Vulnerabilidad en Microsoft Windows Modern Mail

Microsoft ha anunciado la disponibilidad de actualizaciones de seguridad para la aplicación Windows Modern Mail.

Recursos afectados:

  • Windows RT
  • Windows 8
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard

NOTA: Instalaciones de Windows Server 2012 Core no se ven afectadas.

Microsoft recomienda que los clientes que utilicen este software apliquen la actualización lo antes posible desde la característica de actualización (update) de Windows Store Apps.

El 26 de marzo de 2013, Microsoft publicó una actualización de seguridad en el Windows Store para solucionar una vulnerabilidad en Windows Modern Mail que podría permitir a atacantes remotos llevar a cabo ataques de falsificación (spoofing attacks).

La vulnerabilidad es debida a una insuficiente validación de las URLs procesadas por Windows Modern Mail. Un atacante que explote dicha vulnerabilidad podría hacer que un enlace que apunte a un sitio web malicioso pareciera apuntar a otro sitio legítimo o de confianza. Para ello únicamente tendría que enviar un email en html especialmente diseñado.

Fuente