Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha reportado de manera pública y nueve vulnerabilidades de las que se ha informado de manera privada en el software de Microsoft Office Server. La vulnerabilidad más grave podría permitir la ejecución remota de código en el contexto de una cuenta de servicio W3WP si un atacante envía contenido especialmente diseñado al servidor afectado.
Microsoft Windows Windows | Microsoft SharePoint Foundation 2010 Service Pack 1 (wss) | < | 2810067 |
Microsoft Windows Windows | Microsoft SharePoint Foundation 2010 Service Pack 2 (wss) | < | 2810067 |
Microsoft Windows Windows | Microsoft SharePoint Foundation 2013 | < | 2817315 |
Microsoft Windows Windows | Microsoft SharePoint Server 2010 Service Pack 1 (coreserver) | < | 2817393 |
Microsoft Windows Windows | Microsoft SharePoint Server 2010 Service Pack 1 (wosrv) | < | 2817372 |
Microsoft Windows Windows | Microsoft SharePoint Server 2010 Service Pack 2 (coreserver) | < | 2817393 |
Microsoft Windows Windows | Microsoft SharePoint Server 2010 Service Pack 2 (wosrv) | < | 2817393 |
Microsoft Windows Windows | Microsoft SharePoint Server 2013 (coreserverloc) | < | 2810083 |
Microsoft Windows Windows | Microsoft SharePoint Server 2013 (wacserver) | < | 2817305 |
Microsoft Windows Windows | Microsoft Windows SharePoint Services 2.0 | < | 2810061 |
Microsoft Windows Windows | Microsoft Windows SharePoint Services 3.0 Service Pack 3 (32-bit versions) | < | 2760420 |
Microsoft Windows Windows | Microsoft Windows SharePoint Services 3.0 Service Pack 3 (64-bit versions) | < | 2760420 |
Vulnerabilidad de denegación de servicio en SharePoint - CVE-2013-0081
Código de explotación inconsistente
Vulnerabilidad de daños en la memoria relacionada con Microsoft Office - CVE-2013-1315
Código de explotación inconsistente
Vulnerabilidad de deshabilitación de MAC - CVE-2013-1330
Código de explotación consistente
Vulnerabilidad de XSS en SharePoint - CVE-2013-3179
Código de explotación inconsistente
Vulnerabilidad de XSS en POST - CVE-2013-3180
Código de explotación inconsistente
Vulnerabilidad de denegación de servicio en SharePoint - CVE-2013-0081
Existe una vulnerabilidad de negación de servicio en Microsoft SharePoint Server. Un atacante que aprovechara esta vulnerabilidad podría provocar que dejara de responder el proceso W3WP de una versión afectada de SharePoint Server, por o que el sitio de SharePoint, y cualquier otro sitio que se ejecute en ese proceso, deje de estar disponible hasta que se reinicie el proceso.
Vulnerabilidad de daños en la memoria relacionada con Microsoft Office - CVE-2013-1315
Vulnerabilidad de deshabilitación de MAC - CVE-2013-1330
Vulnerabilidad de XSS en SharePoint - CVE-2013-3179
Vulnerabilidad de XSS en POST - CVE-2013-3180
Vulnerabilidad de denegación de servicio en SharePoint - CVE-2013-0081
Un atacante que aprovechara esta vulnerabilidad podría provocar que terminara el proceso W3WP de una versión afectada de SharePoint Server, por lo que el sitio de SharePoint, y cualquier otro sitio que se ejecute en ese proceso, deje de estar disponible hasta que se reinicie el proceso.
Vulnerabilidad de daños en la memoria relacionada con Microsoft Office - CVE-2013-1315
Un atacante que aprovechara esta vulnerabilidad podría provocar que se ejecutara código arbitrario en el contexto de seguridad del usuario actual. Si el usuario actual inicia sesión con privilegios de administrador, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios del usuario. Los usuarios cuyas cuentas estén configuradas con menos privilegios en el sistema correrían un riesgo menor que los que cuenten con privilegios de administrador.
Vulnerabilidad de deshabilitación de MAC - CVE-2013-1330
Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario en el contexto de la cuenta de servicio W3WP.
Vulnerabilidad de XSS en SharePoint - CVE-2013-3179
Un atacante que aprovechara esta vulnerabilidad podría leer el contenido para el que no tuviera autorización, usar la identidad de la víctima para realizar acciones en el sitio de SharePoint en nombre de la víctima, como cambiar los permisos y eliminar contenido, e insertar contenido malintencionado en el explorador de la víctima.
Vulnerabilidad de XSS en POST - CVE-2013-3180
Un atacante que aprovechara esta vulnerabilidad podría leer el contenido para el que no tuviera autorización, usar la identidad de la víctima para realizar acciones en el sitio de SharePoint en nombre de la víctima, como cambiar los permisos y eliminar contenido, e insertar contenido malintencionado en el explorador de la víctima.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT