Boletines de Vulnerabilidades |
Ejecución remota de código en CDO de Microsoft Windows y Exchange |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Principiante |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | Microsoft |
| Software afectado |
Microsoft Windows 2000 SP4 Microsoft Windows XP SP1 Microsoft Windows XP SP2 Microsoft Windows XP Professional x64 Microsoft Windows Server 2003 Microsoft Windows Server 2003 SP1 Microsoft Windows Server 2003 Itanium Microsoft Windows Server 2003 SP1 Itanium Microsoft Windows Server 2003 x64 Microsoft Exchange 2000 Server SP3 Exchange 2000 Post-SP3 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad de desbordamiento de búfer en varias versiones de Microsoft Windows y Exchange Server. La vulnerabilidad reside en que el componente COM CDO (Collaboration Data Objects) procesa de forma insegura el contenido de los correos electrónicos. Un atacante remoto podría ejecutar código arbitrario en el sistema vulnerable mediante el envío a través de SMTP de un correo electrónico especialmente diseñado. |
|
Solución |
|
|
Actualización de software Microsoft Microsoft Windows 2000 SP4 http://www.microsoft.com/downloads/details.aspx?FamilyId=AE0BA6D7-37AF-46E8-9E25-AB63883FA944 Microsoft Windows XP SP1, Microsoft Windows XP SP2 http://www.microsoft.com/downloads/details.aspx?FamilyId=E0DAF2D1-656C-4580-94C1-8AB009B4AD4F Microsoft Windows XP Professional x64 http://www.microsoft.com/downloads/details.aspx?FamilyId=D389EF4D-583D-41C0-9081-844D348F3817 Microsoft Windows Server 2003, Microsoft Windows Server 2003 SP1 http://www.microsoft.com/downloads/details.aspx?FamilyId=1BC06799-B9F5-416F-8965-DC0E07A24A29 Microsoft Windows Server 2003 Itanium, Microsoft Windows Server 2003 SP1 Itanium http://www.microsoft.com/downloads/details.aspx?FamilyId=956FFD90-60AF-4296-8765-F0A17A77DB77 Microsoft Windows Server 2003 x64 http://www.microsoft.com/downloads/details.aspx?FamilyId=5504C410-CDCB-4826-B002-DBA0E3A402A4 Microsoft Exchange 2000 Server SP3 Exchange 2000 Post-SP3 http://www.microsoft.com/downloads/details.aspx?FamilyId=60FD0DDC-04B7-4879-930B-53375823CD51 |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CAN-2005-1987 |
| BID | |
Recursos adicionales |
|
|
Microsoft Security Bulletin (MS05-048) http://www.microsoft.com/technet/security/Bulletin/MS05-048.mspx |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2005-10-13 |
| 1.1 | Exploit público disponible. | 2005-10-14 |