int(2618)

Boletines de Vulnerabilidades


Desbordamientos de búfer en Winsock API y DNS Client Service de Microsoft Windows

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64
Microsoft Windows Server 2003
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003 Itanium
Microsoft Windows Server 2003 SP1 Itanium
Microsoft Windows Server 2003 x64

Descripción

Se han descubierto dos vulnerabilidades de tipo desbordamiento de búfer en varias versiones de Microsoft Windows. Las vulnerabilidades son descritas a continuación:

- CVE-2006-3440: La vulnerabilidad reside en un desbordamiento de búfer en Winsock API. Un atacante remoto podría ejecutar código arbitrario. También conocida como "Vulnerabilidad Winsock Hostname".

- CVE-2006-3441: La vulnerabilidad reside en un desbordamiento de búfer en el servicio cliente DNS. Un atacante remoto podría ejecutar código arbitrario mediante una petición especialmente diseñada.

Solución



Actualización de software

Microsoft
Microsoft Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=144408a7-3011-458a-bc79-49b1658aa25d
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=c332b95a-2956-406b-9e06-07c5e96b02e3
Microsoft Windows XP Professional x64
http://www.microsoft.com/downloads/details.aspx?FamilyId=1be5310b-1995-4ef9-a462-04da9833f50b
Microsoft Windows Server 2003
Microsoft Windows Server 2003 SP1
http://www.microsoft.com/downloads/details.aspx?FamilyId=6d027e72-1f94-44de-95f9-f52000a991cc
Microsoft Windows Server 2003 Itanium
Microsoft Windows Server 2003 SP1 Itanium
http://www.microsoft.com/downloads/details.aspx?FamilyId=18477016-0b70-4c86-90c7-3535d365b7c1
Microsoft Windows Server 2003 x64
http://www.microsoft.com/downloads/details.aspx?FamilyId=583b741c-47e2-429d-9d50-44670bb2f452

Identificadores estándar

Propiedad Valor
CVE CVE-2006-3440
CVE-2006-3441
BID

Recursos adicionales

Microsoft Security Bulletin (MS06-041)
http://www.microsoft.com/technet/security/bulletin/ms06-041.mspx

US-CERT - Technical Cyber Security Alert (TA06-220A)
http://www.us-cert.gov/cas/techalerts/TA06-220A.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2006-08-09

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT