Coordinación de Seguridad de la Información

Coordinación de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-549 Ejecución de código arbitrario en 'window()' de Microsoft Internet Explorer.

Se reportó una vulnerabilidad en Internet Explorer, que puede explotarse para comprometer el sistema de un usuario.

  • Fecha de Liberación: 21-Nov-2005
  • Ultima Revisión: 22-Nov-2005
  • Fuente: Benjamin Tobias Franz
  • CVE ID: CAN-2005-1790
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Validación inapropiada

Sistemas Afectados

Windows 2000 Server SP4 Microsoft Internet Explorer 6.0
Windows XP Service Pack 2 Microsoft Internet Explorer 6.0
  1. Descripción

    Benjamin Tobias Franz reportó una vulnerabilidad en Internet Explorer, que puede explotarse por personas maliciosas para comprometer el sistema de un usuario.

      La vulnerabilidad es ocasionada porque ciertos objetos no son inicializados correctamente cuando se utiliza la función "window()" en conjunto con el evento "

      ". Esto puede explotarse para ejecutar código arbitrario en el navegador via código JavaScript malicioso que se carga cuando se accede a un sitio.

      Ejemplo:

      Una explotación exitosa requiere engañar al usuario para que ingrese a un sitio Web malicioso.

      Nota: Se liberó una prueba de concepto para esta vulnerabilidad.

    La vulnerabilidad fue confirmada en Internet Explorer 6.0 corriendo en Windows XP SP2 o en Windows 2000 SP4.

  2. Impacto

    Acceso al sistema.

  3. Solución

    Deshabilitar Active Scripting excepto para sitios confiables.

  4. Apéndices

    Mayor información.

    http://www.computerterrorism.com/research/ie/ct21-11-2005.htm

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México AENOR LOGO FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT