int(2997)

Boletines de Vulnerabilidades


Múltiples vulnerabilidades en Microsoft Internet Explorer

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft Internet Explorer 5.01 Service Pack 4 / Windows 2000 Service Pack 4
Microsoft Internet Explorer 6 Service Pack 1 / Windows 2000 Service Pack 4
Microsoft Internet Explorer 6 / Windows XP Service Pack 2
Microsoft Internet Explorer 6 / Windows XP Professional x64 Edition
Microsoft Internet Explorer 6 / Windows Server 2003
Microsoft Internet Explorer 6 / Microsoft Windows Server 2003 Service Pack 1
Microsoft Internet Explorer 6 / Windows Server 2003 / Itanium-based Systems
Microsoft Internet Explorer 6 / Windows Server 2003 with SP1 / Itanium-based Systems
Microsoft Internet Explorer 6 / Windows Server 2003 x64 Edition
Windows Internet Explorer 7 / Windows XP Service Pack 2
Windows Internet Explorer 7 / Windows XP Professional x64 Edition
Windows Internet Explorer 7 / Windows Server 2003 Service Pack 1
Windows Internet Explorer 7 / Windows Server 2003 with SP1 / Itanium-based Systems
Windows Internet Explorer 7 / Windows Server 2003 x64 Edition

Descripción

Se han descubierto múltiples vulnerabilidades en Microsoft Internet Explorer 5.01, 6, y 7.

- CVE-2006-4697: Se ha descubierto una vulnerabilidad en Microsoft Internet Explorer 5.01, 6 y en 7. La vulnerabilidad reside en que utiliza ciertos objetos COM de Imjpcksid.dll como controles ActiveX. Un atacante remoto podría ejecutar código arbitrario mediante métodos no especificados.

- CVE-2007-0219: Se ha descubierto una vulnerabilidad en Microsoft Internet Explorer 5.01, 6 y en 7. La vulnerabilidad reside en que utiliza ciertos objetos COM de Msb1fren.dll, Htmlmm.ocx, y Blnmgrps.dll como controles ActiveX. Un atacante remoto podría ejecutar código remoto mediante métodos no especificados. Es una vulnerabilidad diferente a la del aviso CVE-2006-4697.

- CVE-2007-0217: Se ha descubierto una vulnerabilidad en el cliente FTP wininet.dll en Microsoft Internet Explorer 5.01 y 6. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría ejecutar código arbitrario mediante respuestas del servidor FTP con una longitud especifica que causase la escritura fuera del búfer y provocase una corrupción de memoria.

Solución



Actualización de software

Microsoft
Microsoft Internet Explorer 5.01 Service Pack 4 / Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=2D83EFCE-E507-4AFF-AB9B-EAF1D0D6320D
Microsoft Internet Explorer 6 Service Pack 1 / Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=D9E4181A-05F9-4186-BDCA-C95351983844
Microsoft Internet Explorer 6 / Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=D4038DC1-8AF6-4BEA-82B8-EACCFF4CDB28
Microsoft Internet Explorer 6 / Windows XP Professional x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=D6EEEA2C-785E-4DEF-913E-7F121556554F
Microsoft Internet Explorer 6 / Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=C6BCBE07-39C1-4705-A10D-019DA3F997E5
Microsoft Internet Explorer 6 / Microsoft Windows Server 2003 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=C6BCBE07-39C1-4705-A10D-019DA3F997E5
Microsoft Internet Explorer 6 / Windows Server 2003 / Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=6476A14B-0D00-4F55-A438-E140E9D26849
Microsoft Internet Explorer 6 / Windows Server 2003 with SP1 / Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=6476A14B-0D00-4F55-A438-E140E9D26849
Microsoft Internet Explorer 6 / Windows Server 2003 x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=C18DB204-0F2C-4DD4-B29C-0938FF1BFD7B
Windows Internet Explorer 7 / Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=EE851EFD-2CAF-41CE-A423-E1827DE318DF
Windows Internet Explorer 7 / Windows XP Professional x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=AC084BBB-084D-47AC-BFDA-156E34A63817
Windows Internet Explorer 7 / Windows Server 2003 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=36DAE010-AD1F-4E77-A353-9AFA41F065EA
Windows Internet Explorer 7 / Windows Server 2003 with SP1 / Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=631B590D-98CE-440D-B588-88CC31BB9370
Windows Internet Explorer 7 / Windows Server 2003 x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=A05D1E57-6678-4C25-B5E2-98F18BAA454B

Identificadores estándar

Propiedad Valor
CVE CVE-2006-4697
CVE-2007-0219
CVE-2007-0217
BID

Recursos adicionales

Microsoft Security Bulletin MS07-016
http://www.microsoft.com/technet/security/bulletin/ms07-016.mspx

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2007-02-15

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT