1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2012-080 Vulnerabilidad en .NET Framework que podría permitir la ejecución de código remoto

Esta actualización de seguridad resuelve cinco vulnerabilidades reportadas de manera privada en el Framework de .NET. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante convence al usuario de un sistema destino para que use un archivo de autoconfiguración de proxy malicioso y entonces insertar código en la aplicación que se está ejecutando actualmente.

  • Fecha de Liberación: 13-Nov-2012
  • Ultima Revisión: 13-Dic-2012
  • Fuente: Microsoft
  • CVE ID: CVE-2012-1895 CVE-2012-1896 CVE-2012-2519 CVE-2012-4776 CVE-2012-4777
  • Riesgo Crítico
  • Problema de Vulnerabilidad Local y remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Microsoft Windows Windows Windows 7 for 32-bit Systems SP1, Microsoft .NET Framework 3.5.1 <= KB2633873
Microsoft Windows Windows Windows 7 for 32-bit Systems SP1, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows 7 for 32-bit Systems SP1, Microsoft .NET Framework 4.5 < KB2729460
Microsoft Windows Windows Windows 7 for 32-bit Systems, Microsoft .NET Framework 3.5.1 <= KB2633879
Microsoft Windows Windows Windows 7 for 32-bit Systems, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows 7 for x64-based Systems SP1, Microsoft .NET Framework 3.5.1 <= KB2633873
Microsoft Windows Windows Windows 7 for x64-based Systems SP1, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows 7 for x64-based Systems SP1, Microsoft .NET Framework 4.5 < KB2729460
Microsoft Windows Windows Windows 7 for x64-based Systems, Microsoft .NET Framework 3.5.1 <= KB2633873
Microsoft Windows Windows Windows 7 for x64-based Systems,Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows 8 for 32-bit Systems, Microsoft .NET Framework 3.5 < KB2729462
Microsoft Windows Windows Windows 8 for 32-bit Systems, Microsoft .NET Framework 4.5 < KB2737084
Microsoft Windows Windows Windows 8 for 64-bit Systems, Microsoft .NET Framework 3.5 < KB2729462
Microsoft Windows Windows Windows 8 for 64-bit Systems, Microsoft .NET Framework 4.5 < KB2737084
Microsoft Windows Windows Windows Server 2003 SP2, Microsoft .NET Framework 1.1 SP1 <= KB2572069
Microsoft Windows Windows Windows Server 2003 SP2, Microsoft .NET Framework 2.0 SP2 <= KB2633870
Microsoft Windows Windows Windows Server 2003 SP2, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows Server 2003 with SP2 for Itanium-based Systems, Microsoft .NET Framework 1.1 SP1 <= KB2656353
Microsoft Windows Windows Windows Server 2003 with SP2 for Itanium-based Systems, Microsoft .NET Framework 2.0 SP2 <= KB2633880
Microsoft Windows Windows Windows Server 2003 with SP2 for Itanium-based Systems, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows Server 2003 x64 Edition SP2, Microsoft .NET Framework 2.0 SP2 <= KB2633880
Microsoft Windows Windows Windows Server 2003 x64 Edition SP2, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows Server 2003 x64 Edition SP2,Microsoft .NET Framework 1.1 SP1 <= KB2656353
Microsoft Windows Windows Windows Server 2008 R2 for Itanium-based Systems SP1, Microsoft .NET Framework 3.5.1 <= KB2633873
Microsoft Windows Windows Windows Server 2008 R2 for Itanium-based Systems SP1, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows Server 2008 R2 for Itanium-based Systems, Microsoft .NET Framework 3.5.1 <= KB2633879
Microsoft Windows Windows Windows Server 2008 R2 for Itanium-based Systems, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows Server 2008 R2 for x64-based Systems SP1, Microsoft .NET Framework 3.5.1 <= KB2633873
Microsoft Windows Windows Windows Server 2008 R2 for x64-based Systems SP1, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows Server 2008 R2 for x64-based Systems SP1, Microsoft .NET Framework 4.5 < KB2729460
Microsoft Windows Windows Windows Server 2008 R2 for x64-based Systems, Microsoft .NET Framework 3.5.1 <= KB2633879
Microsoft Windows Windows Windows Server 2008 R2 for x64-based Systems,Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows Server 2008 for 32-bit Systems SP2, Microsoft .NET Framework 2.0 SP2 <= KB2633874
Microsoft Windows Windows Windows Server 2008 for 32-bit Systems SP2, Microsoft .NET Framework 4.5 < KB2729460
Microsoft Windows Windows Windows Server 2008 for 32-bit Systems SP2,Microsoft .NET Framework 1.1 SP1 <= KB2656353
Microsoft Windows Windows Windows Server 2008 for 32-bit Systems SP2,Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows Server 2008 for Itanium-based Systems SP2, Microsoft .NET Framework 1.1 SP1 <= KB2656353
Microsoft Windows Windows Windows Server 2008 for Itanium-based Systems SP2, Microsoft .NET Framework 2.0 SP2 <= KB2633874
Microsoft Windows Windows Windows Server 2008 for Itanium-based Systems SP2, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows Server 2008 for x64-based Systems SP2, Microsoft .NET Framework 2.0 SP2 <= KB2633874
Microsoft Windows Windows Windows Server 2008 for x64-based Systems SP2, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows Server 2008 for x64-based Systems SP2, Microsoft .NET Framework 4.5 < KB2729460
Microsoft Windows Windows Windows Server 2008 for x64-based Systems SP2Microsoft .NET Framework 1.1 SP1, <= KB2656353
Microsoft Windows Windows Windows Server 2012, Microsoft .NET Framework 3.5 < KB2729462
Microsoft Windows Windows Windows Server 2012, Microsoft .NET Framework 4.5 < KB2737084
Microsoft Windows Windows Windows Vista SP2, Microsoft .NET Framework 2.0 SP2 <= KB2633874
Microsoft Windows Windows Windows Vista SP2, Microsoft .NET Framework 4.0 <= KB2633874
Microsoft Windows Windows Windows Vista SP2, Microsoft .NET Framework 4.5 < KB2729460
Microsoft Windows Windows Windows Vista SP2,Microsoft .NET Framework 1.1 SP 1 <= KB2656353
Microsoft Windows Windows Windows Vista x64 Edition SP2, Microsoft .NET Framework 2.0 SP2 <= KB2633874
Microsoft Windows Windows Windows Vista x64 Edition SP2, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows Vista x64 Edition SP2, Microsoft .NET Framework 4.5 < KB2729460
Microsoft Windows Windows Windows Vista x64 Edition SP2,Microsoft .NET Framework 1.1 SP1 <= KB2656353
Microsoft Windows Windows Windows XP Professional x64 Edition SP2, Microsoft .NET Framework 1.1 SP1 <= KB2656353
Microsoft Windows Windows Windows XP Professional x64 Edition SP2,Microsoft .NET Framework 2.0 SP2 <= KB2633870
Microsoft Windows Windows Windows XP Professional x64 Edition SP2,Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows XP SP3, Microsoft .NET Framework 1.0 SP3 <= KB2572066
Microsoft Windows Windows Windows XP SP3, Microsoft .NET Framework 1.1 SP1 <= KB2572066
Microsoft Windows Windows Windows XP SP3, Microsoft .NET Framework 4.0 <= KB2633870
Microsoft Windows Windows Windows XP SP3,Microsoft .NET Framework 2.0 SP2 <= KB2633870

  1. Índice de explotabilidad

    1. Vulnerabilidad de omisión de reflejo - CVE-2012-1895

    Código de explotación funcional improbable

    2. Vulnerabilidad de divulgación de información en la seguridad de acceso del código - CVE-2012-1896

    Código de explotación consistente

    3. Vulnerabilidad en la carga de bibliotecas inseguras de .NET Framework - CVE-2012-2519

    Código de explotación consistente

    4 .Vulnerabilidad  de detección automática en el proxy web - CVE-2012-4776

    Código de explotación consistente

    5. Vulnerabilidad de optimización de  reflejo en WPR - CVE-2012-4777

    Código de explotación consistente

  2. Descripción

    1. Vulnerabilidad de omisión de reflejo - CVE-2012-1895

    Existe una vulnerabilidad de elevación de privilegios en la forma en que .Net Framework valida los permisos de ciertos objetos que realizan reflejo.

    2. Vulnerabilidad de divulgación de información en la seguridad de acceso del código - CVE-2012-1896

    Existe una vulnerabilidad de divulgación de información en Microsoft .NET Framework debido a la inapropiada limpieza de la salida cuando se llama a una función desde un código parcialmente confiable.

    3. Vulnerabilidad en la carga de bibliotecas inseguras de .NET Framework - CVE-2012-2519

    Existe una vulnerabilidad de ejecución remota de código en la forma en que Microsoft  .NET Framework trata la encarga de  los archivos DLL.

    4 .Vulnerabilidad  de detección automática en el proxy web - CVE-2012-4776

    Existe una vulnerabilidad de ejecución remota de código en la forma en que Microsoft  .NET Framework recupera la configuración de proxy web predeterminado.

    5. Vulnerabilidad de optimización de  reflejo en WPR - CVE-2012-4777

    Existe una vulnerabilidad de elevación de privilegios en la forma en que .NET Framework valida permisos de los objetos  que intervienen en el reflejo.

  3. Impacto

    1. Vulnerabilidad de omisión de reflejo - CVE-2012-1895

    Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrán un riesgo menor que los que cuenten con derechos de usuario administrativos.

    2. Vulnerabilidad de divulgación de información en la seguridad de acceso del código - CVE-2012-1896

    Un atacante que explote por completo esta vulnerabilidad podría obtener información confidencial contenida en el sistema.

    3. Vulnerabilidad en la carga de bibliotecas inseguras de .NET Framework - CVE-2012-2519

    Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrán un riesgo menor que los que cuenten con derechos de usuario administrativos.

    4 .Vulnerabilidad  de detección automática en el proxy web - CVE-2012-4776

    Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrán un riesgo menor que los que cuenten con derechos de usuario administrativos.

    5. Vulnerabilidad de optimización de  reflejo en WPR - CVE-2012-4777

    Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrán un riesgo menor que los que cuenten con derechos de usuario administrativos.

  4. Solución

    • Windows XP Service Pack 3

    Microsoft .NET Framework 1.0 Service Pack 3

    Microsoft .NET Framework 1.1 Service Pack 1

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    • Windows XP Service Pack 3

    Microsoft .NET Framework 4

    • Windows XP Professional x64 Edition Service Pack 2

    Microsoft .NET Framework 1.1 Service Pack 1

    • Windows XP Professional x64 Edition Service Pack 2

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    • Windows XP Professional x64 Edition Service Pack 2

    Microsoft .NET Framework 4

    • Windows Server 2003 Service Pack 2

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    • Windows Server 2003 Service Pack 2

    Microsoft .NET Framework 4

    • Windows Server 2003 x64 Edition Service Pack 2

    Microsoft .NET Framework 1.1 Service Pack 1

    • Windows Server 2003 x64 Edition Service Pack 2

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    • Windows Server 2003 with SP2 for Itanium-based Systems

    Microsoft .NET Framework 1.1 Service Pack 1

    • Windows Server 2003 with SP2 for Itanium-based Systems

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    • Windows Vista Service Pack 2

    Microsoft .NET Framework 1.1 Service Pack 1

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    Microsoft .NET Framework 4.5

    • Windows Vista x64 Edition Service Pack 2

    Microsoft .NET Framework 1.1 Service Pack 1

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    Microsoft .NET Framework 4.5

    • Windows Server 2008 for 32-bit Systems Service Pack 2

    Microsoft .NET Framework 1.1 Service Pack 1

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    Microsoft .NET Framework 4.5

    • Windows Server 2008 for x64-based Systems Service Pack 2

    Microsoft .NET Framework 1.1 Service Pack 1

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    Microsoft .NET Framework 4.5

    • Windows Server 2008 for Itanium-based Systems Service Pack 2

    Microsoft .NET Framework 1.1 Service Pack 1

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    • Windows 7 for 32-bit Systems

    Microsoft .NET Framework 3.5.1

    Microsoft .NET Framework 4

    • Windows 7 for 32-bit Systems Service Pack 1

    Microsoft .NET Framework 3.5.1

    Microsoft .NET Framework 4

    Microsoft .NET Framework 4.5

    • Windows 7 for x64-based Systems

    Microsoft .NET Framework 3.5.1

    Microsoft .NET Framework 4

    • Windows 7 for x64-based Systems Service Pack 1

    Microsoft .NET Framework 3.5.1

    Microsoft .NET Framework 4

    Microsoft .NET Framework 4.5

    • Windows Server 2008 R2 for x64-based Systems

    Microsoft .NET Framework 3.5.1

    Microsoft .NET Framework 4

    • Windows Server 2008 R2 for x64-based Systems Service Pack 1

    Microsoft .NET Framework 3.5.1

    Microsoft .NET Framework 4

    Microsoft .NET Framework 4.5

    • Windows Server 2008 R2 for Itanium-based Systems

    Microsoft .NET Framework 3.5.1

    Microsoft .NET Framework 4

    • Windows Server 2008 R2 for Itanium-based Systems Service Pack

    Microsoft .NET Framework 3.5.1

    Microsoft .NET Framework 4

    • Windows 8 for 32-bit Systems

    Microsoft .NET Framework 3.5

    Microsoft .NET Framework 4.5

    • Windows 8 for 64-bit Systems

    Microsoft .NET Framework 3.5

    Microsoft .NET Framework 4.5

    • Windows Server 2012

    Microsoft .NET Framework 3.5

    Microsoft .NET Framework 4.5

    • Windows Server 2008 R2 for x64-based Systems (Server Core)

    Microsoft .NET Framework 3.5.1

    • Windows Server 2008 R2 for x64-based Systems SP1 (Server Core)

    Microsoft .NET Framework 3.5.1

    Microsoft .NET Framework 4

    Microsoft .NET Framework 4.5

    • Windows Server 2012 (Server Core installation)

    Microsoft .NET Framework 3.5

    Microsoft .NET Framework 4.5

  5. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Mayra Villeda (mvilleda at seguridad dot unam dot mx)
  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT