int(3804)

Boletines de Vulnerabilidades


Múltiples vulnerabilidades en Microsoft Internet Explorer y Microsoft Visual FoxPro

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 6 SP1 y SP2
Microsoft Internet Explorer 7
Microsoft Visual FoxPro 6.0 fpole 1.0 Type Library
HP Storage Management Appliance v2.1

Descripción

Se han descubierto múltiples vulnerabilidades en Microsoft Internet Explorer y Microsoft Visual FoxPro. Las vulnerabilidades son descritas a continuación:

- CVE-2008-0076: Se ha descubierto una vulnerabilidad en Microsoft Internet Explorer 5.01, 6 SP1 y SP2, y 7. La vulnerabilidad reside en un error en la manera como se interpreta HTML con ciertas combinaciones de layouts. Un atacante remoto podría ejecutar código arbitrario mediante un layout HTML especialmente diseñado.

- CVE-2008-0077: Se ha descubierto una vulnerabilidad en Microsoft Internet Explorer 6 SP1, 6 SP2, y 7. La vulnerabilidad reside en un error en el método "property". Un atacante remoto podría ejecutar código arbitrario mediante una página web especialmente diseñada.

- CVE-2008-0078: Se ha descubierto una vulnerabilidad en Microsoft Internet Explorer 5.01, 6 SP1 y SP2, y 7. La vulnerabilidad reside en un error en el procesamiento de imágenes del control ActiveX "dxtmsft.dll". Un atacante remoto podría ejecutar código arbitrario mediante una imagen especialmente diseñada.

- CVE-2007-4790: Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer en Internet Explorer 5.01, 6 SP1 y SP2, y 7; y Microsoft Visual FoxPro 6.0 fpole 1.0 Type Library. La vulnerabilidad reside en un error en los controles ActiveX "FPOLE.OCX 6.0.8450.0" y "Foxtlib.ocx". Un atacante remoto podría ejecutar código arbitrario mediante un valor largo en el primer argumento de la función "FoxDoCmd".

El boletín MS08-010 sustituye al MS07-069.
El boletín MS08-024 sustituye al MS08-010.

Solución



Actualización de software

Microsoft (MS08-010)
Windows 2000
Internet Explorer 5.01 Service Pack 4 / patch IE5.01sp4-KB944533-Windows2000sp4-x86-enu
Internet Explorer 6 Service Pack 1 / patch IE6.0sp1-KB944533-Windows2000-x86-enu
Windows XP Service Pack 2
Internet Explorer 6 / patch Windowsxp-kb944533-x86-enu
Internet Explorer 7 / patch IE7-WindowsXP-KB944533-x86-enu
Windows XP Professional x64 Edition
Internet Explorer 6 / patch WindowsServer2003.WindowsXP-KB944533-x64-enu
Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 6 / patch WindowsServer2003.WindowsXP-KB944533-x64-enu
Windows XP Professional x64 Edition
Internet Explorer 7 / patch IE7-WindowsServer2003.WindowsXP-KB944533-x64-enu
Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 7 / patch IE7-WindowsServer2003.WindowsXP-KB944533-x64-enu
Windows Server 2003
Internet Explorer 6 / patch Windowsserver2003-kb944533-x86-enu
Internet Explorer 7 / patch IE7-WindowsServer2003-KB944533-x86-enu
Windows Server 2003 (x64)
Internet Explorer 6 / patch WindowsServer2003.WindowsXP-KB944533-x64-enu
Internet Explorer 7 / patch IE7-WindowsServer2003.WindowsXP-KB944533-x64-enu
Windows Server 2003 (Itanium)
Internet Explorer 6 / patch Windowsserver2003-kb944533-ia64-enu
Internet Explorer 7 / patch IE7-WindowsServer2003-KB944533-ia64-enu
Windows Vista / patch Windows6.0-KB944533-x86
Windows Vista (x64) / patch Windows6.0-KB944533-x64

Hewlett-Packard
Storage Management Appliance v2.1
Instale el parche de Microsoft correspondiente para Internet Explorer 6 SP1 o Internet Explorer 5.01 SP4.

Identificadores estándar

Propiedad Valor
CVE CVE-2008-0076
CVE-2008-0077
CVE-2008-0078
CVE-2007-4790
BID 27668
27666
27689

Recursos adicionales

Microsoft Security Bulletin (MS08-010)
http://www.microsoft.com/technet/security/bulletin/ms08-010.mspx

Microsoft Security Bulletin (MS08-024)
http://www.microsoft.com/technet/security/bulletin/ms08-024.mspx

HP SECURITY BULLETIN (HPSBST02314)
https://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01372284-1

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2008-02-13
1.1 Aviso emitido por HP (HPSBST02314) 2008-02-21
1.2 Aviso emitido por Microsoft (MS08-024) 2008-04-11

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT