Esta actualización crítica de seguridad resuelve dos vulnerabilidades reportadas de manera privada en los componentes Web de Microsoft Office. Estas vulnerabilidades podrían permitir la ejecución remota de código especialmente si un usuario ve una página web construida manualmente. Un atacante que explote existosamente la vulnerabilidad podría tomar control total del equipo afectado. En consecuencia el atacante podría instalar programas; ver, cambiar o eliminar archivos; o crear cuentas de usuario con los privilegios que desee. Los usuarios configurados con pocos privilegios son menos afectados que aquellos configurados con privilegios administrativos.
Internet Security and Acceleration Server 2000 Service Pack 2 | < | KB948257 |
Microsoft BizTalk Server 2000 | < | KB939714 |
Microsoft BizTalk Server 2002 | < | KB939714 |
Microsoft Commerce Server 2000 | < | KB941305 |
Microsoft Office 2000 Service Pack 3 | < | KB931660 |
Microsoft Office XP Service Pack 3 | < | KB932031 |
Microsoft Visual Studio .NET 2002 Service Pack 1 | < | KB933367 |
Microsoft Visual Studio .NET 2003 Service Pack 1 | < | KB933369 |
Vulnerabilidad de Manejo de URL en componentes Web de Office - CVE-2006-4695
Existe una vulnerabilidad de ejecución remota en la manera en que los componentes Web de Microsoft Office manejan los recursos en memoria cuando se manejan ciertas URL construidas manualmente. Un atacante podría explotar la vulnerabilidad construyendo una página web manualmente. Si lograra explotar la vulnerabilidad podría obtener los mismos privilegios que el usuario en sesión, en consecuencia podría tomar control total del sistema afectado siendo capaz de instalar programas; ver, cambiar o eliminar archivos; o crear cuentas de usuario con privilegios administrativos.
Un atacante podría ejecutar código aleatorio en el equipo afectado pudiendo tomar control total del equipo.
Aplicar una actualización de Microsoft Corp.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT