Esta actualización de seguridad resuelve tres vulnerabilidades reportadas de manera privada en Microsoft. NET Framework y Microsoft Silverlight. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un navegador Web que puede ejecutar aplicaciones de explorador XAML (XBAPs) o aplicaciones de Silverlight, o si un atacante logra persuadir a un usuario para ejecutar una aplicación especialmente diseñada de Microsoft. NET. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema podrían ser menos afectados que los usuarios que cuenten con derechos de usuario administrativos. Las vulnerabilidades podrían permitir la ejecución remota de código en un sistema servidor que ejecuta IIS, si el servidor permite el tratamiento de las páginas ASP.NET y un atacante consigue subir una página ASP.NET especialmente diseñado para el servidor y ejecutar, como podría ser el caso en un escenario de web hosting. De Microsoft. NET, aplicaciones de Silverlight, XBAPs y las páginas ASP.NET que no son maliciosos no están en riesgo de quedar comprometida a causa de esta vulnerabilidad.
Microsoft Windows | Microsoft .NET Framework 2.0 | < | KB953300 |
Microsoft Windows | Microsoft .NET Framework 2.0 Service Pack 1 | < | KB953300 |
Vulnerabilidad 1 - CVE-2009-0090
Código de explotación consistente
Vulnerabilidad 2 - CVE-2009-0091
Código de explotación consistente
Vulnerabilidad 3 - CVE-2009-2497
Código de explotación consistente
Vulnerabilidad 1 - CVE-2009-0090
Una vulnerabilidad de ejecución remota de código en Microsoft. NET Framework que podría permitir aplicaciones malicioso de Microsoft. NET para obtener un puntero administrado a la pila de la memoria que ya no se utiliza. La aplicación maliciosa de Microsoft. NET podría utilizar este puntero para modificar los valores legítimos puestos a la pila de localización posterior, que conduce a la ejecución arbitraria de código no administrado. Las aplicaciones de Microsoft. NET que no son maliciosos, no están en riesgo de verse comprometidos por esta vulnerabilidad.
Vulnerabilidad 2 - CVE-2009-0091
Esta vulnerabilidad de ejecución remota de código existe en Microsoft .NET Framework que podría permitir a una maliciosa aplicación de Microsoft. NET eludir un control de la igualdad de tipo. La aplicacion maliciosa de Microsoft. NET podría explotar esta vulnerabilidad mediante la fundición de un objeto de un tipo a otro tipo, que conduce a la ejecución arbitraria de código no administrado. Las aplicaciones de Microsoft. NET que no son maliciosos, no están en riesgo de verse comprometidos por esta vulnerabilidad.
Vulnerabilidad 3 - CVE-2009-2497
Una vulnerabilidad de ejecución remota de código en Microsoft. NET Framework que puede permitir una aplicación maliciosa de Microsoft. NET o una aplicación de Silverlight malintencionados pueden modificar la memoria de la elección del atacante, que conduce a la ejecución arbitraria de código no administrado. Las aplicaciones de Microsoft. NET y de Silverlight que no son maliciosos, no están en riesgo de verse comprometidos por esta vulnerabilidad.
Vulnerabilidad 1 - CVE-2009-0090
Un atacante quien exitosamente explote esta vulnerabilidad podrá tener los mismos derechos de usuario de ASP.NET. Usuarios cuya cuenta es configurada para tener menos privilegios de usuario sobre el sistema podrían ser menos impactados que aquellos usuarios quienes operan con privilegios de administrador
Vulnerabilidad 2 - CVE-2009-0091
Un atacante quien exitosamente explote esta vulnerabilidad podrá tener los mismos derechos de usuario de ASP.NET. Usuarios cuya cuenta es configurada para tener menos privilegios de usuario sobre el sistema podrían ser menos impactados que aquellos usuarios quienes operan con privilegios de administrador
Vulnerabilidad 3 - CVE-2009-2497
Un atacante quien exitosamente explote esta vulnerabilidad podrá tener los mismos derechos de usuario de ASP.NET. Usuarios cuya cuenta es configurada para tener menos privilegios de usuario sobre el sistema podrían ser menos impactados que aquellos usuarios quienes operan con privilegios de administrador
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT