Sistemas Afectados

1. Índice de Explotación

   • CVE-2008-4029 - Probable existencia de exploit consistente
   • CVE-2007-0099 - Probable existencia de exploit inconsistente
   • CVE-2008-4033 - Probable existencia de exploit inconsistente

2. Descripción

   • Vulnerabilidad de corrupción de memoria en MSXML - CVE-2007-0099

   Existe una vulnerabilidad de ejecución remota de código en la manera que Microsoft XML Core Services analiza el contenido XML. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un sitio Web con contenido malicioso o si abre un correo con contenido HTML malicioso. Un atacante que explote exitosamente la vulnerabilidad podría tomar control total del sistema afectado. En consecuencia, un atacante podría instalar programas; ver, modificar o eliminar datos; o crear nuevas cuentas de usuario con todos los privilegios. Los usuario que han sido configurados con pocos privilegios podrían ser menos impactados que aquellos que operan con privilegios administrativos.

   • Vulnerabilidad de cruce de dominio en MSXML DTD - CVE-2008-4029

   Existe una vulnerabilidad de divulgación de información en la manera que Microsoft XML Core Services maneja los errores en definiciones DTD. La vulnerabilidad podría permitir la divulgación de información si un usuario visita un sitio web que ha sido creado maliciosamente o si abre un correo con contenido HTML malicioso. Un atacante que explote exitosamente la vulnerabilidad podría leer datos de una página web en otro dominio de Internet Explorer. En todos los casos, el atacante no tiene manera de forzar a los usuarios a visitar otros dominios.

   • Vulnerabilidad de solicitud en cabecera en MSXML - CVE-2008-4033

   Existe una vulnerabilidad de divulgación de información en la manera que Microsoft XML Core Services maneja la transferencia de cabeceras codificadas. La vulnerabilidad podría permitir la divulgación de información si un usuario visita un sitio web que ha sido creado maliciosamente o si abre un correo con contenido HTML malicioso. Un atacante que explote exitosamente la vulnerabilidad podría leer datos de una página web en otro dominio de Internet Explorer. En todos los casos, el atacante no tiene manera de forzar a los usuarios a visitar otros dominios.

   • Impacto

     Un atacante remoto podría ejecutar código y tomar control total del sistema afectado.

   • Solución

     • Aplicar actualización de seguridad de Microsoft Corp.

     Microsoft ha proporcionado una actualización de seguridad para resolver la vulnerabilidad. Existe una actualización disponible para cada sistema operativo dependiendo de la versión que utilice de Microsoft XML Core Services. Se recomienda a los administradores actualizar sus sistemas probando el efecto de las actualizaciones previo a actualizar sus sistemas de producción y así determinar cualquier efecto adverso.

     Para actualizar su sistema operativo se recomienda hacer uso de Microsoft Update o descargar las actualizaciones de:

     • http://www.microsoft.com/technet/security/bulletin/ms08-069.mspx

     Los administradores de sistemas podrían utilizar un sistema de distribución automatizado de actualizaciones como WSUS (Windows Server Update Services).

     • Referencias

       • Boletín Original de Microsoft
       • Boletín de Seguridad de Microsoft MS08-069 - http://www.microsoft.com/technet/security/bulletin/ms08-069.mspx
       • Microsoft Update - https://www.update.microsoft.com/microsoftupdate/
       • Windows Server Update Services - http://technet.microsoft.com/es-es/wsus/default(en-us).aspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Oscar Raúl Ortega Pacheco (oortega at seguridad dot unam dot mx)
• Jennifer Méndez Bernal (windows at seguridad dot unam dot mx)