Esta actualización de seguridad resuelve siete vulnerabilidades reportadas de manera privada en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visita contenido compartido que incorpora archivos con fuentes OpenType o TrueType. Un atacante que aproveche esta vulnerabilidad podría obtener completamente el control de un sistema afectado.
Microsoft Windows Windows | Windows 7 for 32-bit Systems SP1 | < | 2884256 |
Microsoft Windows Windows | Windows 7 for x64-based Systems SP1 | < | 2884256 |
Microsoft Windows Windows | Windows 8 for 32-bit Systems | < | 2884256 |
Microsoft Windows Windows | Windows 8 for 64-bit Systems | < | 2884256 |
Microsoft Windows Windows | Windows Server 2008 R2 for Itanium-based Systems SP1 | < | 2884256 |
Microsoft Windows Windows | Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | < | 2884256 |
Microsoft Windows Windows | Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | < | 2884256 |
Microsoft Windows Windows | Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) | < | 2884256 |
Microsoft Windows Windows | Windows Server 2008 for Itanium-based Systems SP2 | < | 2884256 |
Microsoft Windows Windows | Windows Server 2012 | < | 2884256 |
Microsoft Windows Windows | Windows Server 2012 (Server Core installation) | < | 2883150 |
Microsoft Windows Windows | Windows Vista Service Pack 2 | < | 2884256 |
Microsoft Windows Windows | Windows Vista x64 Edition SP2 | < | 2884256 |
Microsoft Windows Windows | Windows_Server 2003 Service Pack 2 | < | 2884256 |
Microsoft Windows Windows | Windows_Server 2003 with SP2 for Itanium-based Systems | < | 2884256 |
Microsoft Windows Windows | Windows_Server 2008 R2 for x64-based Systems SP1 | < | 2884256 |
Microsoft Windows Windows | Windows_Server 2008 for 32-bit Systems SP2 | < | 2884256 |
Microsoft Windows Windows | Windows_Server 2008 for x64-based Systems SP2 | < | 2884256 |
Microsoft Windows Windows | Windows_XP Professional x64 Edition Service Pack 2 | < | 2884256 |
Microsoft Windows Windows | Windows_XP Service Pack 3 | < | 2884256 |
Vulnerabilidad de análisis de fuentes OpenType - CVE-2013-3128
Código de explotación consistente.
Vulnerabilidad de Windows USB Descriptor - CVE-2013-3200
Código de explotación funcional improbable
Vulnerabilidad Win32k Use After Free - CVE-2.013-3879
Código de explotación funcional improbable
Vulnerabilidad en App Container de elevación de privilegios - CVE-2013-3880
Código de explotación consistente.
Vulnerabilidad de Win32k NULL Page - CVE-desde 2013 hasta 3881
Código de explotación consistente.
Vulnerabilidad en el subsistema de gráficos DirectX Kernel Doble Fetch - CVE-2013-3888
Código de explotación funcional improbable
Vulnerabilidad en fuente de la tabla TrueType CMAP - CVE-2013-3894
Código de explotación funcional improbable
Vulnerabilidad de análisis de fuentes OpenType - CVE-2013-3128
Existe una vulnerabilidad de ejecución remota de código en la manera en que Windows analiza código especialmente diseñado de la fuente de Open Type (OTF). Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas; ver, cambira, o eliminar datos; o crear nuevas cuentas con todos los privilegios.
Vulnerabilidad de Windows USB Descriptor - CVE-2013-3200
Existe una vulnerabilidad de elevación de privilegios debido a la manera incorrecta que se manejan los controladores de Windows USB. Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas; ver, cambira, o eliminar datos; o crear nuevas cuentas con todos los privilegios.
Vulnerabilidad Win32k Use After Free - CVE-2.013-3879
Existe una vulnerabilidad de elevación de privilegios debido a la manera incorrecta que se manejan los controladores en el modo kernel de Windows. Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas; ver, cambira, o eliminar datos; o crear nuevas cuentas con todos los privilegios.
Vulnerabilidad en App Container de elevación de privilegios - CVE-2013-3880
Existe una vulnerabilidad de elevación de privilegios en Windows Container
Vulnerabilidad de Win32k NULL Page - CVE-desde 2013 hasta 3881
Existe una vulnerabilidad de elevación de privilegios debido a la manera incorrecta que se manejan los objetos en la memoria en el modo kernel de Windows. Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas; ver, cambira, o eliminar datos; o crear nuevas cuentas con todos los privilegios.
Vulnerabilidad en el subsistema de gráficos DirectX Kernel Doble Fetch - CVE-2013-3888
Existe una vulnerabilidad de elevación de privilegios debido a la manera incorrecta que se manejan los gráficos del subsistema (dxgkrnl.sys) en el kernel de Microsoft DirectX. Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas; ver, cambira, o eliminar datos; o crear nuevas cuentas con todos los privilegios.
Vulnerabilidad en fuente de la tabla TrueType CMAP - CVE-2013-3894
Existe una vulnerabilidad de ejecución remota de código en la manera en que Windows analiza código especialmente diseñado de la fuente TrueType (TTF). Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas; ver, cambira, o eliminar datos; o crear nuevas cuentas con todos los privilegios.
Vulnerabilidad de análisis de fuentes OpenType - CVE-2013-3128
Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas; ver, cambira, o eliminar datos; o crear nuevas cuentas con todos los privilegios.
Vulnerabilidad de Windows USB Descriptor - CVE-2013-3200
Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas; ver, cambira, o eliminar datos; o crear nuevas cuentas con todos los privilegios.
Vulnerabilidad Win32k Use After Free - CVE-2.013-3879
Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas; ver, cambira, o eliminar datos; o crear nuevas cuentas con todos los privilegios.
Vulnerabilidad en App Container de elevación de privilegios - CVE-2013-3880
Un atacante que aproveche esta vulnerabilidad podría revelar información sin tener un App Container en el sistema local. Tenga en cuenta que esta vulnerabilidad no permitiría a los atacantes ejecutar código o elevar directamente sus privilegios, pero podría servir para obtener información que podría usarse para tratar de sacar más provecho del sistema afectado.
Vulnerabilidad de Win32k NULL Page - CVE-desde 2013 hasta 3881
Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas; ver, cambira, o eliminar datos; o crear nuevas cuentas con todos los privilegios.
Vulnerabilidad en el subsistema de gráficos DirectX Kernel Doble Fetch - CVE-2013-3888
Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas; ver, cambira, o eliminar datos; o crear nuevas cuentas con todos los privilegios.
Vulnerabilidad en fuente de la tabla TrueType CMAP - CVE-2013-3894
Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas; ver, cambira, o eliminar datos; o crear nuevas cuentas con todos los privilegios.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT