1 2 3 4 5 6

Boletines RSS PDF

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Boletin de Seguridad UNAM-CERT-2006-021 Vulnerabilidades en Microsoft Windows, Internet Explorer, Media Player, Word, PowerPoint, y Exchange

Microsoft ha liberado actualizaciones que solucionan vulnerabilidades críticas en Microsoft Windows, Word, PowerPoint, Media Player, Internet Explorer, y Exchange Server. La explotación de estas vulnerabilidades podría permitir un intruso remoto no autenticado para ejecutar código arbitrario o causar una negación de servicio en un sistema vulnerable.

  • Fecha de Liberación: 13-Jun-2006
  • Ultima Revisión: 13-Jun-2006
  • Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, así como Foros y Listas de Discusión.
  • Riesgo Crítico
  • Problema de Vulnerabilidad Local y remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades
  1. Sistemas afectados

    • Microsoft Windows
    • Microsoft Windows Media Player
    • Microsoft Internet Explorer
    • Microsoft PowerPoint para Windows y Mac OS X
    • Microsoft Word para Windows
    • Microsoft Office
    • Microsoft Works Suite
    • Microsoft Exchange Server Outlook Web Access

    Para una información más completa, consulte el Resumen de Boletines de Seguridad de Microsoft para Junio 2006.

  2. Descripción

    Microsoft Security Bulletin Summary for June 2006 soluciona vulnerabilidades en Microsoft Windows, Word, PowerPoint, Media Player, Internet Explorer, y Exchange Server. Mayor información está disponible en las siguientes Notas de Vulnerabilidad del US-CERT:

    • VU#722753 - Vulnerabilidad de Fuente de Ruteo IP en Microsoft Windows
    • Una vulnerabilidad en Microsoft Windows podría permitir a un intruso remoto ejecutar código arbitrario en un sistema vulnerable.
      (CVE-2006-2379)

    • VU#446012 - Vulnerabilidad de corrupción de memoria en apuntado de objeto de Microsoft Word
    • Existe una vulnerabilidad de corrupción de memoria en Microsoft Word que podría permitir a un intruso remoto ejecutar código arbitrario con los privilegios del usuario ejecutando Word.
      (CVE-2006-2492)

    • VU#190089 - Vulnerabilidad de registro malformado en Microsoft PowerPoint
    • Microsoft PowerPoint falla al manejar adecuadamente registros malformados. Esto podría permitir a un intruso remoto ejecutar código arbitrario en un sistema vulnerable.
      (CVE-2006-0022)

    • VU#923236 - Buffer overflow en el manejo de imágenes ART en Microsoft Windows
    • Las rutinas de manejo de imágenes ART en Microsoft Windows son vulnerables a un buffer overflow basado en heap. Esta vulnerabilidad podría permitir a un intruso remoto no autenticado ejecutar código arbitrario en un sistema vulnerable.
      (CVE-2006-2378)

    • VU#390044 - Vulnerabilidad de corrupción de memoria en Microsoft JScript
    • Microsoft JScript contiene una vulnerabilidad de corrupción de memoria. Esta vulnerabilidad podría permitir a un intruso remoto no autenticado ejecutar código arbitrario en un sistema vulnerable.
      (CVE-2006-1313)

    • VU#338828 - Vulnerabilidad en el manejo de excepciones en Microsoft Internet Explorer
    • Microsoft Internet Explorer falla al manejar adecuadamente condiciones de excepción. Esto podría permitir a un intruso remoto no autenticado ejecutar código arbitrario.
      (CVE-2006-2218)

    • VU#417585 - El filtro Microsoft DXImageTransform Light falla al validar una entrada
    • El objeto COM Microsoft DXImageTransform Light falla al validar una entrada, lo cual podría permitir a un intruso remoto ejecutar código arbitrario en un sistema vulnerable.
      (CVE-2006-2383)

    • VU#959049 - Múltiples objetos COM causan corrupción de memoria en Microsoft Internet Explorer
    • Microsoft Internet Explorer (IE) permite la instanciación de objetos COM no designados para uso en el navegador, los cual podía permitir a un intruso remoto ejecutar código arbitrario o causar que falle IE.
      (CVE-2006-2127)

    • VU#136849 - Vulnerabilidad de decodificación UTF-8 en Microsoft Internet Explorer
    • Microsoft Internet Explorer falla al decodificar adecuadamente HTML codificado como UTF-8. Esto podría permitir a un intruso remoto no autenticado ejecutar código arbitrario en un sistema vulnerable.
      (CVE-2006-2382)

    • VU#909508 - El Motor de Interpretación de Gráficos de Microsoft falla al manejar adecuadamente imágenes WMF
    • El Motor de Interpretación de Gráficos de Microsoft contiene una vulnerabilidad que podría permitir a un intruso remoto ejecutar código arbitrario en un sistema vulnerable.
      (CVE-2006-2376)

    • VU#608020 - Buffer overfloe en el procesamiento PNG en Microsoft Windows Media Player
    • Microsoft Windows Media Player contiene una vulnerabilidad de buffer overflow basado en stack que podría permitir a un intruso remoto no autenticado ejecutar código arbitrario en un sistema vulnerable.
      (CVE-2006-0025)

    • VU#814644 - El servicio Microsoft Remote Access Connection Manager es vulnerable a un buffer overflow
    • Una vulnerabilidad en Microsoft Remote Access Connection Manager podría permitir a un intruso remoto ejecutar código arbitrario en un sistema vulnerable.
      (CVE-2006-2371)

    • VU#631516 - Microsoft Routing and Remote Access no reponde al manejo de requerimientos RPC
    • Existe una vulnerabilidad en el servicio Microsoft Windows Routing and Remote Access que podría permitir a un intruso remoto tomar el control remoto del sistema afectado.
      (CVE-2006-2370)

    • VU#138188 - Vulnerabilidad de inyección de secuencia de comandos en Microsoft Outlook Web Access para Exchange Server
    • Existe una vulnerabilidad de inyección de secuencias de comandos en Microsoft Exchange Server ejecutando Outlook Web Access.
      (CVE-2006-1193)

    En MS06-027 Microsoft ha liberado actualizaciones para la vulnerabilidad descrita en la Alerta Técnica de Seguridad Cibernética TA06-139A.

  3. Impacto

    Un intruso remoto no autenticado podría ejecutar código arbitrario en un sistema vulnerable. Un intruso podría también ser capaz de causar una negación de servicio.

  4. Solución

  5. Apéndice

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT