Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

MS05-001 HTML Help permite ejecución de código (890175)
 
VSantivirus No. 1650 Año 9, miércoles 12 de enero de 2005

MS05-001 HTML Help permite ejecución de código (890175)
http://www.vsantivirus.com/vulms05-001.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


Se ha detectado un problema de seguridad en el objeto "HTML Help ActiveX control" en Windows, que permite la revelación de información o la ejecución remota de código, permitiendo a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Después de instalarla, es posible que deba reiniciar el equipo.

Nivel de gravedad: Crítica
Impacto: Ejecución remota de código
Fecha publicación: 11 de enero de 2005

Software afectado:

- Microsoft Windows 2000 SP3 y Microsoft Windows 2000 SP4
- Microsoft Windows XP SP1 y Microsoft Windows XP SP2
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (Me)

Software NO afectado:

- Microsoft Windows NT Server 4.0 SP6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition SP6

Componentes afectados:

- Internet Explorer 6.0 SP1 en Microsoft Windows NT 4.0

El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft.

La versión original de Windows XP está fuera del ciclo de soporte extendido, finalizado el 30 de setiembre de 2004, por lo que se recomienda su actualización a Windows XP SP1 o superior.

La versión original de Windows 2000 Service Pack 2, está fuera del ciclo de soporte extendido, finalizado el 30 de junio de 2004.

Las versiones anteriores de Windows (98, 98 SE y Me), ya no poseen soporte y solo se proporciona actualizaciones en fallos críticos a través de Windows Update.

Versiones anteriores ya no poseen ninguna clase de soporte.

Windows NT Server 4.0 y Windows NT 4.0 Terminal Server Edition por defecto no son afectados por esta vulnerabilidad. Sin embargo, si usted tiene instalado Internet Explorer 6.0 Service Pack 1, única versión de Internet Explorer soportada para Windows NT 4.0, su sistema está afectado por esta vulnerabilidad.

Relacionados:

Tres vulnerabilidades críticas en Internet Explorer
http://www.vsantivirus.com/vul-ie-100105.htm

Internet Explorer SP2: Ejecución automática de código 2
http://www.vsantivirus.com/vul-iesp2-291204.htm

Internet Explorer SP2: Ejecución automática de código
http://www.vsantivirus.com/vul-iesp2-261204.htm

Acceso a contenido local con Microsoft Help ActiveX
http://www.vsantivirus.com/vul-ie-help-activex-271104.htm

Descripción

Esta actualización resuelve una vulnerabilidad recientemente descubierta y reportada públicamente.

Se trata de una vulnerabilidad del tipo "dominio cruzado" (cross-domain vulnerability), en el objeto "HTML Help ActiveX control" en Windows, que permite la revelación de información o la ejecución remota de código en los sistemas afectados. Un atacante puede explotar esta vulnerabilidad construyendo un sitio web malicioso que puede hacer que al ser visitado por un usuario desprevenido, se ejecute código potencialmente peligroso en su equipo, sin ninguna clase de advertencia.

Si el usuario actual tiene privilegios administrativos, un atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones.

La vulnerabilidad es crítica en los sistemas mencionados (incluido Windows 98, 98 SE y ME), pero en este último caso, la única forma de actualización es mediante el "Windows Update Web site" en el siguiente enlace:

http://go.microsoft.com/fwlink/?LinkId=21130

El riesgo de ejecución mediante un mensaje electrónico con formato HTML está reducido por la configuración impuesta por defecto en Outlook Express 6, Outlook 2002, y Outlook 2003.

También está protegido Outlook 2000 si se ha instalado la actualización de seguridad correspondiente:

Actualizaciones de Outlook 2000 
http://office.microsoft.com/es-es/officeupdate/CD010225913082.aspx

Página principal de las Descargas de Microsoft Office
http://office.microsoft.com/es-es/officeupdate/default.aspx?displaylang=ES

Outlook Express 5.5 SP2 está protegido si se instala el siguiente parche:

MS04-018 Parche acumulativo para Outlook Express (823353)
http://www.vsantivirus.com/vulms04-018.htm

Para reducir los riesgos de otros vectores de ataques, también se sugiere la instalación del siguiente parche acumulativo (o posteriores):

MS03-040 Actualización acumulativa para IE (828750)
http://www.vsantivirus.com/vulms03-040.htm

Descargas:

Las actualizaciones pueden descargarse de los siguientes enlaces:

Actualización de seguridad para Windows 2000 (KB890175)
Microsoft Windows 2000 SP3 y Microsoft Windows 2000 SP4
http://www.microsoft.com/downloads/details.aspx?familyid=
BE1B11C0-EF09-4295-8FB2-0FF17BA65460&displaylang=es


Actualización de seguridad para Windows XP (KB890175)
Microsoft Windows XP SP1 y Microsoft Windows XP SP2
http://www.microsoft.com/downloads/details.aspx?familyid=
43201B00-298D-4C0C-A26F-AAEDF163FEB7&displaylang=es


Actualización de seguridad para Windows Server 2003 (KB890175)
Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?familyid=
23E619FE-F6DB-4666-A247-339F55B059CC&displaylang=es


Descarga para otros productos:
www.microsoft.com/technet/security/bulletin/ms05-001.mspx


Nota:

Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.


Más información:

Microsoft Security Bulletin MS05-001
www.microsoft.com/technet/security/bulletin/ms05-001.mspx

Microsoft Knowledge Base Article - 890175
http://support.microsoft.com/?kbid=890175




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS