Tags Palabras claves

Revelación del campo CCO: en Outlook Express

27/08/2004 - 01:05 por Verónica B. | Informe spam
Según informa Secunia, ha sido reportada una debilidad en
Microsoft Outlook Express 6, que permite revelar el contenido
del campo BCC: (CCO: en las versiones en español del
programa).

Si al enviar un mensaje, incluimos las direcciones de varios
destinatarios en los campos "Para:" o "CC:" (Carbon Copy o
Copia en Carbón), todos los destinatarios podrán ver las
direcciones de correo del resto de las personas a las que se
envía el correo. Existen muchas razones para no querer que se
muestren todas las direcciones a todos los destinatarios, y
una de las más obvias, es no favorecer la propagación de
gusanos que toman estas direcciones para luego reenviarse a
todas ellas.

Si en cambio utilizamos el campo "BCC:" o "CCO:", podremos
enviar un mismo correo a varias personas ocultando todas las
direcciones que existan en ese campo (ninguno de los
receptores ve la dirección de los demás). BCC significa
"Blind Carbon Copy" ("Copia en Carbón Oculta" o CCO en
español).

Sin embargo, existe un fallo que permite revelar las
direcciones incluidas en el campo CCO:, a todos los demás
receptores del mismo mensaje.

El problema es causado por un error que se produce cuando se
envía un mensaje en formato multipartes. El fallo puede
permitir que aquellas personas cuyas direcciones se
encuentran en los campos "Para:" y "CC:", puedan visualizar
las direcciones de quienes estén en el campo "CCO:".

De todos modos, para verlos en el propio Outlook Express, se
requiere que los usuarios copien el mensaje en un editor
externo, como el bloc de notas. En otros clientes de correo,
los recipientes del campo "BCC:" o "CCO:", son directamente
desplegados en el cuerpo del mensaje sin necesidad de
visualizarlo en un editor.

Una explotación exitosa, requiere que el usuario que manda el
correo electrónico haya configurado Outlook Express para
dividir los mensajes que superen determinado tamaño (una
opción que divide en varios mensajes uno más grande, por
ejemplo de 60 KB). Esta opción se encuentra en las
propiedades de la cuenta del usuario, en Opciones avanzadas
(Envío, "Separar mensajes mayores de "). Sin embargo, no está
implementada por defecto.

Existe una solución provisoria publicada por Microsoft, sin
embargo, la misma no ha sido completamente probada, por lo
que Microsoft pide que se aplique solo en aquellos sistemas
que experimenten este problema en forma específica. La misma
debe ser solicitada al servicio de soporte del producto. Un
parche será incluido en la próxima actualización acumulativa
de Outlook Express.

Si usted necesita enviar mensajes a varios recipientes en el
campo CCO: (o BCC:), no utilice la opción "Separar mensajes
mayores de " en la configuración de su cuenta.

fuente: www.vsantivirus.com

saludos
Verónica B.
 

Leer las respuestas

#1 José Gallardo
27/08/2004 - 15:53 | Informe spam
Gracias por la información. :-)

"Verónica B." escribió en el mensaje
news:
Según informa Secunia, ha sido reportada una debilidad en
Microsoft Outlook Express 6, que permite revelar el contenido
del campo BCC: (CCO: en las versiones en español del
programa).

Si al enviar un mensaje, incluimos las direcciones de varios
destinatarios en los campos "Para:" o "CC:" (Carbon Copy o
Copia en Carbón), todos los destinatarios podrán ver las
direcciones de correo del resto de las personas a las que se
envía el correo. Existen muchas razones para no querer que se
muestren todas las direcciones a todos los destinatarios, y
una de las más obvias, es no favorecer la propagación de
gusanos que toman estas direcciones para luego reenviarse a
todas ellas.

Si en cambio utilizamos el campo "BCC:" o "CCO:", podremos
enviar un mismo correo a varias personas ocultando todas las
direcciones que existan en ese campo (ninguno de los
receptores ve la dirección de los demás). BCC significa
"Blind Carbon Copy" ("Copia en Carbón Oculta" o CCO en
español).

Sin embargo, existe un fallo que permite revelar las
direcciones incluidas en el campo CCO:, a todos los demás
receptores del mismo mensaje.

El problema es causado por un error que se produce cuando se
envía un mensaje en formato multipartes. El fallo puede
permitir que aquellas personas cuyas direcciones se
encuentran en los campos "Para:" y "CC:", puedan visualizar
las direcciones de quienes estén en el campo "CCO:".

De todos modos, para verlos en el propio Outlook Express, se
requiere que los usuarios copien el mensaje en un editor
externo, como el bloc de notas. En otros clientes de correo,
los recipientes del campo "BCC:" o "CCO:", son directamente
desplegados en el cuerpo del mensaje sin necesidad de
visualizarlo en un editor.

Una explotación exitosa, requiere que el usuario que manda el
correo electrónico haya configurado Outlook Express para
dividir los mensajes que superen determinado tamaño (una
opción que divide en varios mensajes uno más grande, por
ejemplo de 60 KB). Esta opción se encuentra en las
propiedades de la cuenta del usuario, en Opciones avanzadas
(Envío, "Separar mensajes mayores de "). Sin embargo, no está
implementada por defecto.

Existe una solución provisoria publicada por Microsoft, sin
embargo, la misma no ha sido completamente probada, por lo
que Microsoft pide que se aplique solo en aquellos sistemas
que experimenten este problema en forma específica. La misma
debe ser solicitada al servicio de soporte del producto. Un
parche será incluido en la próxima actualización acumulativa
de Outlook Express.

Si usted necesita enviar mensajes a varios recipientes en el
campo CCO: (o BCC:), no utilice la opción "Separar mensajes
mayores de " en la configuración de su cuenta.

fuente: www.vsantivirus.com

saludos
Verónica B.


Preguntas similares