Error de corrupción de memoria en Internet Explorer permite ejecutar código arbitrario(HHCtrl.ocx)

Por marcelo-ar - 4 de Julio, 2006, 23:39, Categoría: General


Nota: 04/04/2007, 04:52 a.m.
Ver también: Problemas con parche de Microsoft (Hhctrl.ocx - user32.dll)


Se ha descubierto una vulnerabilidad de gravedad crítica en Internet Explorer, la cual podría ser explotada por atacantes remotos para ocasionar el fallo del navegador vulnerable o, potencialmente, tomar el control completo de un sistema afectado.

El fallo es debido a un error de corrupción de memoria en el control ActiveX HTML Help (hhctrl.ocx) al procesar una propiedad "Image" especialmente alterada, lo cual podría ser explotado por atacantes remotos para ocasionar una condición de Denegación de Servicio (DoS) o ejecutar código arbitrario con solo convencer al usuario atacado para que visite una página web maliciosa.

Esta vulnerabilidad ha sido confirmada en Windows XP SP2 con Internet Explorer 6.0, con todos sus parches al día. Otras versiones también podrían estar afectadas.

Recomendación:
Desactivar ActiveX para todos los sitios, excepto para los de confianza.

Solución:
Al momento de publicar esta entrada no existe parche para esta vulnerabilidad.

Créditos:
HD Moore
http://browserfun.blogspot.com/

Ref.:
Secunia Advisory: SA20906
Internet Explorer HTML Help ActiveX Control Memory Corruption
http://secunia.com/advisories/20906/

FrSIRT/ADV-2006-2635
Microsoft Internet Explorer HTML Help Control "HHCtrl" Memory Corruption Vulnerability
http://www.frsirt.com/english/advisories/2006/2635

Reporte original:
MoBB #2: Internet.HHCtrl Image Property
http://browserfun.blogspot.com/...

El Blog

Calendario

<<   Julio 2006  >>
LMMiJVSD
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31       

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker