int(1693)

Boletines de Vulnerabilidades


Desbordamiento de búfer en Microsoft Color Management Module

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Principiante
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 Itanium-based Systems
Microsoft Windows Server 2003 SP1 Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition

Descripción

Se ha descubierto una vulnerabilidad de desbordamiento de búfer en Microsoft Windows. La vulnerabilidad reside en Microsoft Color Management Module, concretamente en la validación de la etiqueta de formato de un perfil ICC.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario mediante un archivo de imagen especialmente diseñado que la víctima debe abrir. El código se ejecutaría con los privilegios del usuario que intente visualizar el archivo malicioso.

Solución



Actualización de software

Microsoft
Microsoft Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=FA8D18EC-EBF4-4C49-AFA0-F6A215B3624F
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=C5BCF2DB-ADCE-42BD-ABEE-1380F258158B
Microsoft Windows XP Professional x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=C54BB4BA-FB9B-4615-9BBE-EF6D3885467D
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=44275ECB-2E79-4CE8-8269-E81219CE8F6C
Microsoft Windows Server 2003 Itanium-based Systems
Microsoft Windows Server 2003 SP1 Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=97A903BC-90E1-4FDE-9487-1816C4A647BB
Microsoft Windows Server 2003 x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=52167B42-8790-4965-9F26-DC5EDC2E84F8

Identificadores estándar

Propiedad Valor
CVE CAN-2005-1219
BID

Recursos adicionales

Microsoft Security Bulletin MS05-036
http://www.microsoft.com/technet/security/Bulletin/MS05-036.mspx

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2005-07-13
2.0 Exploit público disponible 2005-07-22

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT