Vulnerability Bulletins

int(4348)

Vulnerability Bulletins

Múltiples vulnerabilidades en Microsoft Visual Basic 6.0 Runtime Extended Files
Vulnerability classification
Property	Value
Confidence level	Oficial
Impact	Obtener acceso
Dificulty	Principiante
Required attacker level	Acceso remoto sin cuenta a un servicio estandar
System information
Property	Value
Affected manufacturer	Microsoft
Affected software	Microsoft Visual Basic 6.0 Runtime Extended Files Microsoft Visual Studio .NET 2002 Service Pack 1 Microsoft Visual Studio .NET 2003 Service Pack 1 Microsoft Visual FoxPro 8.0 Service Pack 1 Microsoft Visual FoxPro 9.0 Service Pack 1 Microsoft Visual FoxPro 9.0 Service Pack 2 Microsoft Office FrontPage 2002 Service Pack 3 Microsoft Office Project 2003 Service Pack 3 Microsoft Office Project 2007 Microsoft Office Project 2007 Service Pack 1
Description
Se han descubierto múltiples vulnerabilidades en Microsoft Visual Basic 6.0 Runtime Extended Files. Las vulnerabilidades son descritas a continuación: - CVE-2008-4252: La vulnerabilidad reside en un error en el manejo de errores de objetos inicializados de manera incorrecta en DataGrid ActiveX Control para Visual Basic 6. Un atacante remoto podría ejecutar código remoto con los privilegios del navegador del usuario mediante una página Web especialmente diseñada. - CVE-2008-4253: La vulnerabilidad reside en un error en el manejo de errores de objetos inicializados de manera incorrecta en FlexGrid ActiveX Control para Visual Basic 6. Un atacante remoto podría ejecutar código remoto con los privilegios del navegador del usuario mediante una página Web especialmente diseñada. - CVE-2008-4254: La vulnerabilidad reside en un error en el manejo de errores de objetos inicializados de manera incorrecta en Hierarchical FlexGrid ActiveX Control para Visual Basic 6. Un atacante remoto podría ejecutar código remoto con los privilegios del navegador del usuario mediante una página Web especialmente diseñada. - CVE-2008-4255: La vulnerabilidad reside en un error en Windows Common ActiveX Control en Visual Basic 6. Un atacante remoto podría ejecutar código remoto mediante un fichero AVI con una longitud de flujo especialmente diseñada. - CVE-2008-4256: La vulnerabilidad reside en un error en el manejo de errores de objetos inicializados de manera incorrecta en Charts ActiveX Control para Visual Basic 6. Un atacante remoto podría ejecutar código remoto con los privilegios del navegador del usuario mediante una página Web especialmente diseñada. - CVE-2008-3704: Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer. La vulnerabilidad reside en un error en la validación de entrada por parte del usuario en Masked Edit ActiveX Control en Visual Basic 6. Un atacante remoto podría ejecutar código remoto mediante un parámetro "Mask" muy largo. Exploit público disponible.
Solution
Actualización de software Microsoft (MS08-070) Microsoft Visual Basic 6.0 Runtime Extended Files / patch VB60SP6-KB926857-x86-ENU Microsoft Visual Studio .NET 2002 Service Pack 1 / patch VS7.0sp1-KB958392-X86-INTL Microsoft Visual Studio .NET 2003 Service Pack 1 / patch VS7.1sp1-KB958393-X86 Microsoft Visual FoxPro 8.0 Service Pack 1 / patch VFP8.0sp1-KB958369-X86-Enu Microsoft Visual FoxPro 9.0 Service Pack 1 / patch VFP9.0sp1-KB958370-X86-Enu Microsoft Visual FoxPro 9.0 Service Pack 2 / patch VFP9.0sp2-KB958371-X86-Enu Microsoft Office FrontPage 2002 Service Pack 3 / patch officexp-KB957797-FullFile-ENU Microsoft Office Project 2003 Service Pack 3 / patch office2003-KB949045-FullFile-ENU Microsoft Office Project 2007 / patch project2007-kb949046-fullfile-x86-glb Microsoft Office Project 2007 Service Pack 1 / patch project2007-kb949046-fullfile-x86-glb Hewlett-Packard (HPSBST02394) Storage Management Appliance v2.1 Instale el parche de Microsoft correspondiente a su sistema operativo.
Standar resources
Property	Value
CVE	CVE-2008-4252 CVE-2008-4253 CVE-2008-4254 CVE-2008-4255 CVE-2008-4256 CVE-2008-3704
BID	30674
Other resources
Microsoft Security Bulletin (MS08-070) http://www.microsoft.com/technet/security/Bulletin/MS08-070.mspx HP SECURITY BULLETIN (HPSBST02394) http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01632189-1

Version history
Version	Comments	Date
1.0	Aviso emitido	2008-12-10
2.0	Exploit público disponible, BID añadido.	2008-12-11
2.1	Aviso emitido por HP (HPSBST02394)	2008-12-18

Vulnerability Bulletins

Múltiples vulnerabilidades en Microsoft Visual Basic 6.0 Runtime Extended Files

Vulnerability classification

System information

Description

Solution

Standar resources

Other resources

Version history