Esta actualización de seguridad resuelve 4 vulnerabilidades reportadas privadas en Microsoft Forefront Unified Access Gateway (UAG). La más severa de estas vulnerabilidades podría permitir elevación de privilegios, si un usuario visita un sitio Web afectado utilizando una URL especialmente diseñada. Sin embargo, un atacante no tendría la manera de forzar a los usuarios para visitar un sitio Web. En su lugar, un atacante deberá persuadir a los usuarios para visitar el sitio Web, por ejemplo, incitarles a hacer clic en un vínculo de un mensaje de correo electrónico o de mensajería instantánea que lleve a los usuarios a los sitios Web del atacante.
Microsoft Windows Windows | Forefront Unified Access Gateway 2010 | < | KB2433585 |
Microsoft Windows Windows | Forefront Unified Access Gateway 2010 Update 1 | < | KB2433584 |
Microsoft Windows Windows | Forefront Unified Access Gateway 2010 Update 2 | < | KB2418933 |
Vulnerabilidad de UAG redirection spoofing CVE- 2010- 2732
Código de explotación funcional improbable
Vulnerabilidad de UAG XSS allows EOP CVE- 2010- 2733
Código de explotación consistente
VVulnerabilidad en Forefront UAG XSS Issue en el portal móvil de UAG CVE- 2010- 2734
Código de explotación consistente
Vulnerabilidad de XSS en Signurl.asp CVE-2010-3936
Código de explotación consistente
Vulnerabilidad de UAG redirection spoofing CVE- 2010- 2732
Una vulnerabilidad de suplantación de identidad existe en Forefront Unified Acces Gateway (UAG). La vulnerabilidad podría permitir suplantación de identidad al redireccionar el tráfico destinado al servidor UAG, si un usuario de UAG hace clic en un vínculo especialmente diseñado.
Vulnerabilidad de UAG XSS allows EOP CVE- 2010- 2733
Una vulnerabilidad de suplantación de identidad existe en Forefront Unified Acces Gateway (UAG). La vulnerabilidad podría permitir suplantación de identidad al redireccionar el tráfico destinado al servidor UAG, si un usuario de UAG hace clic en un vínculo especialmente diseñado.
VVulnerabilidad en Forefront UAG XSS Issue en el portal móvil de UAG CVE- 2010- 2734
Una vulnerabilidad de cross-site scripting (XSS) existe en Forefront Unified Access Gateway (UAG) que podría permitir la ejecución de un script especialmente diseñado bajo el disfraz del servidor. Se trata de una vulnerabilidad de cross-site scripting no persistente que podría permitir a un atacante ejecutar comandos en el servidor de UAG en el contexto del usuario de destino.
Vulnerabilidad de XSS en Signurl.asp CVE-2010-3936
Una vulnerabilidad de cross-site scripting (XSS) existe en Forefront Unified Access Gateway (UAG) que podría permitir la ejecución de un script especialmente diseñado bajo el disfraz del servidor. Se trata de una vulnerabilidad de cross-site scripting no persistente que podría permitir a un atacante ejecutar comandos en el servidor de UAG en el contexto del usuario de destino.
Vulnerabilidad de UAG redirection spoofing CVE- 2010- 2732
Un atacante podría enviar una dirección URL especialmente diseñada a un usuario del servidor de la UAG para redirigir el tráfico de Internet a un sitio malicioso con un contenido similar al sitio web original. De este modo, el atacante podría obtener información sensible, tales como las credenciales del usuario.
Vulnerabilidad de UAG XSS allows EOP CVE- 2010- 2733
Un atacante que exitosamente explote esta vulnerabilidad podría inyectar un script en el cliente en el navegador del usuario. El script podría suplantar el contenido, divulgar inforamcion, o realizar cualquier acción que el usuario pueda tener en el sitio web afectado en nombre del usuario de destino.-.
VVulnerabilidad en Forefront UAG XSS Issue en el portal móvil de UAG CVE- 2010- 2734
Un atacante que exitosamente explote esta vulnerabilidad por un usuario que visite el sitio web afectado mediante una dirección URL especialmente diseñada. Esto se puede hacer a través de cualquier medio que puede contener enlaces URL de Web controlada por el atacante, como un vínculo de un correo electrónico, en un sitio Web o una redirección en un sitio Web. Además, los sitios web vulnerables y sitios web que aceptan u hospedan contenido proporcionado o anuncios podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. En todos los casos, un atacante no podría obligar a los usuarios a visitar estos sitios web. En su lugar, el atacante tendría que convencer a los usuarios a visitar el sitio Web, por ejemplo, incitarles a hacer clic en un vínculo de un mensaje de correo electrónico o de mensajería instantánea que lleve a los usuarios al sitio web afectado mediante una dirección URL especialmente diseñada, o al sitio Web del atacante.
Vulnerabilidad de XSS en Signurl.asp CVE-2010-3936
Un atacante que exitosamente explote esta vulnerabilidad por un usuario que visite el sitio web afectado mediante una dirección URL especialmente diseñada. Esto se puede hacer a través de cualquier medio que puede contener enlaces URL de Web controlada por el atacante, como un vínculo de un correo electrónico, en un sitio Web o una redirección en un sitio Web. Además, los sitios web vulnerables y sitios web que aceptan u hospedan contenido proporcionado o anuncios podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. En todos los casos, un atacante no podría obligar a los usuarios a visitar estos sitios web. En su lugar, el atacante tendría que convencer a los usuarios a visitar el sitio Web, por ejemplo, incitarles a hacer clic en un vínculo de un mensaje de correo electrónico o de mensajería instantánea que lleve a los usuarios al sitio web afectado mediante una dirección URL especialmente diseñada, o al sitio Web del atacante.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT