int(803)

Boletines de Vulnerabilidades

Vulnerabilidad en el Centro de Ayuda y Soporte Técnico de Windows permite ejecución remota de código

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricant afectat Microsoft
Software afectado Microsoft Windows XP
Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition

Descripción
Se ha descubierto una vulnerabilidad en Microsoft Windows XP, XP Service Pack 1, XP 64-Bit Edition Service Pack 1, XP 64-Bit Edition Version 2003, Server 2003 y Server 2003 64-Bit Edition. La vulnerabilidad reside en la forma en que el Centro de Ayuda y Soporte Técnico maneja las URL HCP.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto la ejecución remota de código mediante la inclusión de una URL HCP especialmente diseñada en un e-mail o en una página Web que la víctima debe visitar.

Solución


Actualización de software

Microsoft
Microsoft Windows XP
Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=563F65A3-D793-47B4-A607-948CAA5B3454
Microsoft Windows XP 64-Bit Edition Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=EB954F03-EFC6-45FA-B87C-E29135199DC9
Microsoft Windows XP 64-Bit Edition Version 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=EB954F03-EFC6-45FA-B87C-E29135199DC9
Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=50AD42D7-81BD-4F96-9AD1-0E67310551DF
Microsoft Windows Server 2003 64-Bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=E05DE6AB-FB0D-4A0E-B34E-BB69B9D6BA74

Identificadores estándar
Propiedad Valor
CVE CAN-2004-0199
BID

Recursos adicionales
Microsoft Security Bulletin MS04-015
http://www.microsoft.com/technet/security/Bulletin/MS04-015.mspx

Histórico de versiones
Versión Comentario Data
1.0 Aviso emitido 2004-05-12
Ministerio de Defensa
CNI
CCN
CCN-CERT