|
MS07-011 Vulnerabilidad en diálogo OLE (926436)
|
|
VSantivirus No 2373 Año 11, jueves 15 de febrero de 2007
MS07-011 Vulnerabilidad en diálogo OLE (926436)
http://www.vsantivirus.com/vulms07-011.htm
Nivel de gravedad: Importante
Impacto: Ejecución remota de código
Fecha de publicación: 13 de febrero de 2007
Software afectado por este parche:
- Windows 2000 Advanced Server
- Windows 2000 Datacenter Server
- Windows 2000 Professional
- Windows 2000 Server
- Windows XP Home Edition
- Windows XP Professional
- Windows XP Professional 64-Bit Edition
- Windows Server 2003 (Small Business Server)
- Windows Server 2003 (Datacenter Edition)
- Windows Server 2003 (Enterprise Edition)
- Windows Server 2003 (Standard Edition)
- Windows Server 2003 (Web Edition)
- Windows Server 2003 Datacenter Edition (Itanium)
- Windows Server 2003 Enterprise Edition (Itanium)
- Windows Server 2003 Datacenter x64
- Windows Server 2003 Enterprise x64
- Windows Server 2003 Standard x64
- Windows 2000 SP4
- Windows XP SP2
- Windows XP 64-Bit Gold
- Windows Server 2003 Gold
- Windows Server 2003 SP1
- Windows Server 2003 (Itanium) Gold
- Windows Server 2003 (Itanium) SP1
- Windows Server 2003 x64 Gold
El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft.
Descripción
Este parche corrige una vulnerabilidad en el componente de diálogo OLE incluido en Microsoft Windows, que permite la ejecución remota de código.
La tecnología OLE permite a las aplicaciones la compatibilidad para incrustar y vincular documentos de diferentes formatos (por ejemplo, una planilla de Excel dentro de un documento de Word, etc.).
Un atacante podría aprovechar esta vulnerabilidad para ejecutar código de forma remota cuando un usuario interactúa con un objeto OLE incrustado con formato incorrecto en un archivo RTF (formato de texto enriquecido). El problema lo ocasiona una incorrecta validación de los formatos.
El ataque se produce si el usuario abre un archivo modificado maliciosamente descargado de Internet, o recibido en un correo electrónico.
La explotación exitosa de esta vulnerabilidad, puede permitir al atacante tomar el control completo del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios, siempre que el usuario actual tenga permisos administrativos.
La vulnerabilidad está relacionada con la siguiente referencia CVE:
CVE-2007-0026
OLE Dialog Memory Corruption Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0026
CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.
Descargas:
Las actualizaciones pueden descargarse del siguiente enlace:
www.microsoft.com/technet/security/bulletin/ms07-011.mspx
El parche también está disponible a través de las actualizaciones automáticas de Windows Update.
Nota:
Antes de instalar esta actualización, verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS07-011
www.microsoft.com/technet/security/bulletin/ms07-011.mspx
Microsoft Knowledge Base Article - 926436
http://support.microsoft.com/?kbid=926436
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|