1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Bolwin de Seguridad UNAM-CERT-2007-069 Actualización de seguridad acumulativa para Internet Explorer (942615)

Esta actualización de seguridad importante resuelve cuatro vulnerabilidades reportadas de forma privada que afectan al navegador Internet Explorer.

  • Fecha de Liberación: 12-Dic-2007
  • Ultima Revisión: 12-Dic-2007
  • Fuente: Microsoft Corp.
  • CVE ID: CVE-2007-3902 CVE-2007-3903 CVE-2007-5344 CVE-2007-5347
  • Riesgo Crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Windows 2000 Server SP4 Internet Explorer == 5.01
Windows 2000 Server SP4 Internet Explorer == 6
Windows Server 2003 Edición x64 Internet Explorer == 6
Windows Server 2003 Edición x64 Internet Explorer == 7
Windows Server 2003 Edición x64 Service Pack 2 Internet Explorer == 6
Windows Server 2003 Edición x64 Service Pack 2 Internet Explorer == 7
Windows Server 2003 Service Pack 1 Internet Explorer == 6
Windows Server 2003 Service Pack 1 Internet Explorer == 7
Windows Server 2003 Service Pack 1 para Sistemas Basados en Itanium Internet Explorer == 6
Windows Server 2003 Service Pack 1 para Sistemas Basados en Itanium Internet Explorer == 7
Windows Server 2003 Service Pack 2 Internet Explorer == 6
Windows Server 2003 Service Pack 2 Internet Explorer == 7
Windows Server 2003 Service Pack 2 para Sistemas Basados en Itanium Internet Explorer == 6
Windows Server 2003 Service Pack 2 para Sistemas Basados en Itanium Internet Explorer == 7
Windows Vista Edición x64 Internet Explorer == 7
Windows Vista Internet Explorer == 7
Windows XP Profesional Edición x64 Internet Explorer == 6
Windows XP Profesional Edición x64 Internet Explorer == 7
Windows XP Profesional Edición x64 Service Pack 2 Internet Explorer == 6
Windows XP Profesional Edición x64 Service Pack 2 Internet Explorer == 7
Windows XP Service Pack 2 Internet Explorer == 6
Windows XP Service Pack 2 Internet Explorer == 7
  1. Descripción

    • Vulnerabilidad de corrupción de memoria no inicializada – CVE-2007-3902
    • Existe una vulnerabilidad de ejecución remota de código en la forma en cómo Internet Explorer accede a un objeto que no ha sido inicializado de forma correcta o que no ha sido eliminado. Un atacante podría explotar la vulnerabilidad construyendo una página Web creada de forma específica. Cuando un usuario visualice la página Web, la vulnerabilidad podría permitir la ejecución remota de código. Un atacante que explote satisfactoriamente esta vulnerabilidad podría obtener los mismos derechos que el usuario que tenga una sesión iniciada.

    • Vulnerabilidad de corrupción de memoria no inicializada – CVE-2007-3903
    • Existe una vulnerabilidad de ejecución remota de código en la forma en cómo Internet Explorer accede a un objeto que no ha sido inicializado de forma correcta o que no ha sido eliminado. Un atacante podría explotar la vulnerabilidad construyendo una página Web creada de forma específica. Cuando un usuario visualice la página Web, la vulnerabilidad podría permitir la ejecución remota de código. Un atacante que explote satisfactoriamente esta vulnerabilidad podría obtener los mismos derechos que el usuario que tenga una sesión iniciada.

    • Vulnerabilidad de corrupción de memoria no inicializada – CVE-2007-5344
    • Existe una vulnerabilidad de ejecución remota de código en la forma en cómo Internet Explorer accede a un objeto que no ha sido inicializado de forma correcta o que no ha sido eliminado. Un atacante podría explotar la vulnerabilidad construyendo una página Web creada de forma específica. Cuando un usuario visualice la página Web, la vulnerabilidad podría permitir la ejecución remota de código. Un atacante que explote satisfactoriamente esta vulnerabilidad podría obtener los mismos derechos que el usuario que tenga una sesión iniciada.

    • Vulnerabilidad de corrupción de memoria en el objeto DHTML – CVE-2007-5347
    • Existe una vulnerabilidad de ejecución remota de código en la forma en cómo Internet Explorer muestra una página Web que contiene ciertas llamadas de métodos inesperadas a objetos HTML. Como resultado, la memoria del sistema podría ser corrupta, de tal forma que un atacante podría ejecutar código arbitrario si un usuario visita un sitio Web creado de forma maliciosa. Un atacante que explote satisfactoriamente esta vulnerabilidad podría obtener los mismos derechos que el usuario que tenga una sesión iniciada.

  2. Impacto

    La más seria de las vulnerabilidades podría permitir la ejecución remota de código si un usuario visualiza una página Web creada de forma maliciosa a través de Internet Explorer.

  3. Solución

    • Aplicar una actualización de Microsoft

      Internet Explorer 5.01 and Internet Explorer 6 Service Pack 1

      • Microsoft Windows 2000 Service Pack 4, Microsoft Internet Explorer 5.01 Service Pack 4>
      • Microsoft Windows 2000 Service Pack 4, Microsoft Internet Explorer 6 Service Pack 1>

      Internet Explorer 6

      • Windows XP Service Pack 2, Microsoft Internet Explorer 6>
      • Windows XP Professional Edición x64 y Windows XP Professional Edición x64 Service Pack 2, Microsoft Internet Explorer 6>
      • Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2, Microsoft Internet Explorer 6>
      • Windows Server 2003 Edición x64 y Windows Server 2003 Edición x64 Service Pack 2, Microsoft Internet Explorer 6>
      • Windows Server 2003 con SP1 para Sistemas basados en Itanium y Windows Server 2003 con SP2 para Sistemas basados en Itanium, Microsoft Internet Explorer 6>

      Internet Explorer 7

      • Windows XP Service Pack 2, Windows Internet Explorer 7>
      • Windows XP Professional Edición x64 y Windows XP Professional Edición x64 Service Pack 2, Windows Internet Explorer 7>
      • Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2, Windows Internet Explorer 7>
      • Windows Server 2003 Edición x64 y Windows Server 2003 Edición x64 Service Pack 2, Windows Internet Explorer 7>
      • Windows Server 2003 con SP1 para Sistemas basados en Itanium y Windows Server 2003 con SP2 para Sistemas basados en Itanium, Windows Internet Explorer 7>
      • Windows Vista, Windows Internet Explorer 7>
      • Windows Vista Edición x64, Windows Internet Explorer 7>
  4. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT