Coordinación de Seguridad de la Información

Coordinación de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-269 Vulnerabilidad de corrupción de memoria en 'javaprxy.dll' de Internet Explorer.

Se reportó una vulnerabilidad en Microsoft Internet Explorer, que posiblemente puede explotarse para comprometer el sistema de un usuario.

  • Fecha de Liberación: 1-Jul-2005
  • Fuente:

    SEC-CONSULT Security Advisory
    20050629-0

  • Riesgo
    Extremadamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Buffer overflow

Sistemas Afectados

Internet Explorer == 5.01
Internet Explorer == 5.5
Internet Explorer == 6.0
  1. Descripción

    SEC Consult reportó una vulnerabilidad en Microsoft Internet Explorer, que posiblemente puede explotarse por personas maliciosas para comprometer el sistema de un usuario.

    La vulnerabilidad se debe a que un objeto COM de javaprxy.dll se instancia de forma incorrecta en el Internet Explorer via la etiqueta object. Esto puede explotarse via un sitio web malicioso para corromper la memoria.

    Una explotación exitosa podria permitir la ejecución de código arbitrario. Pero requiere que el archivo "javaprxy.dll" exista en el sistema.

    NOTA:"javaprxy.dll" es incluido con la máquina virtual de Java de Microsoft. Hay un exploit disponible a todo el público.

    La vulnerabilidad fue confirmada y reparada en sistemas con Internet Explorer 6.0, Microsoft VM (virtual machine) build 3802 y Microsoft Windows XP SP2. Internet Explorer 5.01 y 5.5 tambien son afectadas.

  2. Impacto

    Negación de servicio (DoS).

    Acceso al sistema.

  3. Solución

    El fabricante recomienda inicializar las zonas de seguridad de Internet y de la intranet local a "High", o deshabilitar, restringir el acceso a los objetos COM de javaprxy.dll. Esto puede afectar la funcionalidad

  4. Apéndices

    Mayor información.

    Microsoft:
    http://www.microsoft.com/technet/

    SEC Consult:
    http://www.sec-consult.com/

    US-CERT VU#939605:
    http://www.kb.cert.org/vuls/id/939605

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México AENOR LOGO FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT