int(5325)

Boletines de Vulnerabilidades


Escalada de privilegios en OpenType Compact Font Format (CFF) de Microsoft

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Microsoft
Software afectado Windows 2000 SP4
Windows XP SP2 y SP3
Windows Server 2003 SP2
Windows Vista SP1 y SP2
Windows Server 2008 SP2 y R2
Windows 7

Descripción

Se ha descubierto una vulnerabilidad en el driver de Windows OpenType Compact Font Format (CFF).

Un atacante local podría ejecutar código arbitrario mediante métodos no especificados, relativos a una validación errónea al copiar datos desde el modo usuario al modo kernel.

Solución



Actualización de software

Microsoft (MS10-037)
Microsoft Windows 2000 SP4 / patch Windows2000-KB980218-x86-ENU
Windows XP SP2 y SP3 / patch WindowsXP-KB980218-x86-ENU
Windows XP Professional x64 SP2 / patch WindowsServer2003.WindowsXP-KB980218-x64-ENU
Windows Server 2003 SP2 / patch WindowsServer2003-KB980218-x86-ENU
Windows Server 2003 x64 SP2 / patch WindowsServer2003.WindowsXP-KB980218-x64-ENU
Windows Server 2003 SP2 Itanium-based / patch WindowsServer2003-KB980218-ia64-ENU
Windows Vista SP1 y Windows Vista SP2 / patch Windows6.0-KB980218-x86
Windows Vista x64 SP1 y SP2 / patch Windows6.0-KB980218-x64
Windows Server 2008 32-bit / patch Windows6.0-KB980218-x86
Windows Server 2008 y SP2 x64/ patch Windows6.0-KB980218-x64
Windows Server 2008 y SP2 Itanium-based / patch Windows6.0-KB980218-ia64
Windows 7 32-bit / patch Windows6.1-KB980218-x86
Windows 7 x64 / patch Windows6.1-KB980218-x64
Windows Server 2008 R2 x64 / patch Windows6.1-KB980218-x64
Windows Server 2008 R2 Itanium-based / Windows6.1-KB980218-ia64
http://www.microsoft.com/downloads

Identificadores estándar

Propiedad Valor
CVE CVE-2010-0819
BID

Recursos adicionales

Microsoft Security Bulletin (MS10-037)
http://www.microsoft.com/technet/security/bulletin/MS10-037.mspx

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2010-06-09

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT