|
MS05-006 Ejecución de código (SharePoint) (887981)
|
|
VSantivirus No. 1679 Año 9, jueves 10 de febrero de 2005
MS05-006 Ejecución de código (SharePoint) (887981)
http://www.vsantivirus.com/vulms05-006.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Una vulnerabilidad en Windows SharePoint Services y SharePoint Team Services, podría permitir ataques de suplantación y de ejecución de secuencias de comandos entre diferentes sitios.
Nivel de gravedad: Moderada
Impacto: Ejecución remota de código
Fecha publicación: 8 de febrero de 2005
Software afectado:
- Windows SharePoint Services para Windows Server 2003
- SharePoint Team Services de Microsoft
Office XP Service Pack 2 para Office XP Web Components y Office XP Service Pack 3 para SharePoint Team Services son vulnerables a este problema. Sin embargo, la actualización de seguridad para Office XP Service Pack 2 para Office XP Web Components sólo se proporciona como parte de la actualización de seguridad de archivo completo de Office XP.
El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft.
Descripción
Esta actualización resuelve una vulnerabilidad descubierta recientemente, e informada de forma privada, que permite la suplantación y la secuencias de comandos entre sitios con el software afectado. Esto podría permitir a un usuario malintencionado ejecutar secuencias de comandos a través de Internet.
Un intruso que consiguiera aprovechar esta vulnerabilidad, podría modificar las memorias caché del explorador Web y de servidores proxy intermedios, colocando contenido falso en ellas. Pero aún si el intruso consigue colocar el contenido falso, le resultaría difícil saber qué usuarios recibirán esos datos.
El atacante también podría aprovecharse de esta vulnerabilidad para realizar ataques de secuencias de comandos en diferentes sitios.
Las secuencias de comandos se ejecutan en el contexto de seguridad del usuario, pero para ello, es necesaria la interacción con el mismo. Sin embargo, un atacante podría acceder a cualquier dato en los sistemas afectados a los que también pudiera acceder el usuario actual.
El atacante debe poder conectarse al sitio Web afectado para intentar aprovechar esta vulnerabilidad. Si no se permite el acceso anónimo al sitio Web, sólo podría intentar aprovechar esta vulnerabilidad un usuario autenticado.
El atacante también podría crear mensajes de correo electrónico modificados maliciosamente para aprovechar esta vulnerabilidad.
Windows SharePoint Services permite que los equipos creen sitios Web para compartir información, colaborar en la creación de documentos y otras ventajas que ayudan a incrementar la productividad de equipos y personas.
Descargas:
Las actualizaciones pueden descargarse de los siguientes enlaces:
Windows SharePoint Services
Actualización de seguridad para Windows SharePoint Services (KB887981)
http://www.microsoft.com/downloads/details.aspx?familyid=
6BB93661-0CE7-46CF-B8BB-55546B58A2F2&displaylang=es
SharePoint Team Services de Microsoft
Actualización de seguridad para SharePoint Team Services (KB890829)
http://www.microsoft.com/downloads/details.aspx?familyid=
6BE3F8AD-768E-4BCB-8EB3-AD74B576038C&displaylang=es
Nota:
Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS05-006
www.microsoft.com/technet/security/bulletin/ms05-006.mspx
Microsoft Knowledge Base Article - 887981
http://support.microsoft.com/?kbid=887981
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|