1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Bolwin de Seguridad UNAM-CERT-2007-040 Vulnerabilidad en .Net Framework podrían permitir la ejecución remota de código (931212)

Dos de las tres vulnerabilidades podrían permitir la ejecución remota de código en los sistemas clientes con .Net Framework instalado y una de ellas podría permitir la revelación de información en servidores Web ejecutando ASP.NET.

  • Fecha de Liberación: 10-Jul-2007
  • Ultima Revisión: 10-Jul-2007
  • Fuente: Microsoft Corp.
  • Riesgo Crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Windows 2000 Server SP4 Microsoft .NET Framework 1.0 < KB928367
Windows 2000 Server SP4 Microsoft .NET Framework 1.1 < KB928366
Windows 2000 Server SP4 Microsoft .NET Framework 2.0 < KB928365
Windows Server 2003 Edición x64 Microsoft .NET Framework 1.0 < KB928367
Windows Server 2003 Edición x64 Microsoft .NET Framework 1.1 < KB928366
Windows Server 2003 Edición x64 Microsoft .NET Framework 2.0 < KB928365
Windows Server 2003 Edición x64 Service Pack 2 Microsoft .NET Framework 1.0 < KB928367
Windows Server 2003 Edición x64 Service Pack 2 Microsoft .NET Framework 1.1 < KB928366
Windows Server 2003 Edición x64 Service Pack 2 Microsoft .NET Framework 2.0 < KB928365
Windows Server 2003 Service Pack 1 Microsoft .NET Framework 1.0 < KB928367
Windows Server 2003 Service Pack 1 Microsoft .NET Framework 1.1 < KB933854
Windows Server 2003 Service Pack 1 Microsoft .NET Framework 2.0 < KB928365
Windows Server 2003 Service Pack 1 para Sistemas Basados en Itanium Microsoft .NET Framework 1.0 < KB928367
Windows Server 2003 Service Pack 1 para Sistemas Basados en Itanium Microsoft .NET Framework 1.1 < KB928366
Windows Server 2003 Service Pack 1 para Sistemas Basados en Itanium Microsoft .NET Framework 2.0 < KB928365
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 1.0 < KB928367
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 1.1 < KB933854
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 2.0 < KB928365
Windows Server 2003 Service Pack 2 para Sistemas Basados en Itanium Microsoft .NET Framework 1.0 < KB928367
Windows Server 2003 Service Pack 2 para Sistemas Basados en Itanium Microsoft .NET Framework 2.0 < KB928365
Windows Vista Edición x64 Microsoft .NET Framework 1.1 < KB929729
Windows Vista Edición x64 Microsoft .NET Framework 2.0 < KB929916
Windows Vista Microsoft .NET Framework 1.0 < KB928367
Windows Vista Microsoft .NET Framework 1.1 < KB929729
Windows Vista Microsoft .NET Framework 2.0 < KB929916
Windows XP Media Center Edition 2005 Microsoft .NET Framework 1.0 < KB930494
Windows XP Profesional Edición x64 Microsoft .NET Framework 1.0 < KB928367
Windows XP Profesional Edición x64 Microsoft .NET Framework 1.1 < KB928366
Windows XP Profesional Edición x64 Microsoft .NET Framework 2.0 < KB928365
Windows XP Profesional Edición x64 Service Pack 2 Microsoft .NET Framework 1.0 < KB928367
Windows XP Profesional Edición x64 Service Pack 2 Microsoft .NET Framework 1.1 < KB928366
Windows XP Profesional Edición x64 Service Pack 2 Microsoft .NET Framework 2.0 < KB928365
Windows XP Service Pack 2 Microsoft .NET Framework 1.0 < KB928367
Windows XP Service Pack 2 Microsoft .NET Framework 1.1 < KB928366
Windows XP Service Pack 2 Microsoft .NET Framework 2.0 < KB928365
Windows XP Tablet PC Edition 2005 Microsoft .NET Framework 1.0 < KB930494

  1. Descripción

    • Vulnerabilidad en el Cargador PE de .NET - CVE-2007-0041

      • Existe una vulnerabilidad de ejecución remota de código en .Net Framework que podría permitir a un atacante que haya explotado la vulnerabilidad hacer cambios al sistema con los permisos del usuario que tenga iniciada la sesión.

    • Vulnerabilidad de Terminación de Byte Nulo en ASP.NET - CVE-2007-0042

      • Existe una vulnerabilidad de revelación de información en .NET Framework que podría permitir a un atacante explotar esta vulnerabilidad evitando las características de seguridad de un sitio Web ASP.NET para descargar los contenidos de cualquier página Web.

    • Vulnerabilidad en el Compilador JIT de .NET - CVE-2007-0043

      • Existe una vulnerabilidad de ejecución remota de código en el Compilador JET (Just In Time) de .Net Framework que podría permitir a un atacante que haya explotado satisfactoriamente esta vulnerabilidad hacer cambios al sistema con permisos del usuario que ha iniciado sesión.

  2. Impacto

    Dos de las tres vulnerabilidades podrían permitir la ejecución remota de código en los sistemas clientes con .Net Framework instalado y una de ellas podría permitir la revelación de información en servidores Web ejecutando ASP.NET. En todos los casos de ejecución remota de código, los usuarios con cuentas configuradas con pocos privilegios administrativos en el sistema podrían ser menos impactados que los usuarios que operan con privilegios administrativos.

  3. Solución

    Aplicar una actualización:

    Microsoft .NET Framework 1.0

    Microsoft .NET Framework 1.1

    Microsoft .NET Framework 2.0

  4. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT