1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2013-083 Vulnerabilidades en .NET Framework podrían permitir la ejecución remota de código.

Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Microsoft .NET Framework. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visita un sitio web que incluye un archivo de fuentes OpenType (OTF) especialmente diseñado con un explorador que pueda crear instancias de aplicaciones XBAP.

  • Fecha de Liberación: 8-Oct-2013
  • Ultima Revisión: 10-Abr-2014
  • Fuente:
  • CVE ID: CVE-2013-3128 CVE-2013-3860 CVE-2013-3861
  • Riesgo Crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Microsoft Windows Windows Windows 7 for 32-bit Systems SP1, Microsoft .NET Framework 3.5.1 < 2863240
Microsoft Windows Windows Windows 7 for 32-bit Systems SP1, Microsoft .NET Framework 4.0 < 2858302
Microsoft Windows Windows Windows 7 for 32-bit Systems SP1, Microsoft .NET Framework 4.5 < 2861208
Microsoft Windows Windows Windows 7 for x64-based Systems SP1, Microsoft .NET Framework 4.5 < 2861208
Microsoft Windows Windows Windows 7 for x64-based Systems,Microsoft .NET Framework 3.5.1 < 2863240
Microsoft Windows Windows Windows 7 for x64-based Systems,Microsoft .NET Framework 4.0 < 2858302
Microsoft Windows Windows Windows 8 for 32-bit Systems, Microsoft .NET Framework 3.5 < 2863243
Microsoft Windows Windows Windows 8 for 32-bit Systems, Microsoft .NET Framework 4.5 < 2861702
Microsoft Windows Windows Windows 8 for 64-bit Systems, Microsoft .NET Framework 3.5 < 2861194
Microsoft Windows Windows Windows 8 for 64-bit Systems, Microsoft .NET Framework 4.5 < 2861702
Microsoft Windows Windows Windows Server 2003 SP2, Microsoft .NET Framework 2.0 SP2 < 2863239
Microsoft Windows Windows Windows Server 2003 SP2, Microsoft .NET Framework 3.5 SP1 < 2858302
Microsoft Windows Windows Windows Server 2003 SP2, Microsoft .NET Framework 4.0 < 2858302
Microsoft Windows Windows Windows Server 2003 SP2,Microsoft .NET Framework 3.0 SP2 < 2861189
Microsoft Windows Windows Windows Server 2003 x64 Edition SP2, Microsoft .NET Framework 2.0 SP2 < 2863239
Microsoft Windows Windows Windows Server 2003 x64 Edition SP2, Microsoft .NET Framework 3.5 SP1 < 2861697
Microsoft Windows Windows Windows Server 2003 x64 Edition SP2, Microsoft .NET Framework 4.0 < 2861188
Microsoft Windows Windows Windows Server 2003 x64 Edition SP2,Microsoft .NET Framework 3.0 SP2 < 2863239
Microsoft Windows Windows Windows Server 2008 R2 for Itanium-based Systems, Microsoft .NET Framework 3.5.1 < 2863240
Microsoft Windows Windows Windows Server 2008 R2 for Itanium-based Systems, Microsoft .NET Framework 4.0 < 2858302
Microsoft Windows Windows Windows Server 2008 R2 for x64-based Systems SP1, Microsoft .NET Framework 3.5.1 < 2863240
Microsoft Windows Windows Windows Server 2008 R2 for x64-based Systems SP1, Microsoft .NET Framework 4.0 < 2858302
Microsoft Windows Windows Windows Server 2008 R2 for x64-based Systems SP1, Microsoft .NET Framework 4.5 < 2861208
Microsoft Windows Windows Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation), Microsoft .NET Framework 3.5.1 < 2863240
Microsoft Windows Windows Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation), Microsoft .NET Framework 4 < 2858302
Microsoft Windows Windows Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation), Microsoft .NET Framework 4.5 < 2861208
Microsoft Windows Windows Windows Server 2008 for 32-bit Systems SP2, Microsoft .NET Framework 2.0 SP2 < 2863253
Microsoft Windows Windows Windows Server 2008 for 32-bit Systems SP2, Microsoft .NET Framework 3.5 SP1 < 2861697
Microsoft Windows Windows Windows Server 2008 for 32-bit Systems SP2, Microsoft .NET Framework 4.5 < 2861208
Microsoft Windows Windows Windows Server 2008 for 32-bit Systems SP2,Microsoft .NET Framework 4.0 < 2861188
Microsoft Windows Windows Windows Server 2008 for Itanium-based Systems SP2, Microsoft .NET Framework 2.0 SP2 < 2863239
Microsoft Windows Windows Windows Server 2008 for Itanium-based Systems SP2, Microsoft .NET Framework 4.0 < 2858302
Microsoft Windows Windows Windows Server 2008 for Itanium-based Systems, Microsoft .NET Framework 3.5 SP1 < 2861697
Microsoft Windows Windows Windows Server 2008 for Itanium-based Systems, Microsoft .NET Framework 4.0 < 2858302
Microsoft Windows Windows Windows Server 2008 for x64-based Systems SP2, Microsoft .NET Framework 2.0 SP2 < 2863253
Microsoft Windows Windows Windows Server 2008 for x64-based Systems SP2, Microsoft .NET Framework 3.0 SP2 < 2861190
Microsoft Windows Windows Windows Server 2008 for x64-based Systems SP2, Microsoft .NET Framework 3.5 SP1 < 2861697
Microsoft Windows Windows Windows Server 2008 for x64-based Systems SP2, Microsoft .NET Framework 4.5 < 2861208
Microsoft Windows Windows Windows Server 2008 for x64-based Systems, Microsoft .NET Framework 3.5 SP1 < 2861697
Microsoft Windows Windows Windows Server 2008 for x64-based Systems, Microsoft .NET Framework 4.0 < 2861188
Microsoft Windows Windows Windows Server 2012 (Server Core installation), Microsoft .NET Framework 3.5 < 2863243
Microsoft Windows Windows Windows Server 2012 (Server Core installation), Microsoft .NET Framework 4.5 < 2861702
Microsoft Windows Windows Windows Server 2012, Microsoft .NET Framework 3.5 < 2863243
Microsoft Windows Windows Windows Server 2012, Microsoft .NET Framework 4.5 < 2861702
Microsoft Windows Windows Windows Vista SP2, Microsoft .NET Framework 2.0 SP2 < 2863253
Microsoft Windows Windows Windows Vista SP2, Microsoft .NET Framework 3.0 SP2 < 2861190
Microsoft Windows Windows Windows Vista SP2, Microsoft .NET Framework 3.5 SP1 < 2861697
Microsoft Windows Windows Windows Vista SP2, Microsoft .NET Framework 4.0 < 2861188
Microsoft Windows Windows Windows Vista SP2, Microsoft .NET Framework 4.5 < 2861193
Microsoft Windows Windows Windows Vista x64 Edition SP2, Microsoft .NET Framework 2.0 SP2 < 2863253
Microsoft Windows Windows Windows Vista x64 Edition SP2, Microsoft .NET Framework 3.0 SP2 < 2861190
Microsoft Windows Windows Windows Vista x64 Edition SP2, Microsoft .NET Framework 3.5 SP1 < 2861697
Microsoft Windows Windows Windows Vista x64 Edition SP2, Microsoft .NET Framework 4.0 < 2861188
Microsoft Windows Windows Windows Vista x64 Edition SP2, Microsoft .NET Framework 4.5 < 2861208
Microsoft Windows Windows Windows XP SP 3, Microsoft .NET Framework 3.5 SP1 < 2861697
Microsoft Windows Windows Windows XP SP3, Microsoft .NET Framework 4.0 < 2861188
Microsoft Windows Windows Windows XP SP3,Microsoft .NET Framework 2.0 SP2 < 2863239
Microsoft Windows Windows Windows XP SP3,Microsoft .NET Framework 3.0 SP2 < 2861189

  1. Índice de Explotabilidad

    Vulnerabilidad de análisis de fuentes OpenType - CVE-2013-3128

    Código de explotación funcional improbable

    Vulnerabilidad de expansión de entidades - CVE-2013-3860

    Código de explotación inconsistente

    Vulnerabilidad de análisis de JSON - CVE-2013-3861

    Código de explotación inconsistente

  2. Descripción

    Vulnerabilidad de análisis de fuentes OpenType - CVE-2013-3128

    Existe una vulnerabilidad de ejecución remota de código en la manera en que los componentes afectados tratan las fuentes especialmente diseñadas de OpenType (OTF). La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un sitio web que hospede una aplicación del explorador XAML (XBAP) con un archivo OTF especialmente diseñado. Un atacante que aproveche esta vulnerabilidad podría obtener el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios.

    Vulnerabilidad de expansión de entidades - CVE-2013-3860

    Existe una vulnerabilidad de denegación de servicio en .NET Framework que podría permitir a un atacante provocar que un servidor o una aplicación se bloqueara o dejara de responder.

    Vulnerabilidad de análisis de JSON - CVE-2013-3861

    Existe una vulnerabilidad de denegación de servicio en .NET Framework que podría permitir a un atacante provocar que un servidor o una aplicación se bloqueara o dejara de responder.

  3. Impacto

    Vulnerabilidad de análisis de fuentes OpenType - CVE-2013-3128

    Un atacante que aprovechara la vulnerabilidad podría provocar que una aplicación o un servidor se bloqueara y dejara de responder hasta que un administrador reiniciara la aplicación o el servidor.

    Vulnerabilidad de expansión de entidades - CVE-2013-3860

    Un atacante que aprovechara esta vulnerabilidad podría provocar que una aplicación o un servidor se bloqueara y dejara de responder hasta que un administrador reiniciara la aplicación o el servidor.

    Vulnerabilidad de análisis de JSON - CVE-2013-3861

    Un atacante que aprovechara esta vulnerabilidad podría provocar que una aplicación o un servidor se bloqueara y dejara de responder hasta que un administrador reiniciara la aplicación o el servidor.

  4. Solución

  5. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)
  • Edgar Israel Rubi Chavez (erubi at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT