int(33)

Vulnerability Bulletins


Vulnerabilidad de cross site scripting en los controles ActiveX TSAC de Microsoft

Vulnerability classification

Property Value
Confidence level Oficial
Impact Confidencialidad
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information

Property Value
Affected manufacturer Microsoft
Affected software Microsoft Internet Explorer

Description

Microsoft ofrece la funcionalidad de un cliente de servicios de terminal mediante web a través del control ActiveX "Terminal Services Advanced Client". Éste es un componente opcional y es instalado por los usuarios finales.

Un atacante podría construir un enlace malicioso a un servidor cualquiera. Si la víctima sigue ese enlace, el atacante podrá ver el contenido de la página que visite la víctima, sea cual sea el contexto de seguridad.

Solution



Actualización de software

Microsoft
Actualización
http://www.microsoft.com/windowsxp/pro/downloads/rdwebconn.asp

Standar resources

Property Value
CVE CVE-2002-0726
BID

Other resources

Microsoft Security Bulletin MS02-046
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-046.asp

Bugtraq ID: 5952
http://online.securityfocus.com/bid/5952

Version history

Version Comments Date
1.0 Aviso emitido 2003-10-14
Ministerio de Defensa
CNI
CCN
CCN-CERT