1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Bolwin de Seguridad UNAM-CERT-2008-038 Actualización acumulativa de bits de eliminación en ActiveX (950760)

Esta actualización de seguridad resuelve una vulnerabilidad reportada en la API de Microsoft Speech. La vulnerabilidad podría permitir la ejecución remota de código especialmente si un usuario ve una página Web con Internet Explorer y ésta tiene la característica de reconocimiento de voz activada. Los usuarios que operan con pocos privilegios podrían ser menos afectados que aquellos que operan con privilegios administrativos. Esta actualización también contiene un bit de eliminación para el software producido por BackWeb.

  • Fecha de Liberación: 11-Jun-2008
  • Ultima Revisión: 11-Jun-2008
  • Fuente: Microsoft Corp.
  • CVE ID: CVE-2007-0675
  • Riesgo Moderado
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Microsoft Windows Microsoft Speech API KB950760
  1. Descripción

    • Vulnerabilidad en API de Microsoft Speech - CVE-2007-0675
    • Existe una vulnerabilidad de ejecución remota de código en los componentes de voz (sapi.dll). Un atacante podría explotar la vulnerabilidad construyendo un sitio web malicioso. De modo que si el usuario visita la página, la vulnerabilidad podría permitir la ejecución remota de código. Sin embargo debería tener la característica de Reconocimiento de Voz activada. Si el atacante explota exitosamente la vulnerabilidad podría obtener los mismos privilegios que el usuario afectado.

      Este control no debería estar activo en Internet Explorer.

    • Bit de eliminación de terceros
    • Esta actualización incluye bits de eliminación que previenen que ciertos controles ActiveX funcionen en Internet Explorer:

      • BackWeb ha liberado un boletín de seguridad y una actualización que resuelve una vulnerabilidad. Para mayores detalles sobre la vulnerabilidad vea la descripción realizada por BackWeb.

        Los usuarios que requieran soporte para esta actualización deberán contactar directamente a BackWeb. El identificador de clase (CLSID) para este control ActiveX es:

        • {40F23EB7-B397-4285-8F3C-AACE4FA40309}
  2. Impacto

    Un atacante remoto podría ejecutar código arbitrario con los mismos privilegios del usuario en sesión.

  3. Solución

    Aplicar una actualización de seguridad de Microsoft Corp.

  4. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Oscar Raúl Ortega Pacheco (oortega at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT