1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2009-033 Acumulación de actualizaciones de seguridad de ActiveX Kill Bits

Esta actualización de seguridad soluciona una vulnerabilidad esto es común para los controles múltiples de ActiveX y actualmente está siendo explotada. La vulnerabilidad afecta los controles de ActiveX que se compila usando la versión vulnerable de Microsoft Active Template Library (ATL) podría permitir ejecución remota de código si un usuario ve especialmente una página Web diseñada mediante Internet Explorer con instancias del control ActiveX. Usuarios cuya cuenta es configurada para tener menos privilegios de usuario sobre el sistema podrían ser menos impactados que aquellos usuarios quienes operan con privilegios de administrador.

  • Fecha de Liberación: 13-Oct-2009
  • Ultima Revisión: 14-Oct-2009
  • Fuente: Microsoft Corp.
  • Riesgo Crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Microsoft Windows Microsoft Windows 2000 Server Service Pack 4 <= KB973346
Microsoft Windows Windows XP Service Pack 2 and Windows XP Service Pack 3 <= KB950760

  1. Índice de explotabilidad

    Vulnerabilidad de inicialización ATL COM CVE-2009-2493-

    Código de explotación consistente.

  2. Descripción

    Vulnerabilidad de inicialización ATL COM CVE-2009-2493-

    Una vulnerabilidad de ejecución remota de código existe en ciertos controles de Microsoft ActiveX, que fueron compilados utilizando los mas vulnerables ATL descritos en el Boletin MS09-035.

  3. Impacto

    Vulnerabilidad de inicialización ATL COM CVE-2009-2493-

    Un atacante podría explotar la vulnerabilidad de estos controles mediante la construcción de una página web especialmente diseñada. Cuando un usuario visita la página web, la vulnerabilidad podría permitir la ejecución remota de código.

    Un atacante quien exitosamente explote esta vulnerabilidad podrá tener los mismos derechos de usuario como un usuario registrado.

    Un atacante que aproveche esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema podrían ser menos afectados que aquellos usuarios quienes operan con privilegios de administrador.

  4. Solución

    1. Microsoft Windows 2000 Service Pack 4

    2. Windows XP Service Pack 2 and Windows XP Service Pack 3

    3. Windows XP Professional x64 Edition Service Pack 2

    4. Windows Server 2003 Service Pack 2

    5. Windows Server 2003 x64 Edition Service Pack 2

    6. Windows Server 2003 with SP2 for Itanium-based Systems

    7. Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2

    8. Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2

    9. Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2*

    10. Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2*

    11. Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2

    12. Windows 7 for 32-bit Systems

    13. Windows 7 for x64-based Systems

    14. Windows Server 2008 R2 for x64-based Systems*

    15. Windows Server 2008 R2 for Itanium-based Systems

  5. Referencias

    1. http://www.microsoft.com/technet/security/bulletin/ms09-055.mspx

    2. http://www.microsoft.com/technet/security/Bulletin/MS09-oct.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Mayra Villeda (mvilleda at seguridad dot unam dot mx)
  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT