Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada y una vulnerabilidad en el. NET Framework. La más grave de las vulnerabilidades podría permitir la suplantación de identidad si una aplicación. NET recibe un archivo XML especialmente diseñado. Un atacante que consiga aprovechar la vulnerabilidad podría modificar el contenido de un archivo XML sin invalidar la firma del archivo y puede acceder a las funciones como si fuera un usuario autenticado. Esta actualización de seguridad se considera importante para Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 y Microsoft .NET Framework 4.5 en ediciones afectadas de Microsoft Windows. Para obtener más información, consulte la subsección Software afectado y no afectado, en esta sección. La actualización de seguridad corrige la vulnerabilidad al modificar la forma en la. NET Framework valida las firmas en archivos XML y modificar la forma en que crea necesidades de las políticas para la autenticación.
Microsoft Windows Microsoft Windows XP | Microsoft .NET Framework 2.0 Service Pack 1 | < | 2804577 |
Microsoft Windows Windows 7 | Microsoft .NET Framework 2.0 Service Pack 1 | < | 2804577 |
Microsoft Windows Windows 7 for 32-bit Systems Service Pack 1 | Microsoft .NET Framework 4 | < | 2804576 |
Microsoft Windows Windows 7 for 32-bit Systems Service Pack 1 | Microsoft .NET Framework 4.5 | < | 2804582 |
Microsoft Windows Windows 7 for x64-based Systems Service Pack 1 | Microsoft .NET Framework 3.5.1 | < | 2804579 |
Microsoft Windows Windows 7 for x64-based Systems Service Pack 1 | Microsoft .NET Framework 4 | < | 2804576 |
Microsoft Windows Windows 7 for x64-based Systems Service Pack 1 | Microsoft .NET Framework 4.5 | < | 2804582 |
Microsoft Windows Windows 8 | Microsoft .NET Framework 2.0 Service Pack 1 | < | 2804577 |
Microsoft Windows Windows 8 for 32-bit Systems | Microsoft .NET Framework 3.5.1 | < | 2804584 |
Microsoft Windows Windows 8 for 32-bit Systems | Microsoft .NET Framework 4.5 | < | 2804583 |
Microsoft Windows Windows 8 for 64-bit Systems | Microsoft .NET Framework 3.5.1 | < | 2804584 |
Microsoft Windows Windows 8 for 64-bit Systems | Microsoft .NET Framework 4.5 | < | 2804583 |
Microsoft Windows Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 1 | < | 2804577 |
Microsoft Windows Windows Server 2008 | Microsoft .NET Framework 2.0 Service Pack 1 | < | 2804577 |
Microsoft Windows Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 | Microsoft .NET Framework 3.5.1 | < | 2804584 |
Microsoft Windows Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 | Microsoft .NET Framework 4.5 | < | 2804582 |
Microsoft Windows Windows Server 2008 R2 for x64-based Systems Service Pack 1 | Microsoft .NET Framework 3.5.1 | < | 2804584 |
Microsoft Windows Windows Server 2012 | Microsoft .NET Framework 2.0 Service Pack 1 | < | 2804577 |
Microsoft Windows Windows Server 2012 | Microsoft .NET Framework 3.5.1 | < | 2804583 |
Microsoft Windows Windows Server 2012 | Microsoft .NET Framework 4.5 | < | 2804583 |
Microsoft Windows Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 1 | < | 2804580 |
Microsoft Windows Windows Vista Service Pack 2 | Microsoft .NET Framework 4 | < | 2804576 |
Microsoft Windows Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5 | < | 2804582 |
Microsoft Windows Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 1 | < | 2804580 |
Microsoft Windows Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4 | < | 2804576 |
Microsoft Windows Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5 | < | 2804582 |
Vulnerabilidad de suplantación de firma digital XML - CVE-2013-1336
Existe una vulnerabilidad en .NET Framework Microsoft que no valida correctamente la firma de un archivo XML especialmente diseñado. Un atacante que aproveche esta vulnerabilidad podría modificar el contenido de un archivo XML sin invalidar la firma asociada con el archivo.
Bypass de autenticación - CVE-2013-1337
Existe una vulnerabilidad en la función bypass de seguridad de .NET Framework Microsoft en la forma en la que crea incorrectamente los requisitos de la política de autenticación. Un atacante que aproveche esta vulnerabilidad podría tener acceso a las funciones en el WCF, como si estuviera legalizados, lo que permite a un atacante robar información o tomar cualquier acción en el contexto de un usuario autenticado.
Vulnerabilidad de suplantación de firma digital XML - CVE-2013-1336
Un atacante que aproveche esta vulnerabilidad podría modificar el contenido de un archivo XML sin invalidar la firma asociada con el archivo. Si una aplicación. NET se basa en la firma para ser no malicioso, el comportamiento de la aplicación podría llegar a ser impredecible.
Bypass de autenticación - CVE-2013-1337
Un atacante que aproveche esta vulnerabilidad podría obtener acceso a las funciones del WCF como si fueran un usuario autenticado. El contexto de la omisión de autenticación y el grado en que los sistemas se ven afectados por la vulnerabilidad es específica para cada aplicación personalizada. Un programa que valida las credenciales del usuario será mínimamente afectado por la vulnerabilidad al impedir los intentos de un atacante para robar información o realizar ninguna acción en el contexto del usuario autenticado. Sin embargo, los programas que no hacen estas comprobaciones de validación podría permitir a un atacante obtener información que está disponible sólo para usuarios autenticados o podría permitir a un atacante tomar medidas en nombre de un usuario autenticado.
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5.1
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT