1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Bolwin de Seguridad UNAM-CERT-2006-067 Vulnerabilidades en Microsoft XML Core Services podrían permitir la ejecución remota de código

Existe una vulnerabilidades en Microsoft XML Core Services podrían permitir la ejecución remota de código.

  • Fecha de Liberación: 10-Oct-2006
  • Ultima Revisión: 11-Oct-2006
  • Fuente: Microsoft Corp
  • Riesgo Crítico
  • Problema de Vulnerabilidad Local y remoto

Sistemas Afectados

Microsoft Office 2003 Service Pack 1 o Service Pack 2 con Microsoft XML Core Services 5.0 Service Pack 1 KB924191
Windows 2000 Server SP4 Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) KB924191
Windows Server 2003 Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) KB924191
Windows Server 2003 Service Pack 1 Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) KB924191
Windows Server 2003 Service Pack 1 para Sistemas Basados en Itanium Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) KB924191
Windows Server 2003 Sistemas Basados en Itanium Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) KB924191
Windows XP Profesional Edición x64 Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) KB924191
Windows XP Service Pack 1 Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) KB924191
Windows XP Service Pack 2 Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) KB924191
  1. Descripción

    • Vulnerabilidad de Microsoft XML Core Services: (CVE-2006-4685)
    • Existe una vulnerabilidad en Microsoft XML Core Services que podría permitir la divulgación de información debido a que el control ActiveX XMLHTTP interpreta incorrectamente un redireccionamiento HTTP de servidor. Esto se debe a que existe un error en el modo en que el control XMLHTTP aplica la configuración de seguridad de IE a un flujo de datos redirigido que se devuelve en respuesta a una solicitud de datos de un sitio web.

    • Vulnerabilidad de saturación de búfer de XSLT (CVE-2006-4686)
    • Existe una vulnerabilidad en el procesamiento de XSLT que podría permitir la ejecución remota de código en el sistema afectado. Esto se debe a una vulnerabilidad en un búfer de cadena, dentro del control XSLT en MSXML

  2. Impacto

    Un intruso podría aprovechar esta vulnerabilidad mediante la construcción de una página web diseñada especialmente que lograra llevar a la divulgación de información cuando un usuario visitara dicha página o hiciera clic en un vínculo en un mensaje de correo electrónico especialmente diseñado o también podría ejecutar código de. Un intruso que aprovechara esta vulnerabilidad podría tener acceso al contenido de otro dominio recuperado mediante las credenciales del usuario que explora la Web en el cliente. Sin embargo, la intervención del usuario es necesaria para aprovechar esta vulnerabilidad.

  3. Solución

    Aplicar una actualización:

    • Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Windows 2000 Service Pack 4 – Descargar la actualización
    • Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Microsoft Windows XP Service Pack 1 – Descargar la actualización
    • Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Microsoft Windows XP Service Pack – Descargar la actualización
    • Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Microsoft Windows XP Professional x64 Edition – Descargar la actualización
    • Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Microsoft Windows Server 2003 – Descargar la actualización
    • Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Microsoft Windows Server 2003 Service Pack 1 – Descargar la actualización
    • Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Microsoft Windows Server 2003 para sistemas con Itanium y Microsoft Windows Server 2003 con SP1 para sistemas con Itanium – Descargar la actualización
    • Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Microsoft Windows Server 2003 x64 Edition – Descargar la actualización
    • Microsoft Office 2003 con Microsoft XML Core Services 5.0 Service Pack 1 – Descargar la actualización
    • Microsoft XML Core Services 4.0 cuando está instalado en Windows 2000 Service Pack 4 – Descargar la actualización
    • Microsoft XML Core Services 4.0 cuando está instalado en Microsoft Windows XP Service Pack 1 y Microsoft Windows XP Service Pack 2 – Descargar la actualización
    • Microsoft XML Core Services 4.0 cuando está instalado en Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1 – Descargar la actualización
    • Microsoft XML Core Services 6.0 cuando está instalado en Windows 2000 Service Pack 4 – Descargar la actualización
    • Microsoft XML Core Services 6.0 cuando está instalado en Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1 – Descargar la actualización
  4. Apéndice

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Juan Lopez Morales (jlopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT