|
|
MS06-042 Actualización acumulativa para IE (918899)
|
| |
VSantivirus No. 2212 Año 10, miércoles 9 de agosto de 2006
MS06-042 Actualización acumulativa para IE (918899)
http://www.vsantivirus.com/vulms06-042.htm
Nivel de gravedad: Crítico
Impacto: Ejecución remota de código
Fecha de publicación: 8 de agosto de 2006
Esta actualización sustituye la siguiente:
MS06-021 Actualización acumulativa para IE (916281)
http://www.vsantivirus.com/vulms06-021.htm
Software afectado por este parche:
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 (Itanium)
- Microsoft Windows Server 2003 SP1 (Itanium)
- Microsoft Windows Server 2003 x64 Edition
Componentes afectados:
- Internet Explorer 5.01 SP4 (Windows 2000 SP4)
- Internet Explorer 6 SP1 (Windows 2000 SP4, Windows XP SP1)
- Internet Explorer 6 (Windows XP Service Pack 2)
- Internet Explorer 6 (Windows Server 2003 y 2003 SP1)
- Internet Explorer 6 (Windows Server 2003 Itanium)
- Internet Explorer 6 (Windows Server 2003 SP1 Itanium)
- Internet Explorer 6 (Windows Server 2003 x64 Edition)
- Internet Explorer 6 (Windows XP Professional x64 Edition)
Productos anteriores podrían ser vulnerables, pero ya no existe soporte para dichos sistemas.
Descripción
Este parche acumulativo para Internet Explorer, resuelve varias vulnerabilidades conocidas, que podrían permitir la instalación de programas al visitar sitios web maliciosos.
Al menos tres de estas vulnerabilidades, han sido reveladas públicamente:
1. CVE-2006-3280 (Redirect Cross-Domain Information Disclosure)
Esta vulnerabilidad permite la revelación de información, al manejarse páginas Web codificadas con ciertos formatos de compresión (GZIP, etc.). Un usuario remoto que explote
exitosamente esta vulnerabilidad, podría acceder a datos de otras zonas de seguridad o dominios.
2. CVE-2006-3637 (HTML Rendering Memory Corruption Vulnerability)
Una corrupción de memoria al leer archivos HTML modificados maliciosamente, podría permitir a un atacante remoto la ejecución de código, si convence al usuario a visitar o visualizar determinadas páginas, inclusive vía correo electrónico.
3. CVE-2004-1166 (FTP Server Command Injection Vulnerability)
Esta vulnerabilidad permite a un atacante la elevación de privilegios, y puede ser explotada mediante un enlace FTP malicioso que contenga comandos. Tiene similitudes con
una vulnerabilidad corregida en el boletín MS06-021.
Otras vulnerabilidades corregidas en esta actualización, están relacionadas con corrupción de memoria y posible ejecución de código, ocasionadas por la manera en que el IE maneja ciertos HTML Layout (permite insertar contenido multimedia en una página web), hojas de estilo (CSS), objetos COM y controles ActiveX (DANIM.DLL), y por un incorrecto manejo de eventos con IFRAME e inestabilidad con ciertos scripts.
La actualización está catalogada como crítica, y debe ser instalada a la brevedad por los usuarios.
Descargas:
Las actualizaciones pueden descargarse del siguiente enlace:
www.microsoft.com/technet/security/bulletin/ms06-042.mspx
El parche también está disponible a través de las actualizaciones automáticas de Windows Update.
Nota:
Antes de instalar esta actualización, verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS06-042
www.microsoft.com/technet/security/bulletin/ms06-042.mspx
Microsoft Knowledge Base Article - 918899
http://support.microsoft.com/?kbid=918899
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
