Sistemas Afectados

1. Descripción

   • Vulnerabilidad de Cross-Site Scripting en .NET Framework 2.0 CVE-2006-3436

   Existe una vulnerabilidad del tipo Cross Site Scripting en un servidor ejecutando una versión vulnerable de .Net Framework 2.0; si se explota con éxito la vulnerabilidad podría infiltrar una secuencia de comandos de cliente en el explorador del usuario. La vulnerabilidad del tipo Cross Site Scripting resulta de la manera en como .Net Framework 2.0 valida el valor de una petición HTTP

2. Impacto

   Existe una vulnerabilidad del tipo Cross Site Scripting en un servidor ejecutando una versión vulnerable de .Net Framework 2.0 que podría insertar un script del lado del cliente en el navegador del usuario. El script podría cambiar el contenido, revelar información, o tomar acciones para afectar al sitio Web. El intento de esta vulnerabilidad requiere la interacción del usuario.

3. Solución

   Aplicar una actualización:

   • Microsoft .NET Framework 2.0 – Descargar la actualización

   Esta actualización corrige problemas en:

   • Microsoft Windows 2000 Service Pack
   • Microsoft Windows XP Service Pack 1 o Windows XP Service Pack 2
   • Microsoft Windows XP Professional x64 Edition
   • Microsoft Windows XP Tablet PC Edition
   • Microsoft Windows XP Media Center Edition
   • Microsoft Windows Server 2003 or Microsoft Windows Server 2003 Service Pack 1
   • Microsoft Windows Server 2003 para sistemas basados en Itanium o Windows Server 2003 con SP1 para sistemas basados en Itanium
   • Microsoft Windows Server 2003 x64 Edition

4. Apéndice

   • Boletín de Seguridad de Microsoft MS06-056 -

     http://www.microsoft.com/technet/security/bulletin/MS06-056.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Juan Lopez Morales (jlopez at seguridad dot unam dot mx)
• Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx)