Esta actualización de seguridad resuelve dos vulnerabilidades reprotadas de forma privada a Microsoft. Las vulnerabilidades podrían permitir la ejecución de código remoto si un usuario visualiza una pagina web especialmente elaborada utilizando Internet Explorer. Los usuarios cuyas cuentas estan configuradas para tener bajos privilegios en el sistema podrían verse menos afectados que aquellos que operan con privilegios administrativos. Esta actualización de seguridad es critica para Internet Explorer en sistemas operativos Windows XP y Windows Vista. En Internet Explorer 7 corriendo sobre Windows Server 2003 y Windows Server 2008, esta actualización de seguridad es moderada. Esta actualización de seguridad hace frente a dichas vulnerabilidades modificando la forma en que Internet Explorer maneja el error resultante de las mismas.
Microsoft Windows | Internet Explorer 7 | < | KB961260 |
CVE-2009-75 - Existe un código que explota la vulnerabilidad
CVE-2009-76 - Existe un código que explota la vulnerabilidad
Vulnerabilidad de corrupción de memoria no inicializada - CVE-2009-0075
Una vulnerabilidad de ejecución de codigo remoto existe en la forma en que Internet Explorer accesa a un objeto que ha sido borrado. Un atacante podria explotar la vulnerabilidad construyendo una pagina web de forma maliciosa. Cuando un usuario vea la pagina, la vulnerabilidad podria permitir la ejecucion de codigo remoto. Un atacante que exploto exictosamente esta vulnerabilidad podria ganar los mismos privilegios de usuario que el usuario con sesion iniciada.
Vulnerabilidad de corrupcion de memoria CSS - CVE-2009-0076
Una vulnerabilidad de ejecucion de codigo remoto existe en ela forma en que Internet Explorer maneja las hojas estilo cascada (CSS por sus siglas en inglés). Un atacante podria explotar la vulnerabilidad construyendo una pagina web de forma maliciosa. Cuando un usuario ve la pagina, la vulnerabilidad podria permitir la ejecucion de codigo remoto. Un atacante que exploto exitosamente esta vulnerabilidad podria ganar los mismos privilegios de usuario que el usario con sesion iniciada.
Vulnerabilidad de corrupción de memoria no inicializada - CVE-2009-0075
Vulnerabilidad de corrupcion de memoria CSS - CVE-2009-0076
Un atacante que exploto exitosamente alguna de estas vulnerabilidades podría ganar los mismos privilegios de usuario que el usuario local. Usuarios cuyas cuentas están configuradas para tener menos privilegios en el sistema podrían verse menos afectados que aquellos usuarios que operan con privilegios de usuarios administrativos.
Aplicar una actualizacion de seguridad de Microsoft Corp.
Internet Explorer 7
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT