Miembros de
Boletines de Vulnerabilidades |
Múltiples ejecuciones de código arbitrario en Windows Gadgets |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Microsoft |
| Software afectado |
Windows Vista Windows Vista x64 Edition |
Descripción |
|
|
Se han encontrado múltiples ejecuciones de código arbitrario en Windows Gadgets. Las vulnerabilidades son descritas a continuación. - CVE-2007-3033: Se ha encontrado una vulnerabilidad del tipo cross-site scripting en Windows Vista Feed Headlines Gadgets. La vulnerabilidad reside en un error en el Feed Headlines gadget cuando parsea atributos HTML. Un atacante remoto podría ejecutar código arbitrario mediante una semilla RSS con unos atributos HTML especialmente diseñados. - CVE-2007-3032: Se ha encontrado una vulnerabilidad en Windows Vista Contacts Gadget. La vulnerabilidad reside en un error cuando se procesan los contactos. Un atacante remoto podría ejecutar código arbitrario mediante información de contacto especialmente diseñada. - CVE-2007-3891: Se ha encontrado una vulnerabilidad en Windows Vista Weather Gadgets. La vulnerabilidad reside en un error cuando procesa atributos HTML. Un atacante remoto podría ejecutar código arbitrario mediante atributos HTML especialmente diseñados. |
|
Solución |
|
|
Actualización de software Microsoft Windows Vista / patch Windows6.0-kb938123-x86-enu Windows Vista (64 bit) / patch Windows6.0-kb938123-x64-enu |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2007-3033 CVE-2007-3032 CVE-2007-3891 |
| BID |
25287 25304 25306 |
Recursos adicionales |
|
|
Microsoft Security Bulletin MS07-048 http://www.microsoft.com/technet/security/Bulletin/MS07-048.mspx |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2007-08-16 |