Sistemas Afectados

1. Descripción

   Existe una vulnerabilidad de ejecución de código remoto en Internet Explorer debido a la forma en que maneja las imagenes JPEG. Un intruso podría explotar la vulnerabilidad construyendo una imagen maliciosa JPEG que puede permitir la ejecución de código malicioso si un usuario visita un sitio Web o abre un correo electrónico maliciosos. El intruso que explote esta vulnerabilidad puede tomar el control total del sistema afectado.

   Existe una vulnerabilidad de cross-domain en Internet Explorer que permite el acceso a información confidencial o ejecutar codigo malicioso remotamente en el sistema afectado. Un intruso puede explotar esta vulnerabilidad construyendo un sitio Web malicioso. Al explotar satisfactoriamente esta vulnerabilidad el intruso puede tomar el control total del sistema. Sin embargo, para que esto suceda necesita de la interacción con el usuario.

   Existe una vulnerabilidad en la forma en que Internet Explorer maneja las instancias de los objetos COM. Un intruso puede explotar esta vulnerabilidad construyendo un sitio Web malicioso que podría permitir la ejecución de código malicioso remotamente.

2. Impacto

   Permite la ejecución de código malicioso remotamente y tomar el control total del sistema.

3. Solución

   Internet Explorer 5.01 Service Pack 4 sobre Microsoft Windows 2000 Service Pack 4
   http://www.microsoft.com/downloads/details.aspx-familyid=194E0EE7-919C-4A8B-AD8D-01A4FE771942&displaylang=en

   Internet Explorer 6 Service Pack 1 sobre Microsoft Windows 2000 Service Pack 4 o sobre Microsoft Windows XP Service Pack 1
   http://www.microsoft.com/downloads/details.aspx-familyid=68300B15-1CF9-45FB-875E-2EF6D2FBC9ED&displaylang=en
   Internet Explorer 6 para Microsoft Windows XP Service Pack 2
   http://www.microsoft.com/downloads/details.aspx-familyid=648B6F0E-1695-44E5-826A-43406DF4858E&displaylang=en
   Internet Explorer 6 para Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1
   http://www.microsoft.com/downloads/details.aspx-familyid=F0B96EC3-E954-423A-9AB0-5712B9F14637&displaylang=en
   Internet Explorer 6 para Microsoft Windows Server 2003 para sistemas basados en Itanium y Microsoft Windows Server 2003 with SP1 para sistemas basados en Itanium
   http://www.microsoft.com/downloads/details.aspx-familyid=C24D3738-213A-41B8-84A3-2842B34D7B10&displaylang=en
   Internet Explorer 6 para Microsoft Windows Server 2003 x64 Edition
   http://www.microsoft.com/downloads/details.aspx-familyid=F2D544E7-33F5-4A65-A574-15495B05B883&displaylang=en
   Internet Explorer 6 para Microsoft Windows XP Professional x64 Edition
   http://www.microsoft.com/downloads/details.aspx-familyid=1181BC67-0A1D-4A06-99AC-5B2BC6DFE0F6&displaylang=en
   Internet Explorer 5.5 Service Pack 2 sobre Microsoft Windows Millennium Edition.
   Ver la sección del FAQ de este boletin para más información.
   Internet Explorer 6 Service Pack 1 en Microsoft Windows 98, en Microsoft Windows 98 SE, o en Microsoft Windows Millennium Edition.
   Ver la sección del FAQ de este boletin para más información.

4. Apéndices

   Para más información:
   Boletín de Seguridad de Microsoft MS05-038 http://www.microsoft.com/technet/security/Bulletin/MS05-038.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Luis Fernando Fuentes Serrano (lfuentes at seguridad dot unam dot mx)
• Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)
• Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx)