Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

IE: Vulnerabilidad en control de instalación ActiveX
 
VSantivirus No. 2119 Año 10, viernes 28 de abril de 2006

IE: Vulnerabilidad en control de instalación ActiveX
http://www.vsantivirus.com/vul-ie-activex-270406.htm

Por Angela Ruiz
angela@videosoft.net.uy


Ha sido identificada una vulnerabilidad en Microsoft Internet Explorer, que puede ser explotada por un atacante remoto para tomar el control total del sistema infectado.

El problema está ocasionado por una "Race condition" o "condición de desincronización" (un evento se produce fuera del periodo previsto, con un resultado imprevisible), cuando se le pregunta al usuario para instalar o ejecutar controles ActiveX.

Personas maliciosas pueden utilizar esta vulnerabilidad para manipular la ventana de diálogo que muestra el Internet Explorer, y comprometer de forma remota un sistema vulnerable, si convence al usuario que visita una página Web modificada por el atacante, para que realice determinadas acciones, como por ejemplo ingresar un texto en un campo específico. Esto puede causar que un control ActiveX se instale o se ejecute inadvertidamente.

Un exploit como prueba de concepto, ha sido publicada en Internet.

Software afectado:

- Microsoft Internet Explorer 6 SP1 (Windows XP SP1)
- Microsoft Internet Explorer 6 (Windows Server 2003)
- Microsoft Internet Explorer 6 SP1 (Windows 2000 SP3)
- Microsoft Internet Explorer 6 SP1 (Windows 2000 SP4)
- Microsoft Internet Explorer 5.01 SP4 (Windows 2000 SP4)
- Microsoft Internet Explorer 6 SP1 (Windows 98)
- Microsoft Internet Explorer 6 SP1 (Windows 98 SE)
- Microsoft Internet Explorer 6 SP1 (Windows Millennium)
- Microsoft Internet Explorer 5.5 SP2 (Windows Millennium)

Software NO afectado:

La vulnerabilidad NO afecta a Windows XP SP2 ni a Windows 2003 SP1.

Soluciones:

No se conocen parches oficiales para esta vulnerabilidad al momento de publicarse esta alerta.

Referencias:

Microsoft Internet Explorer
ActiveX Control Dialog Box Security Bypass Vulnerability
http://www.frsirt.com/english/advisories/2006/1559

FrSIRT / Public Mailing Lists Mirror
http://www.frsirt.com/english/reference/10913

Créditos:

Matthew Murphy






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS