Vulnerability Bulletins

int(5212)

Vulnerability Bulletins

Múltiples vulnerabilidades en Microsoft Authenticode Signature Verification
Vulnerability classification
Property	Value
Confidence level	Oficial
Impact	Obtener acceso
Dificulty	Experto
Required attacker level	Acceso remoto sin cuenta a un servicio estandar
System information
Property	Value
Affected manufacturer	Microsoft
Affected software	Microsoft Authenticode Signature Verification 5.1, 6.0 y 6.1
Description
Se han descubierto múltiples vulnerabilidades en Authenticode Signature Verification 5.1, 6.0 y 6.1 en Microsoft Windows. Las vulnerabilidades se describen a continuación: - CVE-2010-0486: La vulnerabilidad reside en un error que no valida adecuadamente los campos no especificados en un fichero de reducción criptográfico (file digest) en la función "WinVerifyTrust". Un atacante remoto asistido por el usuario podría ejecutar código arbitrario mediante un fichero PE o CAB especialmente diseñado con una firma supuestamente válida. - CVE-2010-0487: La vulnerabilidad reside en un error que no valida adecuadamente los campos no especificados en un fichero de reducción criptográfico (file digest) en la función "WinVerifyTrust". Un atacante remoto asistido por el usuario podría ejecutar código arbitrario mediante un fichero CAB especialmente diseñado.
Solution
Actualización de software Microsoft (MS10-019) Authenticode Signature Verification 5.1 Microsoft Windows 2000 SP4 / patch Windows2000-KB978601-x86-ENU Windows XP / patch Windowsxp-KB978601-x86-enu Windows XP x64 / patch WindowsServer2003.WindowsXP-KB978601-x64-enu Windows Server 2003 / patch Windowsserver2003-KB978601-x86-enu Windows Server 2003 x64 / patch Windowsserver2003.WindowsXP-KB978601-x64-enu Windows Server 2003 Itanium / patch Windowsserver2003-KB978601-ia64-enu Windows Vista / patch Windows6.0-KB978601-x86 Windows Vista x64 / patch Windows6.0-KB978601-x64 Windows Server 2008 / patch Windows6.0-KB978601-x86 Windows Server 2008 x64 / patch Windows6.0-KB978601-x64 Windows Server 2008 x64 R2 / patch Windows6.1-KB978037-x64 Windows Server 2008 Itanium / patch Windows6.0-KB978601-ia64 Windows 7 x86/ patch Windows6.1-KB978601-x86 Windows 7 x64 / patch Windows6.1-KB978601-x64 Cabinet File Viewer Shell Extension 5.1 Microsoft Windows 2000 SP4 / patch Windows2000-KB979309-x86-ENU Windows XP / patch Windowsxp-KB979309-x86-enu Windows XP x64 / patch WindowsServer2003.WindowsXP-KB979309-x64-enu Windows Server 2003 / patch Windowsserver2003-KB979309-x86-enu Windows Server 2003 x64 / patch Windowsserver2003.WindowsXP-KB979309-x64-enu Windows Server 2003 Itanium / patch Windowsserver2003-KB979309-ia64-enu Windows Vista / patch Windows6.0-KB979309-x86 Windows Vista x64 / patch Windows6.0-KB979309-x64 Windows Server 2008 / patch Windows6.0-KB979309-x86 Windows Server 2008 x64 / patch Windows6.0-KB979309-x64 Windows Server 2008 x64 R2 / patch Windows6.1-KB978037-x64 Windows Server 2008 Itanium / patch Windows6.0-KB979309-ia64 Windows 7 x86/ patch Windows6.1-KB979309-x86 Windows 7 x64 / patch Windows6.1-KB979309-x64 http://www.microsoft.com/downloads
Standar resources
Property	Value
CVE	CVE-2010-0486 CVE-2010-0487
BID	NULL
Other resources
Microsoft Security Bulletin (MS10-019) http://www.microsoft.com/technet/security/Bulletin/MS10-019.mspx

Version history
Version	Comments	Date
1.0	Aviso emitido	2010-04-15

Vulnerability Bulletins

Múltiples vulnerabilidades en Microsoft Authenticode Signature Verification

Vulnerability classification

System information

Description

Solution

Standar resources

Other resources

Version history