Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

DoS en Internet Explorer al procesar ADODB.Recordset
 
VSantivirus No. 2182 Año 10, miércoles 5 de julio de 2006

 DoS en Internet Explorer al procesar ADODB.Recordset
http://www.vsantivirus.com/vul-ie-adodb.htm

Por Angela Ruiz
angela@videosoft.net.uy

Microsoft Internet Explorer es propenso a una condición de denegación de servicio (DoS), al procesar el objeto COM "ADODB.Recordset Filter Property" (ADODB.Recordset se utiliza para obtener los registros de una base de datos).

Un ataque exitoso, puede causar que el navegador falle debido a que se accede a la memoria con una referencia inválida (puntero vacío o null pointer). El problema se produce en MSADO15.DLL (Microsoft Data Access - ActiveX Data Objects).

Para que el exploit resulte exitoso, se requiere tener activado scripts y ActiveX en el navegador.

Además, se requiere la aceptación del usuario para ejecutar un control ActiveX. La configuración adecuada del Internet Explorer, sobre todo IE6 SP2, minimiza el riesgo del problema, ya que el usuario debe específicamente permitir dicha acción.

Se ha publicado en Internet una prueba de concepto.

Soluciones:

No se conocen parches oficiales al momento de publicarse esta alerta.

La configuración sugerida por VSAntivirus en el artículo "Configuración personalizada para hacer más seguro el IE", protege al usuario de esta vulnerabilidad al navegar por sitios no seguros:

http://www.vsantivirus.com/faq-sitios-confianza.htm

Software vulnerable:

- IE 7 beta 3 (si se acepta el ActiveX)
- Microsoft Internet Explorer 6.0 SP1
- Microsoft Internet Explorer 6.0
- Microsoft Internet Explorer 5.01 SP4

Más información:

MoBB #1: ADODB.Recordset Filter Property
http://browserfun.blogspot.com/2006/07/mobb-1-adodbrecordset-filter-property.html

Microsoft Internet Explorer ADODB.Recordset Filter Property Denial of Service Vulnerability
http://www.securityfocus.com/bid/18773

Microsoft Internet Explorer Data Access ActiveX Remote Denial of Service Vulnerability
http://www.frsirt.com/english/advisories/2006/2634

Créditos:

hdm







(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS