Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad crítica en Microsoft Video ActiveX Control

Vulnerabilidad crítica en Microsoft Video ActiveX Control

Fecha de publicación: 
07/07/2009
Importancia: 
3 - Media
Recursos afectados: 
  • Windows XP
  • Windows Server 2003
Descripción: 

Se trata de un desbordamiento de memoria intermedia basado en pila (desbordamiento de búfer) en la función 'MPEG2TuneRequest' de la librería msvidctl.dll.

Impacto: 

Un atacante remoto podría aprovechar esto para ejecutar código arbitrario con los permisos del usuario bajo el que se ejecuta el navegador.

Solución: 

Para solucionar fallo de seguridad debemos realizar la siguiente acción:

  • Ejecutar el archivo través del siguiente enlace:

    http://go.microsoft.com/?linkid=9672398

    Existen soluciones alternativas a la propuesta por Microsoft, como es lactivación del “kill bit del control” en el registro de Windows, pero no se recomienda. Esto es porque el parche (FixIt) facilitado, activa 45 "killbits" considerados amenazas.

Detalle: 

La vulnerabilidad está siendo utilizada activamente por atacantes para conseguir los privilegios usados por el usuario local del ordenador vulnerable.

Para aprovechar esta vulnerabilidad, los atacantes desarrollan páginas web específicas con el fin de aprovecharla, o infectando páginas de terceros para que, cuando un usuario acceda a la web, puedan tomar el control del equipo con los mismos privilegios que posea el usuario, si este es administrador, el atacante toma el control total del ordenador.