int(3864)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Microsoft Office Web Components

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft Office Web Components 2000
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Visual Studio .NET 2002 Service Pack 1
Visual Studio .NET 2003 Service Pack 1
Microsoft BizTalk Server 2000
Microsoft BizTalk Server 2002
Microsoft Commerce Server 2000
Internet Security and Acceleration Server 2000 Service Pack 2

Descripción
Se han descubierto múltiples vulnerabilidades en Microsoft Office Web Components 2000 utilizado en Office 2000 SP3, Office XP SP3, Visual Studio .NET 2002 SP1, Visual Studio .NET 2003 SP1, Microsoft BizTalk Server 2000 y 2002, Microsoft Commerce Server 2000, y Internet Security and Acceleration Server 2000 SP2. Las vulnerabilidades son descritas a continuación:

- CVE-2006-4695: La vulnerabilidad reside en un error al manejar recursos de memoria cuando se valida la entrada de direcciones URL. Un atacante remoto podría ejecutar código arbitrario mediante una dirección URL especialmente diseñada.

- CVE-2007-1201: La vulnerabilidad reside en un error en al manejar recursos de memoria. Un atacante remoto podría ejecutar código arbitrario mediante una página HTML especialmente diseñada.

Solución


Actualización de software

Microsoft (MS08-017)
Office 2000 (todas las ediciones) / patch office2000-kb931660-fullfile-enu
Office XP (todas las ediciones) / patch officexp-KB932031-FullFile-ENU
Visual Studio .NET 2002 (todas las ediciones) / patch VS7.0sp1-KB933367-X86
Visual Studio .NET 2003 (todas las ediciones) / patch VS7.1sp1-KB933369-X86-INTL
Microsoft Commerce Server 2000 (todas las ediciones) / patch CommerceServer2000-KB941305-FullFile-x86-ENU
Microsoft BizTalk Server 2000 (todas las ediciones) / patch MicrosoftBizTalkServer2000-KB939714-ENU
Microsoft BizTalk Server 2002 (todas las ediciones) / patch MicrosoftBizTalkServer2002-KB939714-ENU
Internet Security and Acceleration Server 2000 (todas las ediciones) / patch isaserver2000-kb948257-fullfile-x86-glb
http://www.microsoft.com/downloads

Identificadores estándar
Propiedad Valor
CVE CVE-2006-4695
CVE-2007-1201
BID

Recursos adicionales
Microsoft Security Bulletin (MS08-017)
http://www.microsoft.com/technet/security/bulletin/MS08-017.mspx

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2008-03-12

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT