Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Microsoft XML Parser y Core Services |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricant afectat | Microsoft |
Software afectado |
Microsoft XML Parser 2.6 Microsoft XML Core Services 3.0 Microsoft XML Core Services 4.0 |
Descripción |
|
Se han descubierto múltiple vulnerabilidades en Microsoft XML Parser 2.6 y Microsoft XML Core Services 3.0 y 4.0. Las vulnerabilidades son descritas a continuación: - CVE-2006-4685: El control ActiveX XMLHTTP de Microsoft XML Parser 2.6 y XML Core Services 3.0 hasta 6.0 no maneja correctamente las redirecciones HTTP de servidor. Un atacante remoto podría acceder al contenido de otros dominios. - CVE-2006-4686: Desbordamiento de búfer en Microsoft XML Parser 2.6 y XML Core Services 3.0 hasta 6.0. La vulnerabilidad reside en el manejo de Extensible Stylesheet Language Transformations (XSLT) . Un atacante remoto podría ejecutar código arbitrario mediante páginas Web especialmente diseñadas. |
|
Solución |
|
Actualización de software Microsoft Microsoft XML Parser 2.6, Microsoft XML Core Services 3.0 / Microsoft Windows 2000 Service Pack 4 http://www.microsoft.com/downloads/details.aspx?FamilyId=f9d16d74-1785-4c33-b1fc-df5258dd1089 Microsoft XML Parser 2.6, Microsoft XML Core Services 3.0 / Microsoft Windows XP Service Pack 1 Microsoft XML Parser 2.6, Microsoft XML Core Services 3.0 / Microsoft Windows XP Service Pack 2 http://www.microsoft.com/downloads/details.aspx?FamilyId=8a455c3b-213c-4395-87e9-9895f2b9a6ed Microsoft XML Parser 2.6, Microsoft XML Core Services 3.0 / Microsoft Windows XP Professional x64 http://www.microsoft.com/downloads/details.aspx?FamilyId=5593333f-bcd5-4750-a23d-4f7fccda6493 Microsoft XML Parser 2.6, Microsoft XML Core Services 3.0 / Microsoft Windows Server 2003 Microsoft XML Parser 2.6, Microsoft XML Core Services 3.0 / Microsoft Windows Server 2003 SP1 http://www.microsoft.com/downloads/details.aspx?FamilyId=09b77b2a-a4fd-46e2-af15-2385790c9ee7 Microsoft XML Parser 2.6, Microsoft XML Core Services 3.0 / Microsoft Windows Server 2003 Itanium Microsoft XML Parser 2.6, Microsoft XML Core Services 3.0 / Microsoft Windows Server 2003 SP1 Itanium http://www.microsoft.com/downloads/details.aspx?FamilyId=31c88513-29df-475b-b9ae-a2f5c1f32a8c Microsoft XML Parser 2.6, Microsoft XML Core Services 3.0 / Microsoft Windows Server 2003 x64 http://www.microsoft.com/downloads/details.aspx?FamilyId=6183a9d2-89f5-4b25-be8b-090c6e050740 Microsoft XML Core Services 5.0 SP1 / Microsoft Office 2003 SP1, SP2 http://www.microsoft.com/downloads/details.aspx?FamilyId=8A37C111-D8E9-4C2E-9674-169B3331491C |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2006-4685 CVE-2006-4686 |
BID | |
Recursos adicionales |
|
Microsoft Security Bulletin (MS06-061) http://www.microsoft.com/technet/security/Bulletin/ms06-061.mspx |
Histórico de versiones |
||
Versión | Comentario | Data |
1.0 | Aviso emitido | 2006-10-11 |