int(3915)

Boletines de Vulnerabilidades

Ejecución de código en el control HxTocCtrl de ActiveX

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft Internet Explorer 5.01 SP4
Microsoft Internet Explorer 6 SP1
Microsoft Windows XP SP2
Microsoft Windows Server 2003 SP1 y SP2
Microsoft Windows Vista SP1
Microsoft Windows Server 2008
HP Storage Management Appliance v2.1

Descripción
Se ha descubierto una vulnerabilidad en el control HxTocCtrl ActiveX utilizado en Microsoft Internet Explorer 5.01 SP4 y 6 SP1 y en Microsoft Windows XP SP2, Server 2003 SP1 y SP2, Vista SP1, y Server 2008. La vulnerabilidad reside en un error en el fichero "hxvz.dll".

Un atacante remoto podría ejecutar código arbitrario mediante una página Web especialmente diseñada.

El boletín MS08-032 sustituye al MS08-023.

Solución


Actualización de software

Microsoft (MS08-023)
Microsoft Internet Explorer 5.01 SP4 / patch IE5.01sp4-KB948881-Windows2000sp4-x86-enu
Microsoft Internet Explorer 6 SP1 / patch IE6.0sp1-KB948881-Windows2000-x86-enu
Microsoft Windows XP SP2 / patch Windowsxp-kb948881-x86-enu
Microsoft Windows XP SP2 (64 bit) / patch WindowsServer2003.WindowsXP-KB948881-x64-enu
Microsoft Windows Server 2003 SP1 y SP2 / patch Windowsserver2003-kb948881-x86-enu
Microsoft Windows Server 2003 SP1 y SP2 (64 bit) / patch WindowsServer2003.WindowsXP-KB948881-x64-enu
Microsoft Windows Server 2003 SP1 y SP2 (Itanium) / patch Windowsserver2003-kb948881-ia64-enu
Microsoft Windows Vista SP1 (32 bit) / patch Windows6.0-KB948881-x86
Microsoft Windows Vista SP1 (64 bit) / patch Windows6.0-KB948881-x64
Microsoft Windows Server 2008 (32 bit) / patch Windows6.0-KB948881-x86
Microsoft Windows Server 2008 (64 bit) / patch Windows6.0-KB948881-x64
Microsoft Windows Server 2008 (Itanium) / patch Windows6.0-KB948881-ia64
http://www.microsoft.com/downloads

Hewlett-Packard
Storage Management Appliance v2.1
Instale el parche de Microsoft correspondiente a su sistema operativo.

Identificadores estándar
Propiedad Valor
CVE CVE-2008-1086
BID 28606

Recursos adicionales
Microsoft Security Bulletin (MS08-023)
http://www.microsoft.com/technet/security/bulletin/ms08-023.mspx

Microsoft Security Bulletin (MS08-032)
http://www.microsoft.com/technet/security/Bulletin/MS08-032.mspx

HP SECURITY BULLETIN (HPSBST02329)
https://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01433452-1

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2008-04-10
1.1 Aviso emitido por HP (HPSBST02329) 2008-04-23
1.2 Aviso emitido por Microsoft (MS08-032). Descripción actualizada. 2008-06-11

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT