http://www.vsantivirus.com/vulms07-008.htm

Nivel de gravedad: Crítica
Impacto: Ejecución remota de código
Fecha de publicación: 13 de febrero de 2007

Software afectado por este parche:

- Windows 2000 Advanced Server
- Windows 2000 Datacenter Server
- Windows 2000 Professional
- Windows 2000 Server
- Windows XP Home Edition
- Windows XP Professional
- Windows XP Professional 64-Bit Edition
- Windows Server 2003 (Small Business Server)
- Windows Server 2003 (Datacenter Edition)
- Windows Server 2003 (Enterprise Edition)
- Windows Server 2003 (Standard Edition)
- Windows Server 2003 (Web Edition)
- Windows Server 2003 Datacenter Edition (Itanium)
- Windows Server 2003 Enterprise Edition (Itanium)
- Windows Server 2003 Datacenter x64
- Windows Server 2003 Enterprise x64
- Windows Server 2003 Standard x64
- Windows 2000 SP4
- Windows XP SP2
- Windows XP 64-Bit Gold
- Windows Server 2003 Gold
- Windows Server 2003 SP1
- Windows Server 2003 (Itanium) Gold
- Windows Server 2003 (Itanium) SP1
- Windows Server 2003 x64 Gold

El software en esta lista se ha probado para determinar
si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser
vulnerables, pero ya no incluyen soporte de actualizaciones de parte de
Microsoft.

Descripción

Esta actualización de seguridad corrige una
vulnerabilidad en el objeto "HTML Help ActiveX control" de la ayuda HTML,
la cuál puede permitir a un usuario ejecutar código de forma remota.

Un atacante puede explotar esta vulnerabilidad
construyendo un sitio web malicioso que pueda hacer que al ser visitado por
un usuario desprevenido, se ejecute código potencialmente peligroso en su
equipo, sin ninguna clase de advertencia.

Si el usuario actual tiene privilegios administrativos,
un atacante podrá tomar el control total del sistema afectado, incluyendo
la instalación de programas; visualizar, cambiar o borrar información; o
crear nuevas cuentas con todos los privilegios. Si el usuario actual no
posee esos privilegios, el atacante también verá restringidas sus acciones.

La vulnerabilidad está relacionada con la siguiente
referencias CVE:

CVE-2007-0214
HTML Help ActiveX Control Vulnerability
http://www.cve.mitre.org/cgi-bin/cve...=CVE-2007-0214

CVE (Common Vulnerabilities and Exposures), es la lista
de nombres estandarizados para vulnerabilidades y otras exposiciones de
seguridad que han tomado estado público, la cuál es operada por
cve.mitre.org, corporación patrocinada por el gobierno norteamericano.

Reemplazos

Este parche reemplaza el siguiente:

MS06-046 Vulnerabilidad en Ayuda HTML (922616)
http://www.vsantivirus.com/vulms06-046.htm

Descargas:

Las actualizaciones pueden descargarse del siguiente
enlace:

http://www.microsoft.com/technet/sec.../ms07-008.mspx

El parche también está disponible a través de las
actualizaciones automáticas de Windows Update.

Nota:

Antes de instalar esta actualización, verifique que el
software que se menciona tenga instalado los Service Pack a los que se hace
referencia. En caso contrario la aplicación puede fallar o ejecutarse de
manera incorrecta.

Más información:

Microsoft Security Bulletin MS07-008
http://www.microsoft.com/technet/sec.../ms07-008.mspx

Microsoft Knowledge Base Article - 928843
http://support.microsoft.com/?kbid=928843






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com







Copyright 1996-2007 Video Soft BBS

http://www.vsantivirus.com/vulms07-008.htm


--
El día que Pablo Lleó Gárcia deje de hacer el imbécil en los foros técnicos
de MS y de falsificar a la gente, yo dejaré de cantaros las 40 aquí. Hasta
el momento soy comedido: solo pongo los mismos mensajes, copiados, que Pablo
ha puesto allí y segun los va poniendo. Por tanto, ya sabeis quien es el
culpable. Y por cierto, los pongo por ahora aquí sin hacer el crossposting
que él hace en MS. Y digo "por ahora".