Miembros de
Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Microsoft Windows GDI+ |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Microsoft |
| Software afectado |
Microsoft Windows XP Microsoft Windows Server 2003 Microsoft Windows Vista Microsoft Windows Server 2008 Microsoft Internet Explorer 6 SP1 / Microsoft Windows 2000 SP4 Microsoft Digital Image Suite 2006 Microsoft SQL Server 2000 Reporting Services SP2 Microsoft SQL Server 2005 Microsoft Report Viewer 2005 SP1 Redistributable Package Microsoft Report Viewer 2008 Redistributable Package Microsoft Office XP Microsoft Office 2003 Microsoft Office 2007 Microsoft Office System Microsoft Visio 2002 Microsoft Office PowerPoint Viewer 2003 Microsoft Works 8 Microsoft Forefront Client Security 1.0 |
Descripción |
|
|
Se han descubierto múltiples vulnerabilidades en Microsoft Windows GDI+ usado en Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Microsoft Internet Explorer 6 SP1 en Microsoft Windows 2000 SP4, Microsoft Digital Image Suite 2006, Microsoft SQL Server 2000 Reporting Services SP2, Microsoft SQL Server 2005, Microsoft Report Viewer 2005 SP1 Redistributable Package, Microsoft Report Viewer 2008 Redistributable Package, Microsoft Office XP, Microsoft Office 2003, 2007 Microsoft Office System, Microsoft Visio 2002, Microsoft Office PowerPoint Viewer 2003, Microsoft Works 8, y Microsoft Forefront Client Security 1.0. Las vulnerabilidades son descritas a continuación: - CVE-2007-5348: Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer. La vulnerabilidad reside en un error en el subsistema "GDI+" al procesar tamaños de gradiente. Un atacante remoto podría ejecutar código arbitrario mediante un fichero especialmente diseñado. - CVE-2008-3012: La vulnerabilidad reside en un error en el subsistema "GDI+" al procesar ficheros EMF. Un atacante remoto podría corromper la memoria mediante un fichero EMF especialmente diseñado. - CVE-2008-3013: La vulnerabilidad reside en un error en el subsistema "GDI+" al procesar imágenes GIF. Un atacante remoto podría corromper la memoria mediante un fichero GIF especialmente diseñado. - CVE-2008-3014: Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer. La vulnerabilidad reside en un error en el subsistema "GDI+" al procesar ficheros WMF. Un atacante remoto podría ejecutar código arbitrario mediante un fichero WMF especialmente diseñado. - CVE-2008-3015: Se ha descubierto una vulnerabilidad de tipo desbordamiento de entero. La vulnerabilidad reside en un error en el subsistema "GDI+" al procesar ciertas cabeceras de imágenes BMP. Un atacante remoto podría ejecutar código arbitrario mediante un fichero BMP especialmente diseñado. El boletín de Microsoft MS08-052 sustituye a los MS07-050, MS04-028, MS08-019, MS08-051, MS08-044 y MS08-040. |
|
Solución |
|
|
Actualización de software Microsoft (MS08-052) Windows XP SP2 y SP3 / patch Windowsxp-kb938464-x86-enu Windows XP Professional x64 Edition / patch WindowsServer2003.WindowsXP-kb938464-x64-enu Windows XP Professional x64 Edition Service Pack 2 / patch WindowsServer2003.WindowsXP-kb938464-x64-enu Windows Server 2003 SP1 y SP2 / patch Windowsserver2003-kb938464-x86-enu Windows Server 2003 x64 Edition / patch Windowsserver2003.WindowsXP-KB938464-x64-enu Windows Server 2003 x64 Edition SP2 / patch Windowsserver2003.WindowsXP-KB938464-x64-enu Windows Server 2003 SP1 Itanium-based Systems / patch Windowsserver2003-KB938464-ia64-enu Windows Server 2003 SP2 Itanium-based Systems / patch Windowsserver2003-KB938464-ia64-enu Windows Vista / patch Windows6.0-KB938464-x86 Windows Vista Service Pack 1 / patch Windows6.0-KB938464-x86 Windows Vista x64 Edition / patch Windows6.0-KB938464-x64 Windows Vista x64 Edition SP1 / patch Windows6.0-KB938464-x64 Windows Server 2008 32-bit Systems / patch Windows6.0-KB938464-x86 Windows Server 2008 x64-based Systems / patch Windows6.0-KB938464-x64 Windows Server 2008 Itanium-based Systems / patch Windows6.0-KB938464-ia64 Microsoft .NET Framework 1.0 SP3 / patch NDP1.0sp3-KB947739-x86-enu Microsoft .NET Framework 1.1 SP1 / patch NDP1.1sp1-KB947742-x86 Microsoft .NET Framework 2.0 32-bit / patch NDP20-KB947746-x86 Microsoft .NET Framework 2.0 64-bit / patch NDP20-KB947746-x64 Microsoft .NET Framework 2.0 Itanium-based / patch NDP20-KB947746-ia64 Microsoft .NET Framework 2.0 SP1 32-bit / patch NDP20-KB947748-x86 Microsoft .NET Framework 2.0 SP1 64-bit / patch NDP20-KB947748-x64 Microsoft .NET Framework 2.0 SP1 Itanium-based / patch NDP20-KB947748-ia64 Office XP / patch OfficeXP-KB953405-fullfile-enu Office 2003 / patch Office2003-KB954478-fullfile-enu.exe Office System 2007 / patch Office2007-KB954326-fullfile-x86-glb Visio 2002 / patch Visio2002-KB954479-FullFile-enu PowerPoint 2003 Viewer / patch office2003-kb956500-fullfile-x86-en-us Microsoft Works 8 / patch KB956483_en-US Microsoft Digital Image Suite 2006 / patch DigitalImage2006-KB955992-x86 SQL Server 2000 Reporting Services Service Pack 2: SQL2000.RS-KB954609-v8.00.1062.00-eng /quiet SQL Server 2005 SP2 / GDR / patch SQLServer2005-KB954606-x86-enu SQL Server 2005 x64 Edition Service Pack 2 / GDR / patch SQLServer2005-KB954606-x64-enu SQL Server 2005 Itanium-based Systems Service Pack 2 / GDR / patch SQLServer2005-KB954606-ia64-enu SQL Server 2005 Service Pack 2 / QFE / patch SQLServer2005-KB953752-x86-enu SQL Server 2005 x64 Edition Service Pack 2 / QFE / patch SQLServer2005-KB953752-x64-enu SQL Server 2005 Itanium-based Systems Service Pack 2 / QFE / SQLServer2005-KB953752-ia64-enu Visual Studio .NET 2002 Service Pack 1 / patch VS7.0sp1-KB947736-x86 Visual Studio .NET 2003 Service Pack 1 / patch VS7.1sp1-KB947737-x86 Visual Studio 2005 Service Pack 1 / patch VS80sp1-KB947738-X86-intl Visual Studio 2008 / patch VS90-KB952241-x86 Report Viewer 2005 Service Pack 1 Redistributable Package / patch ReportViewer.exe Report Viewer 2008 Redistributable Package / patch ReportViewer.exe Visual FoxPro 8.0 SP1 / Windows 2000 SP4 / patch VFP8.0sp1-KB955368-X86-enu Visual FoxPro 9.0 Service Pack 1 / Windows 2000 Service Pack 4 / patch VFP9.0sp1-KB955369-X86-enu Visual FoxPro 9.0 Service Pack 2 / Windows 2000 Service Pack 4 / patch VFP9.0sp2-KB955370-X86-enu Microsoft Platform SDK Redistributable: GDI+ / patch WindowsXP-KB957096-x86-ENU.exe Microsoft Forefront Client Security 1.0 / patch fcsssapackage.exe http://www.microsoft.com/downloads Hewlett-Packard Ver tabla de actualizaciones en: http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01560892-1 http://www.itrc.hp.com/service/patch/mainPage.do |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2007-5348 CVE-2008-3012 CVE-2008-3013 CVE-2008-3014 CVE-2008-3015 |
| BID | 31019 |
Recursos adicionales |
|
|
Microsoft Security Bulletin (MS08-052) http://www.microsoft.com/technet/security/bulletin/ms08-052.mspx HP SECURITY BULLETIN (HPSBST02372) http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01560892-1 |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2008-09-10 |
| 1.1 | Aviso emitido por HP (HPSBST02372) | 2008-09-25 |