Vulnerabilidad en función xmlHttpRequest en Microsoft Internet Explorer (CVE-2009-1528)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-399
Error en la gestión de recursos
Fecha de publicación:
10/06/2009
Última modificación:
09/04/2025
Descripción
Microsoft Internet Explorer versiones 6 y 7 para Windows XP SP2 y SP3; 6 y 7 para el servidor 2003 SP2; 7 para Vista Gold, SP1 y SP2; y 7 para Server 2008 SP2, no sincroniza apropiadamente las peticiones AJAX, lo que permite a los atacantes remotos ejecutar código arbitrario mediante un gran número de llamadas simultáneas, asincrónicas XMLHttpRequest, también se conoce como "HTML Object Memory Corruption Vulnerability."
Impacto
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:microsoft:internet_explorer:6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_server_2003:*:*:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_server_2003:*:sp1:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_server_2003:*:sp1:itanium:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_server_2003:*:sp2:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_xp:*:*:pro_x64:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_xp:*:sp2:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_xp:*:sp2:pro_x64:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_xp:*:sp3:*:*:*:*:*:* | ||
| cpe:2.3:a:microsoft:internet_explorer:7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_server_2003:*:*:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_server_2003:*:sp1:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_server_2003:*:sp1:itanium:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_server_2003:*:sp2:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_server_2008:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://osvdb.org/54947
- http://www.securityfocus.com/archive/1/504206/100/0/threaded
- http://www.securityfocus.com/bid/35222
- http://www.securitytracker.com/id?1022350=
- http://www.us-cert.gov/cas/techalerts/TA09-160A.html
- http://www.vupen.com/english/advisories/2009/1538
- http://www.zerodayinitiative.com/advisories/ZDI-09-037
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-019
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6260
- http://osvdb.org/54947
- http://www.securityfocus.com/archive/1/504206/100/0/threaded
- http://www.securityfocus.com/bid/35222
- http://www.securitytracker.com/id?1022350=
- http://www.us-cert.gov/cas/techalerts/TA09-160A.html
- http://www.vupen.com/english/advisories/2009/1538
- http://www.zerodayinitiative.com/advisories/ZDI-09-037
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-019
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6260