Microsoft ha liberado fuera de tiempo para hacer frente a las actualizaciones a vulnerabilidades críticas en Microsoft Internet Explorer se ejecuta en la mayoría de las versiones soportadas de Windows. Las actualizaciones también ayudan a mitigar los ataques en contra los controles ActiveX desarrollados con versiones vulnerables de Microsoft Active Template Library (ATL).
Microsoft Windows | ActiveX controls from multiple vendors | < | KB967723 |
Microsoft Windows | Microsoft Internet Explorer | < | KB967723 |
Microsoft Windows | Microsoft Visual Studio and C++ Redistributable Package | < | KB967723 |
Microsoft Windows | Microsoft Windows and Windows Server | < | KB967723 |
Microsoft ha publicado actualizaciones para vulnerabilidades críticas en Internet Explorer. Las actualizaciones también incluyen mitigaciones para los ataques contra los controles de ActiveX vulnerables que han sido creadas con versiones vulnerables de Active Template Library (ATL).
Las vulnerabilidades se presentan en Active Template Library que pueden causar vulnerabilidades en los consiguientes los controles de ActiveX y en los componentes COM. Por ejemplo, el error tipográfico en Active Template Library que describe en este blog de Security Development Lifecycle causado el control ActiveX Microsoft Video de pila de desbordamiento de bufer (CVE-2008-0015)
El control ActiveX o cualquier componente de COM que se creó con una versión vulnerable de ATL pueden ser vulnerables. Por ejemplo, Adobe y CISCO se ven afectados.
Un atacante puede ejecutar código arbitrario, si se convence a los usuarios a ver especialmente un documento de HTML especialmente preparado (por ejemplo, una página Web, mensajes de correo electrónico HTML, O adjuntos de HTML).
ADMINISTRADORES DE SISTEMA
Para hacer frente a las vulnerabilidades en internet Explorer y mitigar los ataques vulnerables contra ATL basados en controles de ActiveX, aplique las actualizaciones descritas en el boletín de Seguridad de Microsoft MS09-034. Además los detalles sobre la mitigación ATL están disponibles en Microsoft Security Research and Defense Blog Spot.
Los administradores deberían considerar usar una actualización automatizada para la distribución del sistema como Windows Server Update Services (WSUSS).
DESARROLLADORES
Para detener la creación de controles vulnerables, la actualización, tal como se describe ATL en el Boletín de seguridad de Microsoft MS09-035. Para hacer frente a las vulnerabilidades en los controles existentes, recompilar los controles utilizando la actualización de ATL. Además se debate acerca de las vulnerabilidades de ATL que se pueden encontrar en el blog de Security Development Lifecycle.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT