1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2009-052 Actualización de seguridad acumulativa para Internet Explorer

Esta actualización de seguridad resuelve cuatro vulnerabilidades privadas y una pública en Internet Explorer. Las vulnerabilidades podrían permitir ejecución remota de código si un usuario ve una pagina Web especialmente diseñada usando Internet Explorer. Los usuarios quienes sus cuentas están configuradas para tener pocos derechos de usuarios en el sistema podrían ser menos afectados que los usuarios con derechos administrativos.

  • Fecha de Liberación: 9-Dic-2009
  • Ultima Revisión: 12-Ene-2010
  • Fuente: Microsoft Corp.
  • CVE ID: CVE-2009-2493 CVE-2009-3671 CVE-2009-3672 CVE-2009-3673 CVE-2009-3674
  • Riesgo Crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Microsoft Windows Microsoft Windows 2000 Service Pack 4 <= KB974455
Microsoft Windows Windows 7 for 32-bit Systems <= KB974455
Microsoft Windows Windows 7 for x64-based Systems <= KB974455
Microsoft Windows Windows Server 2003 Service Pack 2 <= KB974455
Microsoft Windows Windows Server 2003 x64 Edition Service Pack 2 <= KB974455
Microsoft Windows Windows Server 2008 R2 for Itanium-based Systems <= KB974455
Microsoft Windows Windows Server 2008 R2 for x64-based Systems <= KB974455
Microsoft Windows Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2* <= KB974455
Microsoft Windows Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2* <= KB974455
Microsoft Windows Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2 <= KB974455
Microsoft Windows Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2 <= KB974455
Microsoft Windows Windows XP Professional x64 Edition Service Pack 2 <= KB974455
Microsoft Windows Windows XP Service Pack 2 and Windows XP Service Pack 3 <= KB974455
  1. Índice de explotabilidad

    Vulnerabilidad de inicialización de ATL COM - CVE-2009-2493

    Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3671

    Código de explotación consistente

    Vulnerabilidad de daños en la memoria de objetos HTML - CVE-2009-3672

    Código de explotación consistente

    Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3673

    Código de explotación consistente

    Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3674

    Código de explotación consistente

  2. Descripción

    Vulnerabilidad de inicialización de ATL COM - CVE-2009-2493

    Una vulnerabilidad de ejecución remota de código existe en el control de ActiveX vulnerable construido con cabeceras de Microsoft Active Template Library (ATL). Esta vulnerabilidad solo afecta directamente a sistemas con componentes y controles instalados que fueron construidos usando Visual Studio ATL. Los componentes y controles construidos, usando ATL podrían permitir la creación de instancias de objetos arbitrarios que pueden pasar por alto las políticas de seguridad relacionadas, como bits de Internet Explorer. Por lo tanto esta vulnerabilidad podría permitir a un control remoto, a usuarios no autenticados realizar ejecución remota de código sobre un sistema afectado.

    Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3671

    Una vulnerabilidad de ejecución remota de código existe en la manera que Internet Explorer accesa a un objeto que no ha inicializado correctamente o se ha eliminado.

    Vulnerabilidad de daños en la memoria de objetos HTML - CVE-2009-3672

    Una vulnerabilidad de ejecución remota de código existe en la manera que Internet Explorer accesa a un objeto que no ha inicializado correctamente o se ha eliminado.

    Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3673

    Una vulnerabilidad de ejecución remota de código existe en la manera que Internet Explorer accesa a un objeto que no ha inicializado correctamente o se ha eliminado.

    Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3674

    Una vulnerabilidad de ejecución remota de código existe en la manera que Internet Explorer accesa a un objeto que no ha inicializado correctamente o se ha eliminado.

  3. Impacto

    Vulnerabilidad de inicialización de ATL COM - CVE-2009-2493

    Un atacante podría explotar la vulnerabilidad creando una página Web especialmente diseñada. Cuando los usuarios visiten esta página Web, la vulnerabilidad podría permitir ejecución remota de código.

    Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3671

    Un atacante podría explotar la vulnerabilidad creando una página Web especialmente diseñada, la vulnerabilidad podría permitir ejecución remota de código.

    Un atacante que exitosamente explote esta vulnerabilidad podría obtener los mismos derechos como un usuario de inicio de sesión. Si un usuario inicia sesión con privilegios de administrador, el atacante explotaría la vulnerabilidad tomando completo control de un sistema afectado. Un atacante podría entonces instalar programas; ver, modificar, o eliminar datos; o crear nuevas cuentas de usuario con privilegios de administrador.

    Vulnerabilidad de daños en la memoria de objetos HTML - CVE-2009-3672

    Un atacante podría explotar la vulnerabilidad creando una página Web especialmente diseñada, la vulnerabilidad podría permitir ejecución remota de código.

    Un atacante que exitosamente explote esta vulnerabilidad podría obtener los mismos derechos como un usuario de inicio de sesión. Si un usuario inicia sesión con privilegios de administrador, el atacante explotaría la vulnerabilidad tomando completo control de un sistema afectado. Un atacante podría entonces instalar programas; ver, modificar, o eliminar datos; o crear nuevas cuentas de usuario con privilegios de administrador.

    Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3673

    Un atacante podría explotar la vulnerabilidad creando una página Web especialmente diseñada, la vulnerabilidad podría permitir ejecución remota de código.

    Un atacante que exitosamente explote esta vulnerabilidad podría obtener los mismos derechos como un usuario de inicio de sesión. Si un usuario inicia sesión con privilegios de administrador, el atacante explotaría la vulnerabilidad tomando completo control de un sistema afectado. Un atacante podría entonces instalar programas; ver, modificar, o eliminar datos; o crear nuevas cuentas de usuario con privilegios de administrador.

    Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3674

    Un atacante podría explotar la vulnerabilidad creando una página Web especialmente diseñada, la vulnerabilidad podría permitir ejecución remota de código.

    Un atacante que exitosamente explote esta vulnerabilidad podría obtener los mismos derechos como un usuario de inicio de sesión. Si un usuario inicia sesión con privilegios de administrador, el atacante explotaría la vulnerabilidad tomando completo control de un sistema afectado. Un atacante podría entonces instalar programas; ver, modificar, o eliminar datos; o crear nuevas cuentas de usuario con privilegios de administrador.

  4. Solución

    1. Microsoft Windows 2000 Service Pack 4,Internet Explorer 5.01 Service Pack 4

    2. Microsoft Windows 2000 Service Pack 4,Internet Explorer 6 Service Pack 1

    3. Windows XP Service Pack 2 and Windows XP Service Pack 3,Internet Explorer 6

    4. Windows XP Professional x64 Edition Service Pack 2,Internet Explorer 6

    5. Windows Server 2003 Service Pack 2

    6. Windows Server 2003 x64 Edition Service Pack 2,Internet Explorer 6

    7. Windows Server 2003 with SP2 for Itanium-based Systems,Internet Explorer 6

    8. Windows XP Service Pack 2 and Windows XP Service Pack 3,Internet Explorer 7

    9. Windows XP Professional x64 Edition Service Pack 2,Internet Explorer 7

    10. Windows Server 2003 Service Pack 2,Internet Explorer 7

    11. Windows Server 2003 x64 Edition Service Pack 2,Internet Explorer 7

    12. Windows Server 2003 with SP2 for Itanium-based Systems, Internet Explorer 7

    13. Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2,Internet Explorer 7

    14. Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2, Internet Explorer 7

    15. PWindows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2*, Internet Explorer 7

    16. Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2*, Internet Explorer 7

    17. Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2,Internet Explorer 7

    18. Windows XP Service Pack 2 and Windows XP Service Pack 3,Internet Explorer 8

    19. Windows XP Professional x64 Edition Service Pack 2,Internet Explorer 8

    20. Windows Server 2003 Service Pack 2,Internet Explorer 8

    21. Windows Server 2003 x64 Edition Service Pack 2, Internet Explorer 8

    22. Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2, Internet Explorer 8

    23. Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2,Internet Explorer 8

    24. Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2*,Internet Explorer 8

    25. Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2*,Internet Explorer 8

    26. Windows 7 for 32-bit Systems,Internet Explorer 8

    27. Windows 7 for x64-based Systems,Internet Explorer 8

    28. Windows Server 2008 R2 for x64-based Systems*, Internet Explorer 8

    29. Windows Server 2008 R2 for Itanium-based Systems,Internet Explorer 8

  5. Referencias

    1. http://www.microsoft.com/technet/security/bulletin/ms09-072.mspx

    2. http://www.microsoft.com/technet/security/bulletin/MS09-dec.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Mayra Villeda (mvilleda at seguridad dot unam dot mx)
  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT