Esta actualización de seguridad soluciona una vulnerabilidad esto es común para los controles múltiples de ActiveX y actualmente está siendo explotada. La vulnerabilidad afecta los controles de ActiveX que se compila usando la versión vulnerable de Microsoft Active Template Library (ATL) podría permitir ejecución remota de código si un usuario ve especialmente una página Web diseñada mediante Internet Explorer con instancias del control ActiveX. Usuarios cuya cuenta es configurada para tener menos privilegios de usuario sobre el sistema podrían ser menos impactados que aquellos usuarios quienes operan con privilegios de administrador.
Microsoft Windows | Microsoft Windows 2000 Server Service Pack 4 | <= | KB973346 |
Microsoft Windows | Windows XP Service Pack 2 and Windows XP Service Pack 3 | <= | KB950760 |
Vulnerabilidad de inicialización ATL COM CVE-2009-2493-
Código de explotación consistente.
Vulnerabilidad de inicialización ATL COM CVE-2009-2493-
Una vulnerabilidad de ejecución remota de código existe en ciertos controles de Microsoft ActiveX, que fueron compilados utilizando los mas vulnerables ATL descritos en el Boletin MS09-035.
Vulnerabilidad de inicialización ATL COM CVE-2009-2493-
Un atacante podría explotar la vulnerabilidad de estos controles mediante la construcción de una página web especialmente diseñada. Cuando un usuario visita la página web, la vulnerabilidad podría permitir la ejecución remota de código.
Un atacante quien exitosamente explote esta vulnerabilidad podrá tener los mismos derechos de usuario como un usuario registrado.
Un atacante que aproveche esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema podrían ser menos afectados que aquellos usuarios quienes operan con privilegios de administrador.
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2*
http://www.microsoft.com/technet/security/bulletin/ms09-055.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-oct.mspx
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT