int(5634)

Boletines de Vulnerabilidades


Advertencia de seguridad en Microsoft Windows

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Microsoft
Software afectado Windows XP SP3
Windows XP Professional x64 Edition SP2
Windows Server 2003 SP2
Windows Server 2003 x64 Edition SP2
Windows Server 2003 SP2 para sistemas Itanium-based
Windows Vista SP2 y Windows Vista SP2
Windows Vista x64 Edition SP1 y Windows Vista x64 Edition SP2
Windows Server 2008 32-bit y Windows Server 2008 32-bit SP2
Windows Server 2008 para x64 y Windows Server 2008 for par x64 SP2

Descripción

CVE-2010-3970: Se ha descubierto una vulnerabilidad de desbordamiento de buffér de la pila en Microsoft Windows. La vulnerabilidad reside la función "CreateSizedDIBSECTION" en el motor de interprete de gráficos de Microsoft en Windows XP SP3, Server 2003 SP2, Vista SP1 and SP2, y Server 2008 SP2.
Un atacante remoto podría ejecutar código arbitrario mediante un documento Office especialmente manipulado que contenga una miniatura en bitmap con un valor " biClrUsed" negativo.

Solución



Actualización de software

La actualización de seguridad se hará pública tan pronto como sea puesta a disposición del fabricante. La solución temporal consiste en: modificar la Lista de Control de Acceso (ACL) en "shimgvw”.

Actualización de software
Microsoft (MS11-006)
Ver tabla de actualizaciones en:
http://www.microsoft.com/technet/security/Bulletin/MS11-006.mspx

Identificadores estándar

Propiedad Valor
CVE CVE-2010-3970
BID

Recursos adicionales

Microsoft Security Advisory (2490606)
http://www.microsoft.com/technet/security/advisory/2490606.mspx

Microsoft Security Bulletin (MS11-006)
http://www.microsoft.com/technet/security/Bulletin/MS11-006.mspx

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2011-01-11
1.1 Aviso actualizado por Microsoft (MS11-006) 2011-02-09

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT