Miembros de
Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Outlook Express y Windows Mail |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Confidencialidad |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Microsoft |
| Software afectado |
Microsoft Outlook Express 6 Windows Mail |
Descripción |
|
|
Se han encontrado múltiples vulnerabilidades en Microsoft Outlook Express 6 y Windows Mail. Las vulnerabilidades son descritas a continuación - CVE-2006-2111: Se ha encontrado una vulnerabilidad en Microsoft Internet Explorer 6.0 en Windows XP SP2 y posiblemente también en Microsoft Internet Explorer 7. La vulnerabilidad reside en un error en el controlador de protocolo MHTML que interpreta de forma incorrecta las redirecciones de URL MHTML. Un atacante remoto podría saltarse las restricciones de dominio y obtener información sensible mediante redirecciones con el manejador de URI MHTML. - CVE-2007-1658: Se ha encontrado una vulnerabilidad en Microsoft Windows Vista en Windows Mail. La vulnerabilidad reside en un error en el modo de tratar las solicitudes de nagegación local o UNC. Un atacante remoto podría ejecutar ciertos programas mediante un enlace a un archivo local o a una ruta compartida UNC. - CVE-2007-2225: Se ha encontrado una vulnerabilidad en Windows en el controlador de protocolo MHTML. La vulnerabilidad reside en interpretar de forma incorrecta cabeceras HTTP cuando el contenido MHTML es devuelto. Un atacante remoto podría leer información de otros dominios de Internet Explorer mediante una página web especialmente diseñada. - CVE-2007-2227: Se ha encontrado una vulnerabilidad en el controlador de protocolo MHTML. La vulnerabilidad reside en un error en el modo en que pasa notificaciones Content-Disposition a Internet Explorer. Un atacante remoto podría leer datos de otro dominio de Internet Explorer mediante el salto de la ventana de diálogo para descargar archivos. |
|
Solución |
|
|
Actualización de software Microsoft Outlook Express 6 / Windows XP SP2 / Windows XP Professional x64 Edition / patch Windowsxp-kb929123-x86-enu Outlook Express 6 / Windows Server 2003 / patch Windowsserver2003-kb929123-x86-enu Windows Mail / Windows Vista / Windows6.0-KB929123.msu |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2006-2111 CVE-2007-1658 CVE-2007-2225 CVE-2007-2227 |
| BID | |
Recursos adicionales |
|
|
Microsoft Security Bulletin MS07-034 http://www.microsoft.com/technet/security/Bulletin/MS07-034.mspx |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2007-06-14 |