Esta actualización de seguridad soluciona una vulnerabilidad esto es común para los controles múltiples de ActiveX y actualmente está siendo explotada. La vulnerabilidad afecta los controles de ActiveX que se compila usando la versión vulnerable de Microsoft Active Template Library (ATL) podría permitir ejecución remota de código si un usuario ve especialmente una página Web diseñada mediante Internet Explorer con instancias del control ActiveX. Usuarios cuya cuenta es configurada para tener menos privilegios de usuario sobre el sistema podrían ser menos impactados que aquellos usuarios quienes operan con privilegios de administrador.

Fecha de Liberación:	13 de Octubre de 2009
Ultima Revisión:	14 de Octubre de 2009
Fuente:	Microsoft Corp.

1. Índice de explotabilidad

   Vulnerabilidad de inicialización ATL COM CVE-2009-2493-

   Código de explotación consistente.

2. Descripción

   Vulnerabilidad de inicialización ATL COM CVE-2009-2493-

   Una vulnerabilidad de ejecución remota de código existe en ciertos controles de Microsoft ActiveX, que fueron compilados utilizando los mas vulnerables ATL descritos en el Boletin MS09-035.

3. Impacto

   Vulnerabilidad de inicialización ATL COM CVE-2009-2493-

   Un atacante podría explotar la vulnerabilidad de estos controles mediante la construcción de una página web especialmente diseñada. Cuando un usuario visita la página web, la vulnerabilidad podría permitir la ejecución remota de código.

   Un atacante quien exitosamente explote esta vulnerabilidad podrá tener los mismos derechos de usuario como un usuario registrado.

   Un atacante que aproveche esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema podrían ser menos afectados que aquellos usuarios quienes operan con privilegios de administrador.

4. Solución

   1. Microsoft Windows 2000 Service Pack 4

   2. Windows XP Service Pack 2 and Windows XP Service Pack 3

   3. Windows XP Professional x64 Edition Service Pack 2

   4. Windows Server 2003 Service Pack 2

   5. Windows Server 2003 x64 Edition Service Pack 2

   6. Windows Server 2003 with SP2 for Itanium-based Systems

   7. Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2

   8. Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2

   9. Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2*

   10. Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2*

   11. Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2

   12. Windows 7 for 32-bit Systems

   13. Windows 7 for x64-based Systems

   14. Windows Server 2008 R2 for x64-based Systems*

   15. Windows Server 2008 R2 for Itanium-based Systems

5. Referencias

   1. http://www.microsoft.com/technet/security/bulletin/ms09-055.mspx

   2. http://www.microsoft.com/technet/security/Bulletin/MS09-oct.mspx

El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Mayra Villeda (mvilleda at seguridad dot unam dot mx)
• Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)