int(2461)

Boletines de Vulnerabilidades

Ejecución remota de código en Microsoft Jscript

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema
Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft JScript 5.1 / Microsoft Windows 2000 Service Pack 4
Microsoft JScript 5.6, 5.5 / Windows 2000 Service Pack 4
Microsoft JScript 5.6 / Microsoft Windows XP Service Pack 1, Microsoft Windows XP Service Pack 2
Microsoft JScript 5.6 / Microsoft Windows XP Professional x64 Edition
Microsoft JScript 5.6 / Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1
Microsoft JScript 5.6 / Microsoft Windows Server 2003 Itanium, Microsoft Windows Server 2003 SP1 Itanium
Microsoft JScript 5.6 / Microsoft Windows Server 2003 x64 Edition

Descripción
Se ha descubierto una vulnerabilidad en Microsoft Jscript 5.1, 5.5 y 5.6. La vulnerabilidad reside en que se liberan "temprano" ciertos objetos lo que podría causar corrupción de memoria.

Un atacante remoto podría ejecutar código arbitrario mediante un script Jscript en una página Web o en un mensaje de email.

El boletín MS08-022 sustituye al MS06-023.

Solución


Actualización de software

Microsoft
Microsoft JScript 5.1 / Microsoft Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=23E79ABD-B1FE-4734-B3D3-FB53D286C06F
Microsoft JScript 5.6, 5.5 / Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=16DD21A1-C4EE-4ECA-8B80-7BD1DFEFB4F8
Microsoft JScript 5.6 / Microsoft Windows XP Service Pack 1, Microsoft Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=D28C02BE-CAC3-4579-9B93-939FD5D3CDE6
Microsoft JScript 5.6 / Microsoft Windows XP Professional x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2EE3DD28-7167-4A2C-941D-A236F8CC5C4B
Microsoft JScript 5.6 / Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=8963AE25-2230-47FE-AECE-49D7457D96D4
Microsoft JScript 5.6 / Microsoft Windows Server 2003 Itanium, Microsoft Windows Server 2003 SP1 Itanium
http://www.microsoft.com/downloads/details.aspx?FamilyId=7764C7DC-A7E4-4B91-95C2-EF7D4DCE0A00
Microsoft JScript 5.6 / Microsoft Windows Server 2003 x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=BCF7AB2E-EE1C-45F9-8B1C-4B1CEF683082

Identificadores estándar
Propiedad Valor
CVE CVE-2006-1313
BID 18359

Recursos adicionales
Microsoft Security Bulletin (MS06-023)
http://www.microsoft.com/technet/security/Bulletin/MS06-023.mspx

Microsoft Security Bulletin (MS08-022)
http://www.microsoft.com/technet/security/Bulletin/ms08-022.mspx

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2006-06-14
1.1 Aviso emitido por Microsoft (MS08-022) 2008-04-11

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT