Esta actualización de seguridad resuelve dos vulnerabilidades reportadas de manera privada en Microsoft Office Access ActiveX Controls. Estas vulnerabilidades podrían permitir la ejecución remota de código si un usuario abriera un archivo de Office especialmente preparado o visualizara una página web que utilizara controles de Access ActiveX. Usuarios cuyas cuentas están configuradas para tener pocos privilegios sobre el sistema podrían ser menos impactados que usuarios que operan con privilegios de administrador.
Microsoft Windows todas las versiones | 2007 Microsoft Office System Service Pack 1 and 2007 Microsoft Office System Service Pack 2 | < | KB979440 |
Microsoft Windows todas las versiones | Microsoft Office 2003 Service Pack 3 | < | KB981716 |
Vulnerabilidad en Access ActiveX Control - CVE-2010-0814
Código de explotación consistente.
Vulnerabilidad de variable no inicializada de ACCWIZ.dll - CVE-2010-1881
Código de explotación consistente.
Vulnerabilidad en Access ActiveX Control - CVE-2010-0814
Una vulnerabilidad de ejecución remota de código existe en los controles de Access ActiveX debido a la forma en que los múltiples controles de ActiveX son cargados por Internet Explorer.
Vulnerabilidad de variable no inicializada de ACCWIZ.dll - CVE-2010-1881
Una vulnerabilidad de ejecución remota de código existe en la forma en que el control FieldList ActiveX es utilizado por Microsoft Office e Internet Explorer.
Vulnerabilidad en Access ActiveX Control - CVE-2010-0814
Un atacante que explotara exitosamente esta vulnerabilidad podría correr código arbitrario como un usuario con sesión iniciada. Si un usuario inicia sesión con privilegios de administrador, un atacante podría tomar control completo del sistema afectado. El atacante podría entonces instalar programas; visualizar, modificar, o eliminar datos; o crear nuevas cuentas de usuario con todos los privilegios. Usuarios cuyas cuentas están configuradas para tener pocos privilegios sobre el sistema podrían ser menos impactados que usuarios que operan con privilegios de administrador.
Vulnerabilidad de variable no inicializada de ACCWIZ.dll - CVE-2010-1881
Un atacante que explotara exitosamente esta vulnerabilidad podría correr código arbitrario como un usuario con sesión iniciada. Si un usuario inicia sesión con privilegios de administrador, un atacante podría tomar control completo del sistema afectado. El atacante podría entonces instalar programas; visualizar, modificar, o eliminar datos; o crear nuevas cuentas de usuario con todos los privilegios. Usuarios cuyas cuentas están configuradas para tener pocos privilegios sobre el sistema podrían ser menos impactados que usuarios que operan con privilegios de administrador.
http://www.microsoft.com/technet/security/bulletin/ms10-jul.mspx
http://www.microsoft.com/technet/security/bulletin/MS10-044.mspx
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT