Sistemas Afectados

1. Descripción

   • Vulnerabilidad en la Manipulación del Cuadro de Diálogo de Descarga de Archivos

   Existe una vulnerabilidad de ejecución remota de código en la forma en como Internet Explorer muestra los cuadros de diálogo de descarga de archivos y acepta la entrada del usuario durante la interacción con una página Web. Esta interacción podría ser en la forma de presionar teclas que presiona un usuario cuando visita una página Web. Un cuadro de diálogo personalizado también podría ser posicionado frente a un cuadro de diálogo de descarga de archivos para hacerlo más convincente. Un usuario podría ser persuadido para hacer doble clic en un elemento de la página Web.

   Un intruso podría explotar la vulnerabilidad construyendo una página Web maliciosa que podría potencialmente permitir la ejecución remota de código si un usuario visita el sitio Web malicioso. Un intruso que haya explotado satisfactoriamente esta vulnerabilidad podría tomar el control completo de un sistema afectado. Sin embargo, se requiere la interacción del usuario para explotar esta vulnerabilidad.

   • Vulnerabilidad en el Proxy HTTPS

   Existe una vulnerabilidad de revelación de información en la forma en como Internet Explorer se comporta en ciertas situaciones donde un servidor Proxy HTTPS requiere que los clientes utilice autenticación Básica. Esta vulnerabilidad podría permitir a un intruso leer direcciones Web en texto claro enviados desde Internet Explorer a un servidor proxy a pesar de que la conexión sea una conexión HTTPS.

   • Vulnerabilidad de Corrupción de Memoria en la Instanciación de Objetos COM

   Existe una vulnerabilidad de ejecución remota de código en la forma en como Internet Explorer instancia objetos COM que no están destinados a ser instanciados en Internet Explorer. Un intruso podría explotar la vulnerabilidad construyendo una página Web maliciosa que podría potencialmente permitir la ejecución remota de código si un usuario visita el sitio Web malicioso. Un intruso que haya explotada satisfactoriamente esta vulnerabilidad podría tomar el control completo del sistema.

   • Vulnerabilidad de Corrupción de Memoria en Objetos Document Object Model no coincidentes

   Existe una vulnerabilidad de ejecución remota de código en la forma en como Internet Explorer maneja objetos Document Object Model no coincidentes. Un intruso podría explotar la vulnerabilidad construyendo una página Web maliciosa que podría potencialmente permitir la ejecución remota de código si un usuario visita el sitio Web maliciosa. Un intruso que haya explotada satisfactoriamente esta vulnerabilidad podría tomar el control completo de un sistema afectado.

2. Impacto

   Si un usuario ha iniciado sesión con derechos de usuario administrativos, un intruso que haya explotado satisfactoriamente la más severa de estas vulnerabilidades podría tomar el control completo de un sistema afectado. Un intruso podría después instalar programas; visualizar, cambiar o eliminar datos; o crear nuevas cuentas con derechos administrativos. Los usuarios cuyas cuentas están configuradas para tener derechos administrativos limitados en el sistema podrían ser impactados de menos forma que los usuarios que operan con derechos administrativos totales.

3. Solución

   • Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000 Service Pack 4 – Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000 Service Pack 4 – Descargar la actualización
   
   
   • Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 Service Pack 4 o en Microsoft Windows XP Service Pack 1 – Descargar la actualización
     
   • Internet Explorer 6 para Microsoft Windows XP Service Pack 2 – Descargar la actualización
     
   • Internet Explorer 6 para Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1 – Descargar la actualización
     
   • Internet Explorer 6 para Microsoft Windows Server 2003 para sistemas basados en Itanium y Microsoft Windows Server 2003 con SP1 para sistemas basados en Itanium – Descargar la actualización
     
   • Internet Explorer 6 para Microsoft Windows Server 2003 Edición x64 – Descargar la actualización
     
   • Internet Explorer 6 para Microsoft Windows XP Professional Edición x64 – Descargar la actualización
     
   • Internet Explorer 5.5 Service Pack 2 en Microsoft Windows Millennium Edition – Descargar la actualización
     
   • Internet Explorer 6 Service Pack 1 en Microsoft Windows 98, en Microsoft Windows 98 SE, o en Microsoft Windows Millennium Edition – Descargar la actualización
     

4. Apéndice

   • Boletín de Seguridad de Microsoft MS05-054 http://www.microsoft.com/technet/security/bulletin/MS05-054.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a: