Miembros de
Boletines de Vulnerabilidades |
Múltiple vulnerabilidades en Microsoft Internet Explorer |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Microsoft |
| Software afectado |
Internet Explorer 5.01 SP4 / Microsoft Windows 2000 SP4 Internet Explorer 6 SP1 / Microsoft Windows 2000 SP4, Microsoft Windows XP SP1 Internet Explorer 6 / Microsoft Windows XP SP2 Internet Explorer 6 / Microsoft Windows Server 2003, Microsoft Windows Server 2003 SP1 Internet Explorer 6 / Microsoft Windows Server 2003 Itanium, Microsoft Windows Server 2003 SP1 Itanium Internet Explorer 6 / Microsoft Windows Server 2003 x64 Edition Internet Explorer 6 / Microsoft Windows XP Professional x64 |
Descripción |
|
|
Se han descubierto múltiple vulnerabilidades en Microsoft Internet Explorer. Las vulnerabilidades son descritas a continuación: - CVE-2006-3280: La vulnerabilidad reside en un error de revelación de información mediante la redirección entre dominios "Redirect Cross-Domain Information Disclosure Vulnerability". Un atacante remoto podría acceder a información restringida en otros dominios mediante una etiqueta "object" con un parámetro "data" que haga referencia a un enlace al sitio Web atacante que especifica un una cabecera Location HTTP que referencia al sitio Web objetivo, y que se obtiene la información con el atributo "outerHTML" del objeto. - CVE-2006-3450: La vulnerabilidad reside en un error no especificado. Un atacante remoto podría ejecutar código arbitrario mediante ciertas composiciones de componentes HTML. - CVE-2006-3451: La vulnerabilidad reside en un error al manejar Cascading Style Sheets (CSS) encadenados. Un atacante remoto podría ejecutar código arbitrario. - CVE-2006-3637: La vulnerabilidad reside en un error al manejar varias composiciones de componentes HTML lo que causa corrupción de memoria. Un atacante remoto podría ejecutar código arbitrario. - CVE-2006-3638: La vulnerabilidad reside en un error al manejar ciertos componentes COM lo que causa corrupción de memoria. Un atacante remoto podría causar una denegación de servicio y posiblemente ejecutar código arbitrario. - CVE-2006-3639: La vulnerabilidad reside en un error al tratar de identificar el dominio origen al manejar redirecciones, también llamado "Source Element Cross-Domain Vulnerability". Un atacante remoto podría leer información de otros sitios Web y posiblemente ejecutar código arbitrario mediante páginas Web especialmente diseñadas. - CVE-2006-3640: La vulnerabilidad reside en que algunos scripts persisten al navegar entre páginas Web, también llamado "Window Location Information Disclosure Vulnerability". Un atacante remoto podría obtener la dirección de páginas visitadas en otros dominios. - CVE-2004-1166: La vulnerabilidad reside en un error al manejar ciertas peticiones FTP. Un atacante remoto podría ejecutar comandos FTP arbitrarios mediante una URL "ftp://" que contenga un carácter de nueva línea ("%0a") antes del comando FTP. |
|
Solución |
|
|
Actualización de software Microsoft Internet Explorer 5.01 SP4 / Microsoft Windows 2000 SP4 http://www.microsoft.com/downloads/details.aspx?FamilyId=0DE3F143-19A6-4F22-B53B-B6A7DA33DAF4 Internet Explorer 6 SP1 / Microsoft Windows 2000 SP4, Microsoft Windows XP SP1 http://www.microsoft.com/downloads/details.aspx?FamilyId=C335CAA9-B9E6-403D-A039-2D3DCA723653&displaylang=en Internet Explorer 6 / Microsoft Windows XP SP2 http://www.microsoft.com/downloads/details.aspx?FamilyId=CDB85BCA-0C17-44AA-B74E-F01B5392BB31 Internet Explorer 6 / Microsoft Windows Server 2003, Microsoft Windows Server 2003 SP1 http://www.microsoft.com/downloads/details.aspx?FamilyId=20288DA2-A308-45C6-BD80-C68C997529BD Internet Explorer 6 / Microsoft Windows Server 2003 Itanium, Microsoft Windows Server 2003 SP1 Itanium http://www.microsoft.com/downloads/details.aspx?FamilyId=663F1E83-BDC0-4EC6-A263-398E7222C9B5 Internet Explorer 6 / Microsoft Windows Server 2003 x64 Edition http://www.microsoft.com/downloads/details.aspx?FamilyId=5C2A23AC-3F2E-4BEC-BE16-4B45B44C6346 Internet Explorer 6 / Microsoft Windows XP Professional x64 http://www.microsoft.com/downloads/details.aspx?FamilyId=0CE7F66D-4D83-4090-A034-9BBE286D96FA |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2006-3280 CVE-2006-3450 CVE-2006-3451 CVE-2006-3637 CVE-2006-3638 CVE-2006-3639 CVE-2006-3640 CVE-2004-1166 |
| BID |
18682 19312 |
Recursos adicionales |
|
|
Microsoft Security Bulletin (MS06-042) http://www.microsoft.com/technet/security/bulletin/ms06-042.mspx US-CERT - Technical Cyber Security Alert (TA06-220A) http://www.us-cert.gov/cas/techalerts/TA06-220A.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2006-08-09 |
| 1.1 | Aviso actualizado por Microsoft (MS06-042) | 2006-08-29 |