int(1742)

Boletines de Vulnerabilidades

Vulnerabilidad en el servicio de Telefonía de Microsoft Windows

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Principiante
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema
Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 Itanium-based Systems
Microsoft Windows Server 2003 SP1 Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98
Microsoft Windows 98 Second Edition (SE)
Microsoft Windows Millennium Edition (ME)

Descripción
Se ha descubierto una vulnerabilidad en el servicio de Telefonía de múltiples versiones del sistema operativo Microsoft Windows. La vulnerabilidad reside en la API del servicio de Telefonía (TAPI), concretamente en el proceso que se utiliza para validar datos y permisos.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario o a un atacante local obtener un aumento de privilegios.

Solución


Actualización de software

Microsoft
Microsoft Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=C7417EA1-7AFC-4A55-95DC-E814975B8AE6
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=B049004B-AF28-41D7-8AE6-7A3DB15211F1
Microsoft Windows XP Professional x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=705545D0-B53B-4E17-8B62-A4C652697C61
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=0097FE14-1D6B-4423-A437-DEA1ED665A07
Microsoft Windows Server 2003 Itanium-based Systems
Microsoft Windows Server 2003 SP1 Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=BC16BEAE-0BAD-490C-A80F-4BF81C360CA0
Microsoft Windows Server 2003 x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=0CEF9CC2-A7BD-42E0-81B1-EDC303DA8A40

Identificadores estándar
Propiedad Valor
CVE CAN-2005-0058
BID

Recursos adicionales
Microsoft Security Bulletin MS05-040
http://www.microsoft.com/technet/security/Bulletin/MS05-040.mspx

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2005-08-11
2.0 Exploit público disponible 2006-04-19

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT