|
|
MS05-031 Vulnerabilidad en Step-by-Step (898458)
|
| |
VSantivirus No. 1807 Año 9, sábado 18 de junio de 2005
MS05-031 Vulnerabilidad en Step-by-Step (898458)
http://www.vsantivirus.com/vulms05-031.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Existe una vulnerabilidad en la aplicación Step-by-Step Interactive Training que podría permitir a un intruso obtener el control absoluto de un sistema afectado. Microsoft Windows Interactive Training no se instala de forma predeterminada.
Nivel de gravedad: Importante
Impacto: Ejecución remota de código
Fecha de publicación: 14 de junio de 2005
Software afectado:
- Microsoft Windows 2000 Service Pack 3
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition SP1 (Itanium)
- Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 for Itanium
- Microsoft Windows Server 2003 SP1 for Itanium
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (ME)
Componente afectado:
- Step-by-Step Interactive Training
Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft.
Descripción
* Interactive Training Vulnerability - CAN-2005-1212
Step-by-Step Interactive Training constituye el motor de cientos de títulos de entrenamiento interactivo que ofrecen Microsoft Press y otros proveedores.
Existe una vulnerabilidad de ejecución remota de código en este componente, causada por el modo en que el mismo trata los archivos de vínculos de favoritos.
Un atacante podría aprovechar esta vulnerabilidad mediante la construcción de un archivo de enlaces malicioso, de tal modo de lograr la ejecución remota de código cuando un usuario visite un determinado sitio Web controlado por el pirata, o abra un archivo adjunto malintencionado, en un mensaje de correo electrónico.
El atacante podría obtener el control completo del sistema afectado. Sin embargo, los intentos de aprovechar esta vulnerabilidad requieren cierta interacción con el usuario.
Si el usuario actual tiene privilegios administrativos, el atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones.
Para saber si su equipo es vulnerable (si tiene o no instalado "Step-by-Step Interactive Training"), busque los siguientes archivos en su sistema. Si alguno de estos archivos está presente, es muy probable que el sistema sea vulnerable al problema. Los archivos afectados son aquellos de cualquier versión anterior a las versiones aquí indicadas:
- Lrun32.exe, versión 3.6.0.111, 04-May-2005 22:45
- Mrun32.exe, versión 3.4.1.101, 04-May-2005 23:17
- Orun32.exe, versión 3.5.0.117, 04-May-2005 22:33
Descargas:
Las actualizaciones pueden descargarse de los siguientes enlaces:
Step-by-Step Interactive Training
Actualización de seguridad para Windows (KB898458)
http://www.microsoft.com/downloads/details.aspx?familyid=
591265a7-e7f4-409f-992b-84d954824ba8&displaylang=es
Descarga para otros productos:
www.microsoft.com/technet/security/bulletin/ms05-031.mspx
Nota:
Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS05-031
www.microsoft.com/technet/security/bulletin/ms05-031.mspx
Microsoft Knowledge Base Article - 898458
http://support.microsoft.com/?kbid=898458
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
