1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2007-003 Corrupción de memoria en Internet Explorer

Michal Zalewski descubrió una debilidad en Internet Explorer, la cual puede ser explotada por personas maliciosas para causar un ataque de negación de servicio (DoS).

  • Fecha de Liberación: 9-Ene-2007
  • Ultima Revisión: 15-Ene-2007
  • Fuente: SA23655
  • CVE ID: CVE-2007-0099
  • Riesgo Alto
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Race Condition

Sistemas Afectados

Microsoft Windows Internet Explorer == 6
Microsoft Windows Internet Explorer == 7
  1. Descripción

    La debilidad es causada por un Race Condition en el módulo msxml3 cuando son recargados archivos XML en iframes. Esto puede ser explotado para corromper la memoria vía archivos XML especialmente creados con etiquetas jerarquizadas.

    Cuando se sincroniza un documento representado es frecuente interrumpido con eventos asíncronos, como se puede demostrar usando un contador de tiempo JavaScript, el cual puede accionar un apuntador a referencia nula o corrupción de la memoria.

  2. Impacto

    El éxito de explotar esta vulnerabilidad puede ocasionar la caída del navegador.

    La ejecución de código arbitrario no ha sido probada pero no se descarga automáticamente.

  3. Solución

    No navegar en sitios inseguros

  4. Referencias

    http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-0099

    http://secunia.com/advisories/23655/

    http://www.securityfocus.com/archive/1/archive/1/455986/100/0/threaded

    http://www.securityfocus.com/archive/1/archive/1/455965/100/0/threaded

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
  • Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT