributos personalizados a partir de archivos de audio. Resultados una vulnerabilidad de seguridad, ya que es posible que un usuario malicioso para montar un ataque de desbordamiento de búfer y tratar de aprovecharse de este problema.
Un atacante podría aprovechar esta vulnerabilidad mediante la creación de un MP3 o un archivo WMA que contiene un atributo personalizado corrupto y luego alojarlo en un sitio web o en un recurso compartido de red, o enviarlo a través de un correo electrónico HTML. Si un usuario para asomar su ratón puntero sobre el icono del archivo (ya sea en una página Web o en el disco local), o abrir la carpeta compartida donde está almacenado el archivo, se invoca el código vulnerable. Un correo electrónico HTML podría hacer que el código vulnerable que se invoca cuando un usuario abre una vista previa o la dirección de correo. Un ataque exitoso podría tener el efecto de cualquiera causando el shell de Windows falle, o causando código de un atacante para ejecutar en el ordenador del usuario en el contexto de seguridad del usuario.
Para obtener más información acerca de las vulnerabilidades de esta actualización corrige, lea el boletín de seguridad de Microsoft asociado.
Requisitos
Windows XP 32-bit
Comentarios que no se encuentran