1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2009-016 Vulnerabilidades en los componentes web de Microsoft Office podrían permitir la ejecución remota de código

Esta actualización de seguridad resuelve varias vulnerabilidades reportadas de manera privada en los componentes web de Microsoft Office que podrían permitir la ejecución remota de código si un usuario visualiza una página web maliciosa. Un atacante que explotara exitosamente estas vulnerabilidades podría obtener los mismos privilegios que un usuario local. Usuarios cuyas cuentas están configuradas para tener pocos privilegios sobre el sistema podrían ser menos impactados que usuarios que operan con privilegios de administrador.

  • Fecha de Liberación: 11-Ago-2009
  • Ultima Revisión: 20-Ago-2009
  • Fuente: Microsoft Corp.
  • CVE ID: CVE-2009-0562 CVE-2009-1136 CVE-2009-1534 CVE-2009-2496
  • Riesgo Crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Microsoft Windows todas las versiones Microsoft BizTalk Server 2002 <= KB939714
Microsoft Windows todas las versiones Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3 <= KB947826
Microsoft Windows todas las versiones Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3 <= KB947826
Microsoft Windows todas las versiones Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition Service Pack 1 <= KB947826
Microsoft Windows todas las versiones Microsoft Internet Security and Acceleration Server 2006 Standard Edition Service Pack 1 <= KB947826
Microsoft Windows todas las versiones Microsoft Office 2000 Web Components Service Pack 3 < KB947319
Microsoft Windows todas las versiones Microsoft Office 2003 Service Pack 3 < KB947319
Microsoft Windows todas las versiones Microsoft Office 2003 Web Components Service Pack 1 for the 2007 Microsoft Office System <= KB947318
Microsoft Windows todas las versiones Microsoft Office 2003 Web Components Service Pack 3 < KB947319
Microsoft Windows todas las versiones Microsoft Office Small Business Accounting 2006 < KB968377
Microsoft Windows todas las versiones Microsoft Office XP Service Pack 3 <= KB932031
Microsoft Windows todas las versiones Microsoft Office XP Web Components Service Pack 3 <= KB932031
Microsoft Windows todas las versiones Microsoft Visual Studio .NET 2003 Service Pack 1 <= KB933369

  1. Índice de explotabilidad

    Vulnerabilidad de asignación de memoria en los componentes web de Office - CVE-2009-0562

    Código de explotación consistente.

    Vulnerabilidad de corrupción de pila en los componentes web de Office - CVE-2009-2496

    Código de explotación consistente.

    Vulnerabilidad de HTML Script en los componentes web de Office - CVE-2009-1136

    Código de explotación consistente.

    Vulnerabilidad de desbordamiento de buffer en los componentes de Office - CVE-2009-1534

    Código de explotación consistente.

  2. Descripción

    Vulnerabilidad de asignación de memoria en los componentes web de Office - CVE-2009-0562

    Una vulnerabilidad de ejecución remota de código existe el Control ActiveX de los componentes web en Office. Un atacante podría explotar la vulnerabilidad construyendo una página web maliciosa. Cuando un usuario visualiza la página web, la vulnerabilidad podría permitir la ejecución remota de código.

    Vulnerabilidad de corrupción de pila en los componentes web de Office - CVE-2009-2496

    Una vulnerabilidad de ejecución remota de código el Control ActiveX de los componentes web en Office. Un atacante podría explotar la vulnerabilidad construyendo una página web maliciosa. Cuando un usuario visualiza la página web, la vulnerabilidad podría permitir la ejecución remota de código.

    Vulnerabilidad de HTML Script en los componentes web de Office - CVE-2009-1136

    Una vulnerabilidad de ejecución remota de código el Control ActiveX de los componentes web en Office. Un atacante podría explotar la vulnerabilidad construyendo una página web maliciosa. Cuando un usuario visualiza la página web, la vulnerabilidad podría permitir la ejecución remota de código.

    Vulnerabilidad de desbordamiento de buffer en los componentes de Office - CVE-2009-1534

    Una vulnerabilidad de ejecución remota de código el Control ActiveX de los componentes web en Office. Un atacante podría explotar la vulnerabilidad construyendo una página web maliciosa. Cuando un usuario visualiza la página web, la vulnerabilidad podría permitir la ejecución remota de código.

  3. Impacto

    Vulnerabilidad de asignación de memoria en los componentes web de Office - CVE-2009-0562

    Un atacante que explote exitosamente esta vulnerabilidad podría obtener los mismos privilegios que un usuario con sesión iniciada en el sistema.

    Vulnerabilidad de corrupción de pila en los componentes web de Office - CVE-2009-2496

    Un atacante que explote exitosamente esta vulnerabilidad podría obtener los mismos privilegios que un usuario con sesión iniciada en el sistema.

    Vulnerabilidad de HTML Script en los componentes web de Office - CVE-2009-1136

    Un atacante que explote exitosamente esta vulnerabilidad podría obtener los mismos privilegios que un usuario con sesión iniciada en el sistema.

    Vulnerabilidad de desbordamiento de buffer en los componentes de Office - CVE-2009-1534

    Un atacante que explote exitosamente esta vulnerabilidad podría obtener los mismos privilegios que un usuario con sesión iniciada en el sistema.

  4. Solución

    1. Microsoft Office XP Service Pack 3

    2. Microsoft Office 2003 Service Pack 3

    3. Microsoft Office 2000 Web Components Service Pack 3

    4. Microsoft Office XP Web Components Service Pack 3

    5. Microsoft Office 2003 Web Components Service Pack 3

    6. Microsoft Office 2003 Web Components Service Pack 1 for the 2007 Microsoft Office System

    7. Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3

    8. Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3

    9. Microsoft Internet Security and Acceleration Server 2006 Standard Edition Service Pack 1

    10. Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition Service Pack 1

    11. Microsoft BizTalk Server 2002

    12. Microsoft Visual Studio .NET 2003 Service Pack 1

    13. Microsoft Office Small Business Accounting 2006

  5. Referencias

    http://www.microsoft.com/technet/security/bulletin/ms09-aug.mspx

    http://www.microsoft.com/technet/security/bulletin/ms09-043.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Mayra Villeda (mvilleda at seguridad dot unam dot mx)
  • Francisco Carlos Martínez Godínez (fmartinez at seguridad dot unam dot mx)
  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT