Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Microsoft Internet Explorer |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Principiante |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Microsoft |
Software afectado |
Microsoft Internet Explorer 5.01 <= SP4 Microsoft Internet Explorer 6 <= SP1 |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en Microsoft Internet Explorer 5.01 y Microsoft Internet Explorer 6. Las vulnerabilidades son descritas a continuación: - CVE-2006-1185: La vulnerabilidad reside en el manejo de ciertas páginas HTML. Un atacante remoto podría ejecutar código arbitrario mediante una página HTML especialmente diseñada que el usuario víctima tendría que visitar. - CVE-2006-1186: La vulnerabilidad reside en la instanciación de objetos COM. Un atacante remoto podría ejecutar código arbitrario mediante una página HTML especialmente diseñada que el usuario víctima tendría que visitar. - CVE-2006-1188: La vulnerabilidad reside en el manejo de ciertos elementos HTML. Un atacante remoto podría ejecutar código arbitrario mediante una página con etiquetas HTML especialmente diseñadas que el usuario víctima tendría que visitar. - CVE-2006-1189: La vulnerabilidad reside en el manejo de ciertas direcciones URL con caracteres de doble byte. Un atacante remoto podría ejecutar código arbitrario mediante una página HTML especialmente diseñada que el usuario víctima tendría que visitar. - CVE-2006-1190: La vulnerabilidad reside en la forma en que IE devuelve información IOleClientSite cuando se crea un objeto incrustado. Un atacante remoto podría ejecutar código arbitrario o obtener información mediante una página que cree un objeto de forma dinámica y que el usuario víctima tendría que visitar. - CVE-2006-1191: La vulnerabilidad reside en el manejo de los métodos de navegación. Un atacante remoto podría leer cookies o otros datos sensibles de otros dominios de Internet Explorer mediante una página HTML especialmente diseñada que el usuario víctima tendría que visitar o un email que el usuario tendría que abrir. - CVE-2006-1192: La vulnerabilidad reside en que es posible mostrar contenido falso como la barra de direcciones y otras partes de la interfaz de usuario. Un atacante remoto podría falsificar el contenido mostrado al usuario en una página Web. - CVE-2006-1245: La vulnerabilidad reside en un desbordamiento de búfer en mshtml.dll. Un atacante remoto podría ejecutar código arbitrario mediante una página Web con etiquetas HTML con gran número de llamadas a funciones script como onload y onmouseover. - CVE-2006-1359: La vulnerabilidad reside en el manejo del método DHTML createTextRange(). Un atacante remoto podría causar una denegación de servicio y posiblemente ejecutar código arbitrario mediante una llamada a CreateTextRange en un objeto checkbox. - CVE-2006-1388: La vulnerabilidad reside en un error no especificado relacionado con las aplicaciones HTML (HTA). Un atacante remoto podría ejecutar ficheros HTA. |
|
Solución |
|
Actualización de software Microsoft Internet Explorer 5.01 SP4 / Microsoft Windows 2000 SP4 http://www.microsoft.com/downloads/details.aspx?FamilyId=594E7B87-AF8F-4346-9164-596E3E5C22B1 Internet Explorer 6 SP1 / Microsoft Windows 2000 SP4, Microsoft Windows XP SP1 http://www.microsoft.com/downloads/details.aspx?FamilyId=033C41E1-2B36-4696-987A-099FC57E0129 Internet Explorer 6 / Microsoft Windows XP SP2 http://www.microsoft.com/downloads/details.aspx?FamilyId=F05FFB31-E6B4-4771-81F1-4ACCEBF72133 Internet Explorer 6 / Microsoft Windows Server 2003, Microsoft Windows Server 2003 SP1 http://www.microsoft.com/downloads/details.aspx?FamilyId=EE566871-D217-41D3-BECC-B27FAFA00054 Internet Explorer 6 / Microsoft Windows Server 2003 Itanium-based Systems, Microsoft Windows Server 2003 SP1 Itanium http://www.microsoft.com/downloads/details.aspx?FamilyId=E584957C-0ABE-4129-ABAF-AA2852AD62A3 Internet Explorer 6 / Microsoft Windows Server 2003 x64 http://www.microsoft.com/downloads/details.aspx?FamilyId=5A1C8BE3-39EE-4937-9BD1-280FC35125C6 Internet Explorer 6 / Microsoft Windows XP Professional x64 http://www.microsoft.com/downloads/details.aspx?FamilyId=C278FE3E-620A-4BBC-868B-CA2D9EFF7AC3 |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2006-1185 CVE-2006-1186 CVE-2006-1188 CVE-2006-1189 CVE-2006-1190 CVE-2006-1191 CVE-2006-1192 CVE-2006-1245 CVE-2006-1359 CVE-2006-1388 |
BID |
17131 17181 17196 |
Recursos adicionales |
|
Microsoft Security Bulletin (MS06-013) http://www.microsoft.com/technet/security/Bulletin/MS06-013.mspx |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2006-04-12 |