Esta actualización de seguridad resuelve tres vulnerabilidades reportadas de manera privada y una vulnerabilidad divulgada de manera pública en Internet Explorer. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visualiza una página Web maliciosa utilizando Internet Explorer. Usuarios cuyas cuentas de usuario están configuradas para tener pocos privilegios sobre el sistema podrían ser menos impactados que aquellos que operan con privilegios de administrador.
Microsoft Windows todas las versiones | Microsoft Windows 2000 Service Pack 4 | <= | KB972260 |
Microsoft Windows todas las versiones | Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 | <= | KB972260 |
Microsoft Windows todas las versiones | Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2 | <= | KB974455 |
Microsoft Windows todas las versiones | Windows XP Professional x64 Edition and Windows XP Professional x64 Edition Service Pack 2 | <= | KB972260 |
Microsoft Windows todas las versiones | Windows XP Service Pack 2 and Windows XP Service Pack 3 | <= | KB972260 |
Vulnerabilidad de corrupción de pila en la cabecera de stream de datos - CVE-2009-1547
Código de explotación inconsistente.
Vulnerabilidad de manejo del componente HTML - CVE-2009-2529
Código de explotación consistente.
Vulnerabilidad de corrupción de memoria no inicializada - CVE-2009-2530
Código de explotación inconsistente.
Vulnerabilidad de corrupción de memoria no inicializada - CVE-2009-2531
Código de explotación inconsistente.
Vulnerabilidad de corrupción de pila en la cabecera de stream de datos - CVE-2009-1547
Una vulnerabilidad de ejecución remota de código existe en la forma en que Internet Explorer procesa las cabeceras del stream de datos en específicas situaciones. Un atacante podría explotar esta vulnerabilidad mediante la construcción de un sitio Web malicioso. Cuando un usuario visualiza una la pagina Web, la vulnerabilidad podría permitir la ejecución remota de código.
Vulnerabilidad de manejo del componente HTML - CVE-2009-2529
Una vulnerabilidad de ejecución remota de código existe en la forma en que Internet Explorer maneja la validación de argumentos de una variable en situaciones específicas. Un atacante podría explotar esta vulnerabilidad mediante la construcción de un sitio Web malicioso. Cuando un usuario visualiza una la pagina Web, la vulnerabilidad podría permitir la ejecución remota de código.
Vulnerabilidad de corrupción de memoria no inicializada - CVE-2009-2530
Una vulnerabilidad de ejecución remota de código existe en la forma en que Internet Explorer accede a un objeto que no ha sido correctamente inicializado o ha sido eliminado. Un atacante podría explotar esta vulnerabilidad mediante la construcción de un sitio Web malicioso. Cuando un usuario visualiza una la pagina Web, la vulnerabilidad podría permitir la ejecución remota de código.
Vulnerabilidad de corrupción de memoria no inicializada - CVE-2009-2531
Una vulnerabilidad de ejecución remota de código existe en la forma en que Internet Explorer accede a un objeto que no ha sido correctamente inicializado o ha sido eliminado. Un atacante podría explotar esta vulnerabilidad mediante la construcción de un sitio Web malicioso. Cuando un usuario visualiza una la pagina Web, la vulnerabilidad podría permitir la ejecución remota de código.
Vulnerabilidad de corrupción de pila en la cabecera de stream de datos - CVE-2009-1547
Un atacante que explota exitosamente esta vulnerabilidad podría obtener los mismos privilegios que un usuario con acceso al sistema. Si un usuario tiene acceso al sistema con privilegios de administrador, un atacante que explotara exitosamente esta vulnerabilidad podría obtener el control completo sobre el sistema afectado. Un atacante podría entonces instalar programas; visualizar, modificar, o eliminar información; o crear nuevas cuentas con privilegios de administrador.
Vulnerabilidad de manejo del componente HTML - CVE-2009-2529
Un atacante que explota exitosamente esta vulnerabilidad podría obtener los mismos privilegios que un usuario con acceso al sistema. Si un usuario tiene acceso al sistema con privilegios de administrador, un atacante que explotara exitosamente esta vulnerabilidad podría obtener el control completo sobre el sistema afectado. Un atacante podría entonces instalar programas; visualizar, modificar, o eliminar información; o crear nuevas cuentas con privilegios de administrador.
Vulnerabilidad de corrupción de memoria no inicializada - CVE-2009-2530
Un atacante que explota exitosamente esta vulnerabilidad podría obtener los mismos privilegios que un usuario con acceso al sistema. Si un usuario tiene acceso al sistema con privilegios de administrador, un atacante que explotara exitosamente esta vulnerabilidad podría obtener el control completo sobre el sistema afectado. Un atacante podría entonces instalar programas; visualizar, modificar, o eliminar información; o crear nuevas cuentas con privilegios de administrador.
Vulnerabilidad de corrupción de memoria no inicializada - CVE-2009-2531
Un atacante que explota exitosamente esta vulnerabilidad podría obtener los mismos privilegios que un usuario con acceso al sistema. Si un usuario tiene acceso al sistema con privilegios de administrador, un atacante que explotara exitosamente esta vulnerabilidad podría obtener el control completo sobre el sistema afectado. Un atacante podría entonces instalar programas; visualizar, modificar, o eliminar información; o crear nuevas cuentas con privilegios de administrador.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT