Esta actualización de seguridad resuelve una vulnerabilidad reportada de forma pública y tres vulnerabilidades divulgadas privadas en Microsoft Lync. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario consulta contenido compartido que contiene fuentes TrueType especialmente diseñadas.
Microsoft Windows Microsoft Lync 2010 Attendee | Microsoft Lync 2010 (64-bit) | < | KB2696031 |
Microsoft Windows Microsoft Lync 2010 Attendee | Microsoft Lync 2010 Attendant (32-bit) | < | KB2702444 |
Microsoft Windows Microsoft Lync 2010 Attendee | Microsoft Lync 2010 Attendant (64-bit) | < | KB2702444 |
Microsoft Windows Windows | Microsoft Communicator 2007 R2 | < | KB2708980 |
Microsoft Windows Windows | Microsoft Lync 2010 (32-bit) | < | KB2693282 |
Microsoft Windows Windows | Microsoft Lync 2010 (64-bit) | < | KB2693282 |
1. Vulnerabilidad en análisis de fuentes TrueType CVE-2011-3402
Existe una vulnerabilidad de ejecución remota de código en la manera en que los componentes afectados manipulan el contenido compartido que contiene fuentes TrueType especialmente diseñadas. La vulnerabilidad podría permitir la ejecución remota de código si un usuario consulta contenido compartido que contiene fuentes TrueType especialmente diseñadas.
2. Vulnerabilidad en análisis de fuentes TrueType CVE-2012-0159
Existe una vulnerabilidad de ejecución remota de código en la manera en que los componentes afectados manipulan el contenido compartido que contiene fuentes TrueType especialmente diseñadas. La vulnerabilidad podría permitir la ejecución remota de código si un usuario consulta contenido compartido que contiene fuentes TrueType especialmente diseñadas.
3. Vulnerabilidad en la carga de bibliotecas no seguras de Lync CVE-2012-1849
Existe una vulnerabilidad de ejecución remota de código en la manera en que Microsoft Lync manipula la carga de archivos DLL.
4. Vulnerabilidad de saneamiento de HTML CVE-2012-1858
Existe una vulnerabilidad de divulgación de información en la manera en que se filtra el código HTML, que podría permitir a un atacante llevar a cabo ataques de secuencias de comandos de sitios y ejecutar una secuencia de comandos en el contexto de seguridad del usuario actual.
1. Vulnerabilidad en análisis de fuentes TrueType CVE-2011-3402
Existe una vulnerabilidad de ejecución remota de código en la manera en que los componentes afectados manipulan el contenido compartido que contiene fuentes TrueType especialmente diseñadas. La vulnerabilidad podría permitir la ejecución remota de código si un usuario consulta contenido compartido que contiene fuentes TrueType especialmente diseñadas.
2. Vulnerabilidad en análisis de fuentes TrueType CVE-2012-0159
Existe una vulnerabilidad de ejecución remota de código en la manera en que los componentes afectados manipulan el contenido compartido que contiene fuentes TrueType especialmente diseñadas. La vulnerabilidad podría permitir la ejecución remota de código si un usuario consulta contenido compartido que contiene fuentes TrueType especialmente diseñadas.
3. Vulnerabilidad en la carga de bibliotecas no seguras de Lync CVE-2012-1849
Existe una vulnerabilidad de ejecución remota de código en la manera en que Microsoft Lync manipula la carga de archivos DLL.
4. Vulnerabilidad de saneamiento de HTML CVE-2012-1858
Existe una vulnerabilidad de divulgación de información en la manera en que se filtra el código HTML, que podría permitir a un atacante llevar a cabo ataques de secuencias de comandos de sitios y ejecutar una secuencia de comandos en el contexto de seguridad del usuario actual.
1. Vulnerabilidad en análisis de fuentes TrueType CVE-2011-3402
Un atacante que explotara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un atacante podría instalar programas,ver, cambiar,eliminar datos o crear cuentas nuevas con todos los derechos de usuario.
Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrán un riesgo menor que los que cuenten con derechos de usuario administrativos.
2. Vulnerabilidad en análisis de fuentes TrueType CVE-2012-0159
Un atacante que explotara esta vulnerabilidad podría lograr el control completo de un sistema afectado.
Un atacante que explotara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un atacante podría instalar programas,ver, cambiar,eliminar datos o crear cuentas nuevas con todos los derechos de usuario.
Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrán un riesgo menor que los que cuenten con derechos de usuario administrativos.
3. Vulnerabilidad en la carga de bibliotecas no seguras de Lync CVE-2012-1849
Un atacante que explotara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un atacante podría instalar programas,ver, cambiar,eliminar datos o crear cuentas nuevas con todos los derechos de usuario.
Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrán un riesgo menor que los que cuenten con derechos de usuario administrativos.
4. Vulnerabilidad de saneamiento de HTML CVE-2012-1858
Para aprovechar esta vulnerabilidad, un atacante debe tener la capacidad de enviar una secuencia de comandos especialmente diseñada a una ventana de chat de Lync o Microsoft Communicator. Debido a la vulnerabilidad, en determinadas situaciones la secuencia de comandos especialmente diseñada no se sanea de forma adecuada y, por lo tanto, se puede ejecutar una secuencia de comandos proporcionada por el atacante en el contexto de seguridad de un usuario que visualice el contenido malintencionado.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT