1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Bolwin de Seguridad UNAM-CERT-2008-052 Vulnerabilidad en Windows Messenger podría permitir la revelación de información (955702)

Esta actualización de seguridad resuelve una vulnerabilidad reportada públicamente en Windows Messenger. Como resultado de la vulnerabilidad, los scripts de un control ActiveX podrían permitir el descubrimiento de información en el contexto del usuario en sesión. Un atacante podría cambiar el estado, obtener información acerca de los contactos e inicializar sesiones de audio y video sin el conocimiento del usuario activo. El atacante podría capturar el identificador de inicio de sesión y acceder remotamente al cliente de Messenger usurpando la identidad del usuario afectado. La actualización de seguridad resuelve la vulnerabilidad bloqueando el control ActiveX de modo que solo las aplicaciones autorizadas tengan acceso a él.

  • Fecha de Liberación: 12-Ago-2008
  • Ultima Revisión: 13-Ago-2008
  • Fuente: Microsoft Corp.
  • CVE ID: CVE-2008-0082
  • Riesgo Importante
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Revelación de información

Sistemas Afectados

Windows 2000 SP4 Windows Messenger 5.1 KB899283
Windows Server 2003 Todas las versiones Windows Messenger 4.7 KB954723
Windows Server 2003 Todas las versiones Windows Messenger 5.1 KB899283
Windows XP Todas las versiones Windows Messenger 4.7 KB946648
Windows XP Todas las versiones Windows Messenger 5.1 KB899283
  1. Descripción

    • Vulnerabilidad de revelación de información en Messenger - CVE-2008-0082
    • Existe una vulnerabilidad de revelación de información en versiones Windows Messenger. Scripts que utilicen cierto control ActiveX, Messenger.UIAutomation.1, podría permitir la revelación de información de estos programas en el contexto del usuario en sesión. Un atacante podría cambiar el estado, obtener información acerca de los contactos e inicializar sesiones de audio y video sin el conocimiento del usuario activo. Incluso podría capturar el identificador de inicio de sesión y acceder remotamente al cliente de Messenger usurpando la identidad del usuario afectado

  2. Impacto

    Un atacante remoto podría acceder a información personal y usurpar la identidad del usuario afectado.

  3. Solución

    Aplicar una actualización de Microsoft Corp.

  4. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Oscar Raúl Ortega Pacheco (oortega at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT