Sistemas Afectados

1. Descripción

   • Vulnerabilidad de falsificación de barra de dirección - CVE-2007-3892

   Existe una vulnerabilidad de falsificación en Internet Explorer que podría permitir a un intruso mostrar contenido falso en una ventana de navegador. La barra de dirección y otras partes de la interfaz de usuario de confianza han sido navegadas fuera del sitio Web del atacante pero el contenido de la ventana aún contiene la página Web del atacante.

   • Vulnerabilidad de corrupción de memoria en el manejo de errores- CVE-2007-3893

   Existe una vulnerabilidad de ejecución remota de código en Internet Explorer debido al manejo inadecuado de errores en ciertas situaciones. Un atacante podría explotar la vulnerabilidad construyendo una página Web creada de forma maliciosa. Si un usuario visualiza la página Web, la vulnerabilidad podría permitir la ejecución remota de código. Un atacante que explote satisfactoriamente esta vulnerabilidad podría obtener los mismos derechos que el usuario que tenga una sesión iniciada.

   • Vulnerabilidad de falsificación de barra de dirección - CVE-2007-1091 & CVE-2007-3826

   Existe una vulnerabilidad de falsificación en Internet Explorer que podría permitir a un intruso mostrar contenido falso en una ventana de navegador. La barra de dirección y otras partes de la interfaz de usuario de confianza han sido navegadas fuera del sitio Web del atacante pero el contenido de la ventana aún contiene la página Web del atacante.

2. Impacto

   La vulnerabilidad con el impacto de seguridad más serio podría permitir la ejecución remota de código si un usuario visualiza una página Web creada de forma maliciosa utilizando Internet Explorer.

3. Solución

   Internet Explorer 5.01 and Internet Explorer 6 Service Pack 1

   • Microsoft Windows 2000 Service Pack 4, Microsoft Internet Explorer 5.01 Service Pack 4
   • Microsoft Windows 2000 Service Pack 4, Microsoft Internet Explorer 6 Service Pack 1

   Internet Explorer 6

   • Windows XP Service Pack 2, Microsoft Internet Explorer 6
   • Windows XP Professional Edición x64 y Windows XP Professional Edición x64Service Pack 2, Microsoft Internet Explorer 6
   • Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2, Microsoft Internet Explorer 6
   • Windows Server 2003 Edición x64 y Windows Server 2003 Edición x64 Service Pack 2, Microsoft Internet Explorer 6
   • Windows Server 2003 con SP1 para sistemas basados en Itanium y Windows Server 2003 con SP2 para sistemas basados en Itanium, Microsoft Internet Explorer 6

   Internet Explorer 7

   • Windows XP Service Pack 2, Windows Internet Explorer 7
   • Windows XP Professional Edición x64 y Windows XP Professional Edición x64Service Pack 2, Windows Internet Explorer 7
   • Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2, Windows Internet Explorer 7
   • Windows Server 2003 Edición x64 y Windows Server 2003 Edición x64 Service Pack 2, Windows Internet Explorer 7
   • Windows Server 2003 con SP1 para sistemas basados en Itanium y Windows Server 2003 con SP2 para sistemas basados en Itanium, Windows Internet Explorer 7
   • Windows Vista, Windows Internet Explorer 7
   • Windows Vista Edición x64, Windows Internet Explorer 7

4. Referencias

   Boletín original:

   • Boletín de Seguridad de Microsoft MS07-057 - http://www.microsoft.com/technet/security/bulletin/MS07-057.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx)