Sistemas Afectados

1. Descripción

   • Vulnerabilidad de corrupción de memoria en objeto ActiveX - CVE-2008-1086

   Existe una vulnerabilidad de ejecución de código en el control ActiveX hxvz.dll. Un atacante podría explotar la vulnerabilidad construyendo una página web maliciosa. De manera que cuando el usuario visite la página, la vulnerabilidad podría permitir la ejecución remota de código. Un atacante que explote exitosamente la vulnerabilidad podría obtener los mismos privilegios que el usuario en sesión.

2. Impacto

   Un atacante podría ejecutar código arbitrario en el equipo con los mismos privilegios que el usuario en sesión.

3. Solución

   Aplicar una actualización de Microsoft Corp.

   • Microsoft Windows 2000 Service Pack 4
   • Microsoft Internet Explorer 5.01 Service Pack 4
   • Microsoft Internet Explorer 6 Service Pack 1
   • Windows XP Service Pack 2
   • Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
   • Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
   • Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
   • Windows Server 2003 con SP1 para sistemas basados en Itanium y Windows Server 2003 con SP2 para sistemas basados en Itanium
   • Windows Vista y Windows Vista Service Pack 1
   • Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
   • Windows Server 2008 para sistemas de 32-bits
   • Windows Server 2008 para sistemas de 64-bits
   • Windows Server 2008 para sistemas basados en Itanium

4. Referencias

   • Boletín Original de Microsoft
   • Boletín de Seguridad de Microsoft MS08-023- http://www.microsoft.com/technet/security/Bulletin/ms08-023.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Oscar Raúl Ortega Pacheco (oortega at seguridad dot unam dot mx)