int(2993)

Boletines de Vulnerabilidades

Ejecución de código en el control de ActiveX HTML Help de Microsoft

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema
Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service
Microsoft Windows Server 2003 / Itanium-based Systems
Microsoft Windows Server 2003 SP1 / Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition

Descripción
Se ha descubierto una vulnerabilidad en Microsoft Windows 2000 SP3, XP SP2 y Professional 2003 SP1. La vulnerabilidad reside en un error no especificado en el control de ActiveX HTML Help (Hhctrl.ocx), relacionado con parámetros no inicializados.

Un atacante remoto podría ejecutar código arbitrario mediate funciones no especificadas.

Solución


Actualización de software

Microsoft
Microsoft Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=211a9c07-88ff-4ae4-a82a-ce2045c6c4fe
Microsoft Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=a3700273-d7da-4a60-ba80-c95c8036d670
Microsoft Windows XP Professional x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=69ef4daa-cf0f-4898-8675-911428e7fd74
Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=5a1f1607-b6ec-41e2-aac0-34387f1211a7
Microsoft Windows Server 2003 Service
http://www.microsoft.com/downloads/details.aspx?FamilyId=5a1f1607-b6ec-41e2-aac0-34387f1211a7
Microsoft Windows Server 2003 / Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=d638c8e8-5fbe-4a32-945c-440a4b684b0f
Microsoft Windows Server 2003 SP1 / Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=d638c8e8-5fbe-4a32-945c-440a4b684b0f
Microsoft Windows Server 2003 x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=65bf2245-6c89-43db-8d28-12988791c395

Identificadores estándar
Propiedad Valor
CVE CVE-2007-0214
BID

Recursos adicionales
Microsoft Security Bulletin MS07-008
http://www.microsoft.com/technet/security/Bulletin/ms07-008.mspx

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2007-02-15

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT