Se ha detectado un problema de seguridad en las fuentes Web incrustadas en Windows, que podría permitir la ejecución remota de código, poniendo en peligro el sistema y hacerse con el control del mismo.
Nivel de gravedad: Crítico
Impacto: Ejecución remota de código
Fecha de publicación: 10 de enero de 2006
Software afectado:
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 for Itanium
- Microsoft Windows Server 2003 SP1 for Itanium
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (ME)
Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores
no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por
Microsoft.
Windows 98, 98 SE y ME, ya no poseen soporte y solo se proporciona
actualizaciones en fallos críticos a través de Windows Update (http://go.microsoft.com/fwlink/?LinkId=21130)
Descripción
* Windows Embedded Web Font Vulnerability – CVE-2006-0010
Una vulnerabilidad que permite la ejecución remota de código, se produce en
Windows debido a la manera en que el sistema maneja las fuentes Web incrustadas,
cuando estas son modificadas maliciosamente.
Un usuario malicioso podría aprovecharse de esta vulnerabilidad para ejecutar
código remoto en el equipo del usuario, por medio de un sitio web o de un correo
electrónico con formato HTML especialmente creados para explotar este problema.
Cuando el usuario visualiza este sitio o lee el mensaje, se puede producir una
corrupción en la memoria que lleva a la ejecución de código no deseado.
Si el usuario actual tiene privilegios administrativos, el atacante podrá tomar
el control total del sistema afectado, incluyendo la instalación de programas;
visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los
privilegios. Si el usuario actual no posee esos privilegios, el atacante también
verá restringidas sus acciones.
La vulnerabilidad fue reportada por eEye Digital Security, y no se conocen
exploits al momento actual.
Descargas:
Las actualizaciones pueden descargarse de los siguientes enlaces:
Microsoft Windows 2000 Service Pack 4
Actualización de seguridad para Windows 2000 (KB908519)
http://www.microsoft.com/downloads/details.aspx?familyid=
DC6C2FE8-3C81-4661-994B-4146775BF590&displaylang=es
Microsoft Windows XP SP1 y Microsoft Windows XP SP2
Actualización de seguridad para Windows XP (KB908519)
http://www.microsoft.com/downloads/details.aspx?familyid=
6DAEA2AF-3723-4CDF-B5BD-B21AC75B5243&displaylang=es
Microsoft Windows Server 2003 y Windows Server 2003 SP1
Actualización de seguridad para Windows Server 2003 (KB908519)
http://www.microsoft.com/downloads/details.aspx?familyid=
5FC12654-486F-45BF-8D34-BDF0998869C5&displaylang=es
Descarga para otros productos:
www.microsoft.com/technet/security/bulletin/ms06-002.mspx
Nota:
Antes de instalar esta actualización, por favor verifique que el software que se
menciona tenga instalado los Service Pack a los que se hace referencia. En caso
contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS06-002
www.microsoft.com/technet/security/bulletin/ms06-002.mspx
Microsoft Knowledge Base Article – 908519
http://support.microsoft.com/?kbid=908519
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus –
http://www.vsantivirus.com
Publicidad