Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad de HHCtrl en Internet Explorer
 
VSantivirus No. 2182 Año 10, miércoles 5 de julio de 2006

Vulnerabilidad de HHCtrl en Internet Explorer
http://www.vsantivirus.com/vul-ie-hhctrl.htm

Por Angela Ruiz
angela@videosoft.net.uy


Microsoft Internet Explorer es propenso a un fallo relacionado con el uso inadecuado del control ActiveX HHCtrl (Microsoft HTML Help Control), lo que puede provocar la corrupción de la memoria usada por HHCTRL.OCX, con el consecuente fallo del navegador.

Un ataque remoto puede ser posible, si el usuario es convencido a visitar un sitio web malicioso. Otro vector de ataque podría ser un correo electrónico con formato HTML.

Una condición de denegación de servicio (la aplicación deja de responder), puede ser la principal consecuencia de la explotación exitosa de esta vulnerabilidad. Aunque también podría ser posible la ejecución arbitraria de código, esto no ha sido demostrado.

De todos modos, como la explotación de la vulnerabilidad requiere la aceptación del usuario para la ejecución de un control ActiveX, la configuración adecuada del Internet Explorer sobre todo IE6 SP2, minimiza el riesgo del problema, ya que el usuario debe específicamente permitir dicha acción.

Una prueba de concepto ha sido publicada en Internet.

Soluciones:

No se conocen parches oficiales al momento de publicarse esta alerta.

La configuración sugerida por VSAntivirus en el siguiente artículo, también impide que un exploit tenga éxito:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Software vulnerable:

- Microsoft Internet Explorer 6.0 SP1
- Microsoft Internet Explorer 6.0
- Microsoft Internet Explorer 5.01 SP4

Más información:

MoBB #2: Internet.HHCtrl Image Property
http://browserfun.blogspot.com/2006/07/mobb-2-internethhctrl-image-property.html

Microsoft Internet Explorer HHCtrl ActiveX Control Memory Corruption Vulnerability
http://www.securityfocus.com/bid/18769

Internet Explorer HTML Help ActiveX Control Memory Corruption
http://secunia.com/advisories/20906/

FrSIRT/ADV-2006-2635
Microsoft Internet Explorer HTML Help Control "HHCtrl" Memory Corruption Vulnerability
http://www.frsirt.com/english/advisories/2006/2635

Créditos:

hdm






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS