1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2013-028 Vulnerabilidad en Silverlight podría permitir la ejecución de código remoto

Esta actualización de seguridad crítica resuelve una vulnerabilidad que fue informada de forma privada en Microsoft Silverlight. La vulnerabilidad podría permitir la ejecución remota de código si un atacante hospeda un sitio web que contenga una aplicación de Silverlight especialmente diseñada que pudiera aprovechar esta vulnerabilidad y convencer a un usuario de que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Los sitios web de este tipo podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a visitar un sitio web. Por lo tanto, tendría que atraerlos a un sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de un mensaje instantáneo que los lleve al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

  • Fecha de Liberación: 12-Mar-2013
  • Ultima Revisión: 19-Mar-2013
  • Fuente:
  • CVE ID: CVE-2013-0074
  • Riesgo Crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Microsoft Windows Windows Microsoft Silverlight 5 Developer Runtime < 2814124
Microsoft Windows Windows Microsoft Silverlight 5 Developer Runtime when installed on Mac < 2814124
Microsoft Windows Windows Microsoft Silverlight 5 Developer Runtime when installed on all supported releases of Microsoft Windows servers < 2814124
Microsoft Windows Windows Microsoft Silverlight 5 when installed on Mac < 2814124
Microsoft Windows Windows Microsoft Silverlight 5 when installed on all supported releases of Microsoft Windows servers < 2814124
  1. Índice de explotabilidad

    Vulnerabilidad de desreferencia doble en Silverlight - CVE-2013-0074

    Código de explotación consistente.

  2. Descripción

    Vulnerabilidad de desreferencia doble en Silverlight - CVE-2013-0074

    Existe una vulnerabilidad de ejecución remota de código en Microsoft Silverlight que puede permitir a una aplicación de Silverlight especialmente diseñado para acceder a la memoria de una manera insegura. Un atacante que aprovecha esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad del usuario actual. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

  3. Impacto

    Vulnerabilidad de desreferencia doble en Silverlight - CVE-2013-0074

    Un atacante podría alojar un sitio web que contiene una aplicación de Silverlight especialmente diseñado que permita aprovechar esta vulnerabilidad y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y los sitios web que aceptan o alojan contenido proporcionado por el usuario o la publicidad. Estos sitios web podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. En todos los casos, sin embargo, el atacante no podría obligar a los usuarios a visitar estos sitios web. En su lugar, el atacante tendría que convencer a los usuarios a visitar el sitio web, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o un mensaje instantáneo que lleve a los usuarios al sitio web del atacante. También podría ser posible visualizar contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido Web a los sistemas afectados.

  4. Solución

  5. Referencias

     

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)
  • Edgar Israel Rubi Chavez (erubi at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT