Vulnerability Bulletins |
Múltiples ejecuciones de código arbitrario en Windows Gadgets |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Microsoft |
| Affected software |
Windows Vista Windows Vista x64 Edition |
Description |
|
|
Se han encontrado múltiples ejecuciones de código arbitrario en Windows Gadgets. Las vulnerabilidades son descritas a continuación. - CVE-2007-3033: Se ha encontrado una vulnerabilidad del tipo cross-site scripting en Windows Vista Feed Headlines Gadgets. La vulnerabilidad reside en un error en el Feed Headlines gadget cuando parsea atributos HTML. Un atacante remoto podría ejecutar código arbitrario mediante una semilla RSS con unos atributos HTML especialmente diseñados. - CVE-2007-3032: Se ha encontrado una vulnerabilidad en Windows Vista Contacts Gadget. La vulnerabilidad reside en un error cuando se procesan los contactos. Un atacante remoto podría ejecutar código arbitrario mediante información de contacto especialmente diseñada. - CVE-2007-3891: Se ha encontrado una vulnerabilidad en Windows Vista Weather Gadgets. La vulnerabilidad reside en un error cuando procesa atributos HTML. Un atacante remoto podría ejecutar código arbitrario mediante atributos HTML especialmente diseñados. |
|
Solution |
|
|
Actualización de software Microsoft Windows Vista / patch Windows6.0-kb938123-x86-enu Windows Vista (64 bit) / patch Windows6.0-kb938123-x64-enu |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2007-3033 CVE-2007-3032 CVE-2007-3891 |
| BID |
25287 25304 25306 |
Other resources |
|
|
Microsoft Security Bulletin MS07-048 http://www.microsoft.com/technet/security/Bulletin/MS07-048.mspx |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2007-08-16 |