El Blog de Enrique Cortés

sábado, 12 de mayo de 2007

Información detallada sobre la Actualización de seguridad
acumulativa para Internet Explorer (931768) de Mayo 2007


Actualización de seguridad acumulativa para Internet Explorer (931768) de Mayo 2007




Esta actualización de seguridad reemplaza varias actualizaciones de seguridad anteriores, todas ellas incluidas en la actualización de seguridad acumulativa para Internet Explorer (928090) de Febrero de 2007.

Resuelve varias vulnerabilidades descubiertas recientemente, de las que se ha informado de forma pública y privada. Cada vulnerabilidad se documenta en su propia subsección de la sección "Detalles de la vulnerabilidad" del boletín de seguridad.

Si un usuario inicia sesión con derechos de usuario administrativos, un atacante que aprovechara la vulnerabilidad más grave podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Es recomendable que los clientes apliquen la actualización inmediatamente.

Cinco vulnerabilidades son corregidas por este parche acumulativo para Internet Explorer.

La primera se produce por un error de "instanciamiento" de ciertos objetos ActiveX (término aplicado en programación a la creación de un objeto a partir de una clase específica). Los objetos COM (Modelo de Objetos Componentes), pueden llegar a corromper el estado del sistema permitiendo a un atacante la ejecución remota de código. COM es el modelo de programación orientada a objetos que define cómo interactúan los mismos con una aplicación determinada o entre distintas aplicaciones.

La segunda vulnerabilidad se produce por una corrupción de memoria cuando el IE intenta acceder a un objeto no iniciado o que ha sido eliminado. Un atacante puede utilizar esto para provocar la ejecución remota de código a través de una página maliciosamente modificada, tomando el control completo del sistema.

Una tercera vulnerabilidad corregida por esta actualización, está relacionada con un error en el manejo de ciertos métodos de propiedades, también explotable mediante una página maliciosa para provocar la ejecución remota de código.

La cuarta vulnerabilidad engloba a varias relacionadas todas con la interpretación de ciertos documentos HTML que pueden provocar que Internet Explorer intente acceder a memoria no inicializada, pudiéndose utilizar esto para la ejecución remota de código por la simple acción de visualizar una página web modificada maliciosamente.

La quinta y última vulnerabilidad corregida, es provocada por el intento de utilizar un componente de Microsoft Windows Media Server que nunca fue soportado por Internet Explorer, y que puede ser aprovechada para la ejecución de código si se visita un página que la explote.

Cualquiera de estas vulnerabilidades pueden permitir tomar el control completo de un sistema que tenga instalada alguna de las versiones de Internet Explorer afectadas.


No se conocen mitigaciones para la mayoría de estas vulnerabilidades.

Algunas de estas vulnerabilidades están siendo públicamente explotadas.


*Componentes afectados:


Microsoft Internet Explorer 5.01 Service Pack 4 en Windows 2000 Service Pack 4
Microsoft Internet Explorer 6 Service Pack 1 en Windows 2000 Service Pack 4
Microsoft Internet Explorer 6 para Windows XP Service Pack 2
Microsoft Internet Explorer 6 para Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Microsoft Internet Explorer 6 para Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Microsoft Internet Explorer 6 para Windows Server 2003 SP1 para sistemas con Itanium y Windows Server 2003 SP2 para sistemas con Itanium
Microsoft Internet Explorer 6 para Windows Server 2003 x64 Edition SP1 y Windows Server 2003 x64 Edition SP2
Windows Internet Explorer 7 para Windows XP Service Pack 2
Windows Internet Explorer 7 para Windows XP Professional x64 Edition SP1 y Windows XP Professional x64 Edition SP2
Windows Internet Explorer 7 para Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Internet Explorer 7 para Windows Server 2003 SP1 para sistemas con Itanium y Windows Server 2003 SP2 para sistemas con Itanium
Windows Internet Explorer 7 para Windows Server 2003 x64 Edition SP1 y Windows Server 2003 x64 Edition SP2
Windows Internet Explorer 7 para Windows Vista
Windows Internet Explorer 7 para Windows Vista x64 Edition


*Más información:

Boletín de seguridad de Microsoft MS07-027
Actualización de seguridad acumulativa para Internet Explorer (931768)

MS07-027 Actualización acumulativa para IE (931768)
http://support.microsoft.com/kb/931768
http://www.vsantivirus.com/vulms07-027.htm

Cómo instalar las revisiones incluidas en las actualizaciones de seguridad acumulativas para Internet Explorer 6
.