Esta actualización de seguridad resuelve una vulnerabilidad reportada públicamente en Windows Messenger. Como resultado de la vulnerabilidad, los scripts de un control ActiveX podrían permitir el descubrimiento de información en el contexto del usuario en sesión. Un atacante podría cambiar el estado, obtener información acerca de los contactos e inicializar sesiones de audio y video sin el conocimiento del usuario activo. El atacante podría capturar el identificador de inicio de sesión y acceder remotamente al cliente de Messenger usurpando la identidad del usuario afectado. La actualización de seguridad resuelve la vulnerabilidad bloqueando el control ActiveX de modo que solo las aplicaciones autorizadas tengan acceso a él.
Windows 2000 SP4 | Windows Messenger 5.1 | < | KB899283 |
Windows Server 2003 Todas las versiones | Windows Messenger 4.7 | < | KB954723 |
Windows Server 2003 Todas las versiones | Windows Messenger 5.1 | < | KB899283 |
Windows XP Todas las versiones | Windows Messenger 4.7 | < | KB946648 |
Windows XP Todas las versiones | Windows Messenger 5.1 | < | KB899283 |
Existe una vulnerabilidad de revelación de información en versiones Windows Messenger. Scripts que utilicen cierto control ActiveX, Messenger.UIAutomation.1, podría permitir la revelación de información de estos programas en el contexto del usuario en sesión. Un atacante podría cambiar el estado, obtener información acerca de los contactos e inicializar sesiones de audio y video sin el conocimiento del usuario activo. Incluso podría capturar el identificador de inicio de sesión y acceder remotamente al cliente de Messenger usurpando la identidad del usuario afectado
Un atacante remoto podría acceder a información personal y usurpar la identidad del usuario afectado.
Aplicar una actualización de Microsoft Corp.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT