Esta actualización de seguridad resuelve cuatro vulnerabilidades privadas y una pública en Internet Explorer. Las vulnerabilidades podrían permitir ejecución remota de código si un usuario ve una pagina Web especialmente diseñada usando Internet Explorer. Los usuarios quienes sus cuentas están configuradas para tener pocos derechos de usuarios en el sistema podrían ser menos afectados que los usuarios con derechos administrativos.
Microsoft Windows | Microsoft Windows 2000 Service Pack 4 | <= | KB974455 |
Microsoft Windows | Windows 7 for 32-bit Systems | <= | KB974455 |
Microsoft Windows | Windows 7 for x64-based Systems | <= | KB974455 |
Microsoft Windows | Windows Server 2003 Service Pack 2 | <= | KB974455 |
Microsoft Windows | Windows Server 2003 x64 Edition Service Pack 2 | <= | KB974455 |
Microsoft Windows | Windows Server 2008 R2 for Itanium-based Systems | <= | KB974455 |
Microsoft Windows | Windows Server 2008 R2 for x64-based Systems | <= | KB974455 |
Microsoft Windows | Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2* | <= | KB974455 |
Microsoft Windows | Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2* | <= | KB974455 |
Microsoft Windows | Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2 | <= | KB974455 |
Microsoft Windows | Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2 | <= | KB974455 |
Microsoft Windows | Windows XP Professional x64 Edition Service Pack 2 | <= | KB974455 |
Microsoft Windows | Windows XP Service Pack 2 and Windows XP Service Pack 3 | <= | KB974455 |
Vulnerabilidad de inicialización de ATL COM - CVE-2009-2493
Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3671
Código de explotación consistente
Vulnerabilidad de daños en la memoria de objetos HTML - CVE-2009-3672
Código de explotación consistente
Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3673
Código de explotación consistente
Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3674
Código de explotación consistente
Vulnerabilidad de inicialización de ATL COM - CVE-2009-2493
Una vulnerabilidad de ejecución remota de código existe en el control de ActiveX vulnerable construido con cabeceras de Microsoft Active Template Library (ATL). Esta vulnerabilidad solo afecta directamente a sistemas con componentes y controles instalados que fueron construidos usando Visual Studio ATL. Los componentes y controles construidos, usando ATL podrían permitir la creación de instancias de objetos arbitrarios que pueden pasar por alto las políticas de seguridad relacionadas, como bits de Internet Explorer. Por lo tanto esta vulnerabilidad podría permitir a un control remoto, a usuarios no autenticados realizar ejecución remota de código sobre un sistema afectado.
Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3671
Una vulnerabilidad de ejecución remota de código existe en la manera que Internet Explorer accesa a un objeto que no ha inicializado correctamente o se ha eliminado.
Vulnerabilidad de daños en la memoria de objetos HTML - CVE-2009-3672
Una vulnerabilidad de ejecución remota de código existe en la manera que Internet Explorer accesa a un objeto que no ha inicializado correctamente o se ha eliminado.
Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3673
Una vulnerabilidad de ejecución remota de código existe en la manera que Internet Explorer accesa a un objeto que no ha inicializado correctamente o se ha eliminado.
Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3674
Una vulnerabilidad de ejecución remota de código existe en la manera que Internet Explorer accesa a un objeto que no ha inicializado correctamente o se ha eliminado.
Vulnerabilidad de inicialización de ATL COM - CVE-2009-2493
Un atacante podría explotar la vulnerabilidad creando una página Web especialmente diseñada. Cuando los usuarios visiten esta página Web, la vulnerabilidad podría permitir ejecución remota de código.
Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3671
Un atacante podría explotar la vulnerabilidad creando una página Web especialmente diseñada, la vulnerabilidad podría permitir ejecución remota de código.
Un atacante que exitosamente explote esta vulnerabilidad podría obtener los mismos derechos como un usuario de inicio de sesión. Si un usuario inicia sesión con privilegios de administrador, el atacante explotaría la vulnerabilidad tomando completo control de un sistema afectado. Un atacante podría entonces instalar programas; ver, modificar, o eliminar datos; o crear nuevas cuentas de usuario con privilegios de administrador.
Vulnerabilidad de daños en la memoria de objetos HTML - CVE-2009-3672
Un atacante podría explotar la vulnerabilidad creando una página Web especialmente diseñada, la vulnerabilidad podría permitir ejecución remota de código.
Un atacante que exitosamente explote esta vulnerabilidad podría obtener los mismos derechos como un usuario de inicio de sesión. Si un usuario inicia sesión con privilegios de administrador, el atacante explotaría la vulnerabilidad tomando completo control de un sistema afectado. Un atacante podría entonces instalar programas; ver, modificar, o eliminar datos; o crear nuevas cuentas de usuario con privilegios de administrador.
Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3673
Un atacante podría explotar la vulnerabilidad creando una página Web especialmente diseñada, la vulnerabilidad podría permitir ejecución remota de código.
Un atacante que exitosamente explote esta vulnerabilidad podría obtener los mismos derechos como un usuario de inicio de sesión. Si un usuario inicia sesión con privilegios de administrador, el atacante explotaría la vulnerabilidad tomando completo control de un sistema afectado. Un atacante podría entonces instalar programas; ver, modificar, o eliminar datos; o crear nuevas cuentas de usuario con privilegios de administrador.
Vulnerabilidad de daños en la memoria sin inicializar- CVE-2009-3674
Un atacante podría explotar la vulnerabilidad creando una página Web especialmente diseñada, la vulnerabilidad podría permitir ejecución remota de código.
Un atacante que exitosamente explote esta vulnerabilidad podría obtener los mismos derechos como un usuario de inicio de sesión. Si un usuario inicia sesión con privilegios de administrador, el atacante explotaría la vulnerabilidad tomando completo control de un sistema afectado. Un atacante podría entonces instalar programas; ver, modificar, o eliminar datos; o crear nuevas cuentas de usuario con privilegios de administrador.
Microsoft Windows 2000 Service Pack 4,Internet Explorer 5.01 Service Pack 4
Microsoft Windows 2000 Service Pack 4,Internet Explorer 6 Service Pack 1
Windows XP Service Pack 2 and Windows XP Service Pack 3,Internet Explorer 6
Windows XP Professional x64 Edition Service Pack 2,Internet Explorer 6
Windows Server 2003 x64 Edition Service Pack 2,Internet Explorer 6
Windows Server 2003 with SP2 for Itanium-based Systems,Internet Explorer 6
Windows XP Service Pack 2 and Windows XP Service Pack 3,Internet Explorer 7
Windows XP Professional x64 Edition Service Pack 2,Internet Explorer 7
Windows Server 2003 x64 Edition Service Pack 2,Internet Explorer 7
Windows Server 2003 with SP2 for Itanium-based Systems, Internet Explorer 7
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2,Internet Explorer 7
Windows XP Service Pack 2 and Windows XP Service Pack 3,Internet Explorer 8
Windows XP Professional x64 Edition Service Pack 2,Internet Explorer 8
Windows Server 2003 x64 Edition Service Pack 2, Internet Explorer 8
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2, Internet Explorer 8
Windows Server 2008 R2 for x64-based Systems*, Internet Explorer 8
Windows Server 2008 R2 for Itanium-based Systems,Internet Explorer 8
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT