|
|
MS07-045 Actualización acumulativa para IE (937143)
|
| |
VSantivirus No 2520 Año 11, miércoles 15 de agosto de 2007
MS07-045 Actualización acumulativa para IE (937143)
http://www.vsantivirus.com/vulms07-045.htm
Nivel de gravedad: Crítico
Impacto: Ejecución remota de código
Fecha de publicación: 14 de agosto de 2007
Software afectado por este parche:
- Internet Explorer 5.01
- Internet Explorer 6 Service Pack 1
- Internet Explorer 6
- Internet Explorer 7
- Microsoft Windows 2000 SP4
- Windows XP SP2
- Windows XP Professional x64 Edition
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP1
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 con SP1 para Itanium
- Windows Server 2003 con SP2 para Itanium
- Windows Vista
- Windows Vista x64 Edition
El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft.
Descripción:
Este parche corrige 3 vulnerabilidades que afectan a Internet Explorer.
Una de ellas permite la ejecución remota de código a un usuario remoto, debido a un problema al analizar determinadas cadenas en CSS u hojas de estilo en cascada, un método de formato para páginas web que usa HTML (no afecta a Internet Explorer 6 ni 7).
La segunda vulnerabilidad está relacionada con el componente TBLINF32.DLL (o VSTLBINF.DLL), encargados de determinados objetos ActiveX. Debido a que ninguno de los componentes fueron diseñados para ser compatibles con Internet Explorer, un atacante podría llegar a ejecutar código de forma remota mediante la visita a una página web comprometida.
Lo mismo puede ocurrir para el atacante que explote exitosamente la tercera vulnerabilidad corregida en esta actualización, la cuál también está relacionada con objetos ActiveX (PDWIZARD.OCX).
Un intruso que se aproveche de estas vulnerabilidades, podría conseguir los mismos privilegios que el usuario que ha iniciado sesión.
Mitigación:
Un atacante debe convencer a un usuario para que visite un sitio malicioso, seguramente mediante un enlace en un correo electrónico o de mensajería instantánea no solicitado.
Explotación:
Al momento actual no se conocen exploits.
Referencias CVE:
La vulnerabilidad corregida está relacionada con las siguientes referencias CVE:
CVE-2007-0943
CSS Memory Corruption Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0943
CVE-2007-2216
ActiveX Object Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2216
CVE-2007-3041
ActiveX Object Memory Corruption Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3041
CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.
Reemplazos:
Este parche reemplaza al siguiente:
MS07-033 Actualización acumulativa para IE (933566)
http://www.vsantivirus.com/vulms07-033.htm
Descargas:
Las actualizaciones pueden descargarse del siguiente enlace:
www.microsoft.com/technet/security/bulletin/ms07-045.mspx
El parche también está disponible a través de las actualizaciones automáticas de Windows Update.
Nota:
Antes de instalar esta actualización, verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS07-045
www.microsoft.com/technet/security/bulletin/ms07-045.mspx
Microsoft Knowledge Base Article - 937143
http://support.microsoft.com/kb/937143/es
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
