[COLOR="Red"]MS07-004 Ejecución de código en IE (VML) (929969)[/SIZE][/COLOR]


[B]Nivel de gravedad:[/B] Crítico
[B]Impacto:[/B] Ejecución remota de código
[B]Fecha de publicación:[/B] 9 de enero de 2007

[B]Software afectado por este parche:[/B]

- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 (Itanium)
- Microsoft Windows Server 2003 SP1 (Itanium)
- Microsoft Windows Server 2003 x64 Edition

[B]Componentes afectados:[/B]

- Internet Explorer 5.01 SP4 (Windows 2000 SP4)
- Internet Explorer 6 SP1 (Windows 2000 SP4)
- Internet Explorer 7 (Windows XP SP2)
- Internet Explorer 7 (Windows XP Professional x64)
- Internet Explorer 7 (Windows Server 2003 y 2003 SP1)
- Internet Explorer 7 (Windows Server 2003 y 2003 SP1 Itanium)
- Internet Explorer 7 (Windows Server 2003 x64 Edition)

[B]Software NO afectado:[/B]

- Windows Vista

El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft.

[B]Descripción[/B]

Esta actualización corrige una vulnerabilidad en la implementación VML (Vector Markup Language) en Microsoft Windows. Un usuario remoto puede explotar la misma a través de una página Web o de un correo electrónico con formato HTML, construidos maliciosamente. Cuando el usuario visita la página o abre el mensaje electrónico, puede ejecutarse código sin su conocimiento.

El problema se produce por un desbordamiento de búfer y la correspondiente corrupción de la memoria utilizada por el programa, cuando el mismo intenta procesar ciertas cadenas malformadas.

Un atacante que explote exitosamente esta vulnerabilidad, puede llegar a tomar el control completo del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios, siempre que el usuario actual tenga permisos administrativos.

VML es un lenguaje basado en XML para crear gráficos de vectores bidimensionales en un documento HTML o XML. VML utiliza etiquetas XML y hojas de estilos en cascada para crear y ubicar los gráficos, como círculos y cuadrados, en un documento, como una página Web. Estos gráficos pueden incluir colores y pueden editarse en varios programas de gráficos.

Internet Explorer soporta VML desde su versión 5.0, siendo vulnerables todas las versiones a partir de la mencionada.

La vulnerabilidad está relacionada con la siguiente referencia CVE:

CVE-2007-0024
VML Buffer Overrun Vulnerability
[url]www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0024[/url]

CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.

[B]Descargas:[/B]

Las actualizaciones pueden descargarse del siguiente enlace:

[url]www.microsoft.com/technet/security/bulletin/ms07-004.mspx[/url]

El parche también está disponible a través de las actualizaciones automáticas de Windows Update.

[B]Nota:[/B]

Antes de instalar esta actualización, verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.

[B]Más información:[/B]

Microsoft Security Bulletin MS07-004
[url]www.microsoft.com/technet/security/bulletin/ms07-004.mspx[/url]

Microsoft Knowledge Base Article - 929969
[url]http://support.microsoft.com/?kbid=929969[/url]


[COLOR="#ff0000"][SIZE="5"]MS07-003 Vulnerabilidades en MS Outlook (925938)[/SIZE][/COLOR]


[B]Nivel de gravedad:[/B] Crítico
[B]Impacto: [/B]Ejecución remota de código
[B]Fecha de publicación:[/B] 9 de enero de 2007

[B]Software afectado por este parche:[/B]

- Microsoft Office 2000 Service Pack 3 (Outlook 2000)
- Microsoft Office XP Service Pack 3 (Outlook 2002)
- Microsoft Office 2003 Service Pack 2 (Outlook 2003)

[B]Software NO afectado:[/B]

- Microsoft Office 2007
- Microsoft Office Outlook 2007

El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft.

[B]Descripción[/B]

Esta actualización, resuelve tres vulnerabilidades conocidas en algunas versiones de Microsoft Outlook.

Una ejecución remota de código es posible cuando Outlook procesa un componente VEVENT malformado. VEVENT es una agrupación de propiedades que describen un evento que representa un determinado tiempo planificado en un calendario, en este caso de Internet (o iCAL). iCAL es utilizado para enviar e intercambiar información relacionada con agendas y tareas programadas. El atacante puede explotar el problema mediante el envío de un archivo iCAL (.ICS), embebido en un correo electrónico.

Una denegación de servicio puede ser provocada al procesar Outlook cierta información corrupta en el cabezal de un correo electrónico. Outlook continuará congelándose cada vez que el programa intente descargar el mensaje corrupto, siempre que el mismo siga en el servidor. La solución es borrar el mensaje en el servidor (si se tiene acceso Web a la casilla por ejemplo), o descargarlo con otro cliente como Outlook Express, que no es afectado.

Una ejecución remota de código es posible cuando Outlook interpreta un archivo .OSS malformado. Los archivos .OSS (Office Saved Searches), son carpetas virtuales que contienen vistas de ítems que satisfacen criterios de búsquedas específicas en el correo electrónico.

Si el usuario actual tiene derechos administrativos, el atacante que explote exitosamente al menos dos de estos fallos, podrá instalar programas, ver, cambiar o borrar información, o crear nuevas cuentas de usuario con todos los privilegios de administrador.

Las vulnerabilidades están relacionadas con las siguientes referencias CVE:

CVE-2007-0033
Microsoft Outlook VEVENT Vulnerability
[url]www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0033[/url]

CVE-2006-1305
Microsoft Outlook Denial of Service Vulnerability
[url]www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1305[/url]

CVE-2007-0034
Microsoft Outlook Advanced Find Vulnerability
[url]www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0034[/url]

CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.

[B]Descargas:[/B]

Las actualizaciones pueden descargarse del siguiente enlace:

[url]www.microsoft.com/technet/security/bulletin/ms07-003.mspx[/url]

El parche también está disponible a través de las actualizaciones automáticas de Windows Update.

[B]Nota:[/B]

Antes de instalar esta actualización, verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.

[B]Más información:[/B]

Microsoft Security Bulletin MS07-003
[url]www.microsoft.com/technet/security/bulletin/ms07-003.mspx[/url]

Microsoft Knowledge Base Article - 925938
[url]http://support.microsoft.com/?kbid=925938[/url]


[COLOR="#ff0000"][SIZE="5"]MS07-002 Vulnerabilidades en Microsoft Excel (927198)[/SIZE][/COLOR]


[B]Nivel de gravedad:[/B] Crítico
[B]Impacto:[/B] Ejecución remota de código
Fecha de publicación: 9 de enero de 2007

[B]Software afectado por este parche:[/B]

- Microsoft Office 2000 Service Pack 3 (Excel 2000)
- Microsoft Office XP Service Pack 3 (Excel 2002)
- Microsoft Office 2003 Service Pack 2 (Excel 2003)
- Microsoft Office Excel Viewer 2003
- Microsoft Works Suite 2004
- Microsoft Works Suite 2005
- Microsoft Office 2004 for Mac
- Microsoft Office v. X for Mac

[B]Software NO afectado:[/B]

- 2007 Microsoft Office System
- Microsoft Office Excel 2007
- Microsoft Works Suite 2006

El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft.

[B]Descripción[/B]

Esta actualización, resuelve cinco vulnerabilidades conocidas en algunas versiones de Microsoft Excel. Todas ellas pueden ser explotadas por atacantes para la ejecución remota de código, siempre que el usuario abra un documento de Excel construido maliciosamente.

Las vulnerabilidades están relacionadas con el manejo y proceso de diversas propiedades y características del documento, tales como IMDATA (Instant Message Data), ciertas características que definen los campos, el uso y manejo de las cadenas, las propiedades de las columnas y de la paleta de colores empleada para las celdas, etc.

Si el usuario actual tiene derechos administrativos, el atacante que explote exitosamente cualquiera de estos fallos, podrá instalar programas, ver, cambiar o borrar información, o crear nuevas cuentas de usuario con todos los privilegios de administrador.

Las vulnerabilidades están relacionadas con las siguientes referencias CVE:

CVE-2007-0027
Excel Malformed IMDATA Record Vulnerability
[url]www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0027[/url]

CVE-2007-0028
Excel Malformed Record Vulnerability
[url]www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0028[/url]

CVE-2007-0029
Excel Malformed String Vulnerability
[url]www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0029[/url]

CVE-2007-0030
Excel Malformed Column Record Vulnerability
[url]www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0030[/url]

CVE-2007-0031
Excel Malformed Palette Record Vulnerability
[url]www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0031[/url]

CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.

[B]Descargas:[/B]

Las actualizaciones pueden descargarse del siguiente enlace:

[url]www.microsoft.com/technet/security/bulletin/ms07-002.mspx[/url]

El parche también está disponible a través de las actualizaciones automáticas de Windows Update.

[B]Nota:[/B]

Antes de instalar esta actualización, verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.

[B]Más información:[/B]

Microsoft Security Bulletin MS07-002
[url]www.microsoft.com/technet/security/bulletin/ms07-002.mspx[/url]

Microsoft Knowledge Base Article - 927198
[url]http://support.microsoft.com/?kbid=927198[/url]


[COLOR="#ff0000"][SIZE="5"]MS07-001 Vulnerabilidad en Office 2003 (921585)[/COLOR]


[B]Nivel de gravedad:[/B] Importante
[B]Impacto:[/B] Ejecución remota de código
[B]Fecha de publicación:[/B] 9 de enero de 2007

[B]Software afectado por este parche:[/B]

- Microsoft Office 2003 SP2 (Brazilian Portuguese Version)
- Microsoft Word 2003
- Microsoft Excel 2003
- Microsoft Outlook 2003
- Microsoft Access 2003
- Microsoft OneNote 2003
- Microsoft PowerPoint 2003
- Microsoft Publisher 2003
- Microsoft Access 2003
- Microsoft InfoPath 2003
- Microsoft FrontPage 2003
- Microsoft Visio 2003
- Microsoft Visio Enterprise Architects 2003
- Microsoft Office Multilingual User Interface 2003 SP2
- Microsoft Project Multilingual User Interface 2003 SP2
- Microsoft Visio Multilingual User Interface 2003 SP2
- Microsoft Office Proofing Tools 2003 SP2

[B]Software NO afectado:[/B]

- Microsoft Office 2000
- Microsoft Office XP
- Microsoft Office 2007
- Microsoft Office v.X for Mac
- Microsoft Office 2004 for Mac

El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft.

[B]Descripción[/B]

Esta actualización resuelve una vulnerabilidad en el corrector gramatical de la versión brasileña portuguesa de Office 2003, que puede ser utilizada por un atacante, para ejecutar código cuando Office abre un archivo y actúa el corrector.

La vulnerabilidad está relacionada con la siguiente referencia CVE:

CVE-2006-5574
Script Error Handling Memory Corruption Vulnerability
[url]www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5574[/url]

CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.

[B]Descargas:[/B]

Las actualizaciones pueden descargarse del siguiente enlace:

[url]www.microsoft.com/technet/security/bulletin/ms07-001.mspx[/url]

El parche también está disponible a través de las actualizaciones automáticas de Windows Update.

[B]Nota:[/B]

Antes de instalar esta actualización, verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.

[B]Más información:[/B]

Microsoft Security Bulletin MS07-001
http://www.microsoft.com/technet/sec.../ms07-001.mspx

Microsoft Knowledge Base Article - 921585
[url]http://support.microsoft.com/?kbid=921585[/url]

__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad