1 2 3 4 5 6

Boletines RSS PDF

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Boletin de Seguridad UNAM-CERT-2009-020 Vulnerabilidades en Microsoft Windows, Internet Explorer y Active Template Library (ATL)

Microsoft ha liberado fuera de tiempo para hacer frente a las actualizaciones a vulnerabilidades críticas en Microsoft Internet Explorer se ejecuta en la mayoría de las versiones soportadas de Windows. Las actualizaciones también ayudan a mitigar los ataques en contra los controles ActiveX desarrollados con versiones vulnerables de Microsoft Active Template Library (ATL).

  • Fecha de Liberación: 29-Jul-2009
  • Ultima Revisión: 20-Ago-2009
  • Fuente:
  • CVE ID: TA09-209A
  • Riesgo Importante
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Microsoft Windows ActiveX controls from multiple vendors < KB967723
Microsoft Windows Microsoft Internet Explorer < KB967723
Microsoft Windows Microsoft Visual Studio and C++ Redistributable Package < KB967723
Microsoft Windows Microsoft Windows and Windows Server < KB967723
  1. Descripción

    Microsoft ha publicado actualizaciones para vulnerabilidades críticas en Internet Explorer. Las actualizaciones también incluyen mitigaciones para los ataques contra los controles de ActiveX vulnerables que han sido creadas con versiones vulnerables de Active Template Library (ATL).

    Las vulnerabilidades se presentan en Active Template Library que pueden causar vulnerabilidades en los consiguientes los controles de ActiveX y en los componentes COM. Por ejemplo, el error tipográfico en Active Template Library que describe en este blog de Security Development Lifecycle causado el control ActiveX Microsoft Video de pila de desbordamiento de bufer (CVE-2008-0015)

    El control ActiveX o cualquier componente de COM que se creó con una versión vulnerable de ATL pueden ser vulnerables. Por ejemplo, Adobe y CISCO se ven afectados.

  2. Impacto

    Un atacante puede ejecutar código arbitrario, si se convence a los usuarios a ver especialmente un documento de HTML especialmente preparado (por ejemplo, una página Web, mensajes de correo electrónico HTML, O adjuntos de HTML).

  3. Solución

    ADMINISTRADORES DE SISTEMA

    Para hacer frente a las vulnerabilidades en internet Explorer y mitigar los ataques vulnerables contra ATL basados en controles de ActiveX, aplique las actualizaciones descritas en el boletín de Seguridad de Microsoft MS09-034. Además los detalles sobre la mitigación ATL están disponibles en Microsoft Security Research and Defense Blog Spot.

    Los administradores deberían considerar usar una actualización automatizada para la distribución del sistema como Windows Server Update Services (WSUSS).

    DESARROLLADORES

    Para detener la creación de controles vulnerables, la actualización, tal como se describe ATL en el Boletín de seguridad de Microsoft MS09-035. Para hacer frente a las vulnerabilidades en los controles existentes, recompilar los controles utilizando la actualización de ATL. Además se debate acerca de las vulnerabilidades de ATL que se pueden encontrar en el blog de Security Development Lifecycle.

  4. Referencias

    1. Vulnerabilidad VU#456745

    2. Vulnerabilidad VU#180513

    3. Vulnerabilidades en Microsoft Active Template Library (ATL) que podria permitir ejecucion remota de código

    4. Boletin de Seguridad de Microsoft - MS09-34

    5. Boletin de Seguridad de Microsoft - MS09-35

    6. Proteja su computadora: Actualizaciones de Seguridad para Active Template Library

    7. Boletines de Seguridad de Microsoft MS09-034 y MS09-035 liberados, Microsoft Security Advisory 973882,

    8. Black Hat USA Spotlight: ATL Killbit Bypass

    9. ATL

    10. ATL, MS09-035 and the SDL

    11. Microsoft Windows Server Update Services

    12. Vulnerabilidades en mitigación de Internet Explorer para ATL de flujo de datos

    13. Vulnerabilidad de Impacto en Microsoft ATL sobre productos Adobe

    14. Cisco Security Advisory: Active Template Library (ATL) Vulnerability

    15. CVE-2008-0015

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Mayra Villeda (mvilleda at seguridad dot unam dot mx)
  • Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)
  • J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT