Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

MS05-020 Actualización acumulativa para IE (890923)
 
VSantivirus No. 1741 Año 9, miércoles 13 de abril de 2005

 MS05-020 Actualización acumulativa para IE (890923)
http://www.vsantivirus.com/vulms05-020.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Se han detectado varios problemas de seguridad que podrían permitir a un usuario malintencionado poner en peligro un equipo que ejecute Internet Explorer y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft.

Nivel de gravedad: Crítica
Impacto: Ejecución remota de código
Fecha publicación: 12 de abril de 2005


Reemplaza:

Esta revisión reemplaza a la proporcionada por el boletín de seguridad MS05-014:

MS05-014 Actualización acumulativa para IE (867282)
http://www.vsantivirus.com/vulms05-014.htm


Software afectado:

- Microsoft Windows 2000 Service Pack 3
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
- Microsoft Windows XP 64-Bit Edition Versión 2003 (Itanium)
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 (Itanium-based Systems)
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (ME)


Componentes afectados:

- Internet Explorer 5.01 SP3 en Microsoft Windows 2000 SP3
- Internet Explorer 5.01 SP4 en Microsoft Windows 2000 SP4
- Internet Explorer 5.5 SP2 en Microsoft Windows Millennium
- Internet Explorer 6 SP1 en Microsoft Windows 2000 SP3
- Internet Explorer 6 SP1 en Microsoft Windows 2000 SP4
- Internet Explorer 6 SP1 en Microsoft Windows XP SP1
- Internet Explorer 6 SP1 en Microsoft Windows 98
- Internet Explorer 6 SP1 en Microsoft Windows 98 SE
- Internet Explorer 6 SP1 en Microsoft Windows Millennium
- Internet Explorer 6 SP1, Win XP 64-Bit Edition SP1 (Itanium)
- Internet Explorer 6 para Microsoft Windows Server 2003
- Internet Explorer 6 para Windows Server 2003 (Itanium)
- Internet Explorer 6, Win XP 64-Bit Edition 2003 (Itanium)
- Internet Explorer 6 para Microsoft Windows XP Service Pack 2


Software NO afectado:

- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 con SP1 (Itanium)
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows XP Professional x64 Edition

Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft.


* Usuarios de Windows 98, Windows 98 Segunda edición y Windows Millennium Edition 

Para estos sistemas, Microsoft sólo publica actualizaciones de seguridad para problemas de seguridad críticos. Windows 98, Windows 98 Segunda edición y Windows Millennium Edition están afectados gravemente por estas vulnerabilidades, pero la única forma de actualización es mediante el "Windows Update Web site" en el siguiente enlace:

http://go.microsoft.com/fwlink/?LinkId=21130


Descripción

Esta actualización resuelve varias vulnerabilidades que pueden ser explotadas para ejecutar código.

Si el usuario actual tiene privilegios administrativos, el atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones.

* DHTML Object Memory Corruption Vulnerability - CAN-2005-0553

Este parche cubre una vulnerabilidad en Internet Explorer que permite a un atacante tomar el control total del equipo. La misma es causada por la manera que el programa maneja los objetos DHTML. Se puede explotar esta vulnerabilidad por medio de una página web maliciosa o un correo electrónico, de tal modo que se pueda provocar la ejecución de código en el equipo del usuario.

Este fallo ha sido asignado como CAN-2005-0553 (DHTML Object Memory Corruption Vulnerability), por el "Common Vulnerabilities and Exposures project" (cve.mitre.org).

* URL Parsing Memory Corruption Vulnerability - CAN-2005-0554

Una vulnerabilidad en la forma en que el Internet Explorer maneja ciertos URLs, puede permitir la ejecución remota de código. Un atacante puede explotar este fallo convenciendo a un usuario para que visite una página Web maliciosa.

Este fallo ha sido asignado como CAN-2005-0554 (URL Parsing Memory Corruption Vulnerability), por el "Common Vulnerabilities and Exposures project" (cve.mitre.org).

* Content Advisor Memory Corruption Vulnerability - CAN-2005-0555

Una vulnerabilidad en la forma en que el programa maneja los archivos del "Asesor de contenido", puede permitir la ejecución remota de código. Un atacante puede explotar este fallo construyendo un archivo del asesor de contenido modificado maliciosamente.

Este fallo ha sido asignado como CAN-2005-0555 (Content Advisor Memory Corruption Vulnerability), por el "Common Vulnerabilities and Exposures project" (cve.mitre.org).

Un atacante puede explotar estas vulnerabilidades mediante un sitio Web o mensaje electrónico malicioso. Aunque la explotación exitosa de este problema, puede permitir que el atacante tome el control total del sistema, se requiere cierta interacción con el usuario afectado para que ello ocurra.

Si se intenta explotar cualquiera de estas vulnerabilidades mediante mensajes de correo electrónico, las acciones están restringidas si se ha aplicado el parche MS03-040 (MS03-040 Actualización acumulativa para IE (828750), http://www.vsantivirus.com/vulms03-040.htm), o posteriores, o si se cumplen las siguientes condiciones:

1. Por defecto Outlook Express 6, Outlook 2002, y Outlook 2003 abren los mensajes con formato HTML en la zona de seguridad de sitios restringidos.

2. Outlook 2000 abre el correo HTML en dicha zona, si se ha instalado la actualización de seguridad "Outlook E-mail Security Update".

3. Outlook Express 5.5 Service Pack 2 abre el correo HTML en la zona de sitios restringidos si se ha aplicado la actualización MS04-018 (MS04-018 Parche acumulativo para Outlook Express (823353), http://www.vsantivirus.com/vulms04-018.htm).

4. Se utiliza Microsoft Outlook Express 6 o versiones posteriores con su configuración por defecto.

5. Se utiliza Microsoft Outlook 2000 Service Pack 2 o versiones posteriores con su configuración por defecto.

6. Para que un ataque sea exitoso, un usuario debe abrir un archivo adjunto o hacer clic en un enlace, no basta con visualizar el mensaje.

7. Por defecto Internet Explorer en Windows Server 2003 se ejecuta en modo restringido.

Si se configura Internet Explorer como se explica en el siguiente artículo, se puede proteger un equipo de estas vulnerabilidades:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm


Descargas:

Las actualizaciones pueden descargarse de los siguientes enlaces:

Internet Explorer 5.01 SP3 en Microsoft Windows 2000 SP3
Actualización de seguridad acumulativa para Internet Explorer 5.01 SP3 (KB890923)
http://www.microsoft.com/downloads/details.aspx?familyid=
6CF45449-03D8-40B8-A4C0-09F413EE8EAB&displaylang=es

Internet Explorer 5.01 SP4 en Microsoft Windows 2000 SP4
Actualización de seguridad acumulativa para Internet Explorer 5.01 SP4 (KB890923)
http://www.microsoft.com/downloads/details.aspx?familyid=
627F8991-7717-4ADE-A5AE-169591B6AAE0&displaylang=es

Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 Service Pack 3, en Microsoft Windows 2000 Service Pack 4, o en Microsoft Windows XP Service Pack 1:
Actualización de seguridad acumulativa para Internet Explorer 6 Service Pack 1 - Windows XP, Windows 2000 (KB890923)
http://www.microsoft.com/downloads/details.aspx?familyid=
92E5A83D-9131-4B20-915A-A444C51656DC&displaylang=es

Internet Explorer 6 para Microsoft Windows Server 2003
Actualización de seguridad acumulativa para Internet Explorer para Windows Server 2003 (KB890923)
http://www.microsoft.com/downloads/details.aspx?familyid=
88879B7A-3F4D-40D4-ADFD-4BBD8D4D865F&displaylang=es

Internet Explorer 6 for Microsoft Windows XP Service Pack 2
Actualización de seguridad acumulativa para Internet Explorer para Windows XP Service Pack 2 (KB890923)
http://www.microsoft.com/downloads/details.aspx?familyid=
974F9611-6352-4F9C-B258-346C317857C5&displaylang=es

Descarga para otros productos:
www.microsoft.com/technet/security/bulletin/ms05-020.mspx


Nota:

Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.


Más información:

Microsoft Security Bulletin MS05-020
www.microsoft.com/technet/security/bulletin/ms05-020.mspx

Microsoft Knowledge Base Article - 890923
http://support.microsoft.com/?kbid=890923




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS