1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2012-046 Vulnerabilidades en Lync que podrían permitir la ejecución remota de código

Esta actualización de seguridad resuelve una vulnerabilidad reportada de forma pública y tres vulnerabilidades divulgadas privadas en Microsoft Lync. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario consulta contenido compartido que contiene fuentes TrueType especialmente diseñadas.

  • Fecha de Liberación: 12-Jun-2012
  • Ultima Revisión: 15-Ago-2012
  • Fuente: Microsoft Corp.
  • Riesgo Importante
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Microsoft Windows Microsoft Lync 2010 Attendee Microsoft Lync 2010 (64-bit) < KB2696031
Microsoft Windows Microsoft Lync 2010 Attendee Microsoft Lync 2010 Attendant (32-bit) < KB2702444
Microsoft Windows Microsoft Lync 2010 Attendee Microsoft Lync 2010 Attendant (64-bit) < KB2702444
Microsoft Windows Windows Microsoft Communicator 2007 R2 < KB2708980
Microsoft Windows Windows Microsoft Lync 2010 (32-bit) < KB2693282
Microsoft Windows Windows Microsoft Lync 2010 (64-bit) < KB2693282

  1. Índice de explotabilidad

    1. Vulnerabilidad en análisis de fuentes TrueType CVE-2011-3402

    Existe una vulnerabilidad de ejecución remota de código en la manera en que los componentes afectados manipulan el contenido compartido que contiene fuentes TrueType especialmente diseñadas. La vulnerabilidad podría permitir la ejecución remota de código si un usuario consulta contenido compartido que contiene fuentes TrueType especialmente diseñadas.

    2. Vulnerabilidad en análisis de fuentes TrueType CVE-2012-0159

    Existe una vulnerabilidad de ejecución remota de código en la manera en que los componentes afectados manipulan el contenido compartido que contiene fuentes TrueType especialmente diseñadas. La vulnerabilidad podría permitir la ejecución remota de código si un usuario consulta contenido compartido que contiene fuentes TrueType especialmente diseñadas.

    3. Vulnerabilidad en la carga de bibliotecas no seguras de Lync CVE-2012-1849

    Existe una vulnerabilidad de ejecución remota de código en la manera en que Microsoft Lync manipula la carga de archivos DLL. 

    4. Vulnerabilidad de saneamiento de HTML CVE-2012-1858

    Existe una vulnerabilidad de divulgación de información en la manera en que se filtra el código HTML, que podría permitir a un atacante llevar a cabo ataques de secuencias de comandos de sitios y ejecutar una secuencia de comandos en el contexto de seguridad del usuario actual.

  2. Descripción

    1. Vulnerabilidad en análisis de fuentes TrueType CVE-2011-3402

    Existe una vulnerabilidad de ejecución remota de código en la manera en que los componentes afectados manipulan el contenido compartido que contiene fuentes TrueType especialmente diseñadas. La vulnerabilidad podría permitir la ejecución remota de código si un usuario consulta contenido compartido que contiene fuentes TrueType especialmente diseñadas.

    2. Vulnerabilidad en análisis de fuentes TrueType CVE-2012-0159

    Existe una vulnerabilidad de ejecución remota de código en la manera en que los componentes afectados manipulan el contenido compartido que contiene fuentes TrueType especialmente diseñadas. La vulnerabilidad podría permitir la ejecución remota de código si un usuario consulta contenido compartido que contiene fuentes TrueType especialmente diseñadas.

    3. Vulnerabilidad en la carga de bibliotecas no seguras de Lync CVE-2012-1849

    Existe una vulnerabilidad de ejecución remota de código en la manera en que Microsoft Lync manipula la carga de archivos DLL.

    4. Vulnerabilidad de saneamiento de HTML CVE-2012-1858

    Existe una vulnerabilidad de divulgación de información en la manera en que se filtra el código HTML, que podría permitir a un atacante llevar a cabo ataques de secuencias de comandos de sitios y ejecutar una secuencia de comandos en el contexto de seguridad del usuario actual.

  3. Impacto

    1. Vulnerabilidad en análisis de fuentes TrueType CVE-2011-3402

    Un atacante que explotara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un atacante podría instalar programas,ver, cambiar,eliminar datos o crear cuentas nuevas con todos los derechos de usuario.

    Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrán un riesgo menor que los que cuenten con derechos de usuario administrativos.

    2. Vulnerabilidad en análisis de fuentes TrueType CVE-2012-0159

    Un atacante que explotara esta vulnerabilidad podría lograr el control completo de un sistema afectado.

    Un atacante que explotara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un atacante podría instalar programas,ver, cambiar,eliminar datos o crear cuentas nuevas con todos los derechos de usuario.

    Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrán un riesgo menor que los que cuenten con derechos de usuario administrativos.

    3. Vulnerabilidad en la carga de bibliotecas no seguras de Lync CVE-2012-1849

    Un atacante que explotara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un atacante podría instalar programas,ver, cambiar,eliminar datos o crear cuentas nuevas con todos los derechos de usuario.

    Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrán un riesgo menor que los que cuenten con derechos de usuario administrativos.

    4. Vulnerabilidad de saneamiento de HTML CVE-2012-1858

    Para aprovechar esta vulnerabilidad, un atacante debe tener la capacidad de enviar una secuencia de comandos especialmente diseñada a una ventana de chat de Lync o Microsoft Communicator. Debido a la vulnerabilidad, en determinadas situaciones la secuencia de comandos especialmente diseñada no se sanea de forma adecuada y, por lo tanto, se puede ejecutar una secuencia de comandos proporcionada por el atacante en el contexto de seguridad de un usuario que visualice el contenido malintencionado.

  4. Solución

  5. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Mayra Villeda (mvilleda at seguridad dot unam dot mx)
  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT