Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

MS07-033 Actualización acumulativa para IE (933566)
 
VSantivirus No 2469 Año 11, miércoles 13 de junio de 2007

 MS07-033 Actualización acumulativa para IE (933566)
http://www.vsantivirus.com/vulms07-033.htm

Nivel de gravedad: Crítico
Impacto: Ejecución remota de código
Fecha de publicación: 12 de junio de 2007

Software afectado por este parche:

- Microsoft Windows 2000 Service Pack 4
- Windows Server 2003 Service Pack 1
- Windows Server 2003 Service Pack 2
- Windows Server 2003 SP1 para Itanium
- Windows Server 2003 SP2 para Itanium
- Windows Server 2003 x64 Edition
- Windows Server 2003 x64 Edition Service Pack 2
- Windows XP Professional x64 Edition
- Windows XP Professional x64 Edition Service Pack 2
- Windows XP Service Pack 2
- Windows Vista
- Windows Vista x64 Edition

Componentes afectados:

- Internet Explorer 5.01
- Internet Explorer 5.01 Service Pack 4
- Internet Explorer 6
- Internet Explorer 6 Service Pack 1
- Internet Explorer 7

El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft.

Descripción:

Al menos seis vulnerabilidades son solucionadas en esta actualización acumulativa para Internet Explorer.

La primera, permite la ejecución remota de código, y se produce cuando bajo determinadas condiciones, el sistema intenta crear ciertos objetos COM (como controles ActiveX), provocándose una corrupción del estado del sistema.

La segunda, puede ser explotada mediante etiquetas malformadas de hojas de estilo (CSS), lo que causa una corrupción de la memoria operativa, pudiéndose ejecutar código de forma arbitraria.

La tercera puede ser explotada para ejecutar código, cuando el navegador visita un sitio web con características tales que se le solicita al usuario la instalación de componentes en otros idiomas.

La cuarta vulnerabilidad se produce cuando el Internet Explorer intenta acceder a un objeto que no ha sido inicializado o que ha sido borrado. Como resultado se produce una corrupción de memoria que permitiría la ejecución de código en el contexto del usuario actual.

La quinta vulnerabilidad permite a un usuario remoto, desplegar información falsa cuando el navegador muestra la página estándar de navegación cancelada. Esto podría ser utilizado para ataques de phishing, etc. (ver detalles en el artículo: "Error de diseño y vulnerabilidad en IE7 (navcancl)", http://www.vsantivirus.com/vul-ie7-navcancl-140307.htm)

La sexta y última vulnerabilidad corregida, se produce por la corrupción de un control ActiveX, y puede también permitir que un atacante remoto llegue a ejecutar código de forma arbitraria en el equipo afectado, pudiendo llegar a tomar el control total del sistema.

Mitigación:

El atacante debe convencer a un usuario a visitar un sitio web malicioso, o a hacer clic en un enlace enviado en un correo electrónico no solicitado.

En algunos casos, se requiere la interacción con el usuario para que un ataque tenga éxito.

Explotación:

No se conocen exploits para ninguna de estas vulnerabilidades al momento de esta actualización.

Referencias CVE:

Las vulnerabilidades corregidas están relacionadas con las siguientes referencias CVE:

CVE-2007-0218
COM Object Instantiation Memory Corruption Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0218

CVE-2007-1750
CSS Tag Memory Corruption Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1750

CVE-2007-3027
Language Pack Installation Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3027

CVE-2007-1751
Uninitialized Memory Corruption Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1751

CVE-2007-1499
Navigation Cancel Page Spoofing Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1499

CVE-2007-2222
Speech Control Memory Corruption Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2222

CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.

Reemplazos:

Este parche reemplaza al siguiente:

MS07-027 Actualización acumulativa para IE (931768)
http://www.vsantivirus.com/vulms07-027.htm

Descargas:

Las actualizaciones pueden descargarse del siguiente enlace:

www.microsoft.com/technet/security/bulletin/ms07-033.mspx

El parche también está disponible a través de las actualizaciones automáticas de Windows Update.

Nota:

Antes de instalar esta actualización, verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.

Más información:

Microsoft Security Bulletin MS07-033
www.microsoft.com/technet/security/bulletin/ms07-033.mspx

Microsoft Knowledge Base Article - 933566
http://support.microsoft.com/kb/933566/es



 [Última modificación: 13/06/07 23:59 -0200]



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS