MS04-040 Actualización acumulativa para IE (889293)(Quien tenga instalado el SP2, no está afectado)
Se ha detectado un problema de seguridad que podría permitir a un usuario malintencionado poner en peligro un equipo que ejecute Internet Explorer y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft.
Nivel de gravedad: Crítico
Impacto: Ejecución remota de código
Fecha publicación: 1 de diciembre de 2004
Reemplaza:
Esta revisión reemplaza a la proporcionada por el boletín de seguridad MS04-038 solo para Internet Explorer 6 Service Pack 1 e Internet Explorer 6 para Windows XP Service Pack 1 (64-Bit Edition). Otras versiones:
MS04-038 Actualización acumulativa para IE (834707)
http://www.vsantivirus.com/vulms04-038.htmSoftware afectado:
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
- Microsoft Windows 2000 Service Pack 3
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (Me)
Componentes afectados:
- Internet Explorer 6 SP1 (Windows 2000 SP3)
- Internet Explorer 6 SP1 (Windows 2000 SP4)
- Internet Explorer 6 SP1 (Windows XP SP1)
- Internet Explorer 6 SP1 (NT 4.0 SP6a)
- Internet Explorer 6 SP1 (NT 4.0 Terminal Service SP6)
- Internet Explorer 6 SP1 (Windows 98)
- Internet Explorer 6 SP1 (Windows 98 SE)
- Internet Explorer 6 SP1 (Windows Me)
- Internet Explorer 6 (Windows XP SP1 64-Bit Edition)
Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft.
Software NO afectado:
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
Descripción
Esta actualización resuelve una nueva vulnerabilidad de Internet Explorer, reportada públicamente.
Dicha vulnerabilidad puede permitir la ejecución remota de código en los sistemas afectados.
Si el usuario actual tiene privilegios administrativos, el atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones.
Un atacante puede aprovecharse de esta vulnerabilidad, construyendo una página Web maliciosa, y persuadiendo de algún modo al usuario para visitarla, típicamente mediante un enlace en algún correo no solicitado, etc.
Por defecto, Outlook Express 6, Outlook 2002, y Outlook 2003 abren el correo electrónico en la zona de sitios restringidos, lo que ayuda a reducir la consecuencia de los ataques que puedan producirse si se intenta explotar esta vulnerabilidad a través de mensajes con formato HTML.
Adicionalmente, Outlook 98 y Outlook 2000 los abren también en dicha zona, si se ha instalado la actualización de seguridad para Outlook.
Outlook Express 5.5 Service Pack 2 abre correo HTML en la zona restringida si el parche reportado en el boletín MS04-018 ha siso instalado.
Internet Explorer 6 incluido en Windows XP Service Pack 2, no es afectado por este problema.
La vulnerabilidad es provocada por un desbordamiento de búfer al procesar elementos FRAME e IFRAME.
IFRAME (Inline Floating Frames) es una tecnología que permite a los creadores de sitios Web, incrementar el control sobre el diseño y la interacción entre sus páginas.
Esta actualización remueve la vulnerabilidad modificando el modo en que el Internet Explorer valida el largo de los mensajes cuando se procesan elementos HTML.
La vulnerabilidad ahora corregida, está explicada en el siguiente enlace:
Vulnerabilidad en IFRAME permite ataque remoto en IE
http://www.vsantivirus.com/vul-ie-iframe-2810004.htmDescargas:
* Actualización de seguridad acumulativa para Internet Explorer 6 Service Pack 1 - Windows XP, Windows 2000 (KB889293)
http://www.microsoft.com/downloads/details.aspx?familyid=3A9DBD51-4348-4EE6-9BC1-D9A1E12963EC&displaylang=es
Sistemas operativos compatibles:
- Windows 2000 Service Pack 3
- Windows 2000 Service Pack 4
- Windows XP, Windows XP Service Pack 1
Esta actualización se aplica a Internet Explorer 6 Service Pack 1 (SP1) con los siguientes sistemas operativos:
- Windows XP SP1
- Windows XP
- Windows 2000 SP3
- Windows 2000 SP4
* Actualización de seguridad acumulativa para Internet Explorer 6 Service Pack 1 - Windows 98, Windows Millennium, Windows NT4 (KB889293)
http://www.microsoft.com/downloads/details.aspx?familyid=96DE6C13-4F67-4581-8F51-2C8A90E11C57&displaylang=es
Sistemas operativos compatibles:
- Windows 98
- Windows 98 Second Edition
- Windows ME, Windows NT
Esta actualización se aplica a Internet Explorer 6 Service Pack 1 (SP1) con los siguientes sistemas operativos:
- Windows 98
- Windows 98SE
- Windows NT4 Server
- Windows Millennium
Descarga para otros productos:
www.microsoft.com/technet/security/bulletin/ms04-040.mspxNota:
Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS04-040
www.microsoft.com/technet/security/bulletin/ms04-040.mspxMicrosoft Knowledge Base Article - 889293
http://support.microsoft.com/?kbid=889293Publicado en:
http://www.vsantivirus.com/vulms04-040.htm
