Edición Nº 57/ 12 de Abril de 2007 Visite el Portal del Estado Peruano: www.peru.gob.pe Ô Ô Ô MS07-021 VULNERABILIDAD EN CSRSS DE WINDOWS (930178) MS07-020 VULNERABILIDAD EN MICROSOFT AGENT (932168) S07-019 VULNERABILIDAD EN UPNP (931261) Ô MS07-022 VULNERABILIDAD EN KERNEL DE WINDOWS (931784) Ô MS07-018 VULNERABILIDAD EN MCMS (925939) Ô CONGRESOS Y SEMINARIOS DE SEGURIDAD EN EL 2007 MS07-021 VULNERABILIDAD EN CSRSS DE WINDOWS (930178) CSRSS (Windows Client/Server Runtime Server Subsystem o Sistema de ClienteServidor en tiempo de ejecución de Windows), es el proceso responsable de las ventanas en modo de consola y de crear y eliminar subprocesos, además de encargarse de parte del entorno MS-DOS virtual de 16 bits. CSRSS atiende únicamente aquellas solicitudes realizadas por otros procesos en el mismo equipo local. * Software afectados por este parche: - Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 2 Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Professional x64 Edition SP2 Microsoft Windows Server 2003 Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows Server 2003 (Itanium) Microsoft Windows Server 2003 SP1 (Itanium) Microsoft Windows Server 2003 SP2 (Itanium) Microsoft Windows Server 2003 x64 Edition Microsoft Windows Server 2003 x64 Edition SP2 Windows Vista Windows Vista x64 Edition Se han detectado al menos tres vulnerabilidades en este servicio, que podrían permitir desde la elevación de privilegios, a la ejecución remota de código, pasando por un reinicio del sistema. Las actualizaciones pueden descargarse del siguiente enlace: www.microsoft.com/technet/security/bulletin/ms07-021.mspx El parche también está disponible a través de las actualizaciones automáticas de Windows Update. MAS INFORMACION: • Vsantivirus http://www.vsantivirus.com/vulms07-021.htm • Microsoft Security Bulletin MS07-021 www.microsoft.com/technet/security/bulletin/ms07-021.mspx • Microsoft Knowledge Base Article - 930178 http://support.microsoft.com/kb/930178/es o Microsoft o Hispasec o VSantivirus MS07-020 VULNERABILIDAD MICROSOFT AGENT (932168) EN Microsoft Agent es una tecnología de software que permite interactuar con el usuario haciendo que los procesos de aprendizaje y uso del sistema operativo resulten más sencillos y naturales (un ejemplo son los personajes animados de la búsqueda de Windows o la ayuda de aplicaciones como Office). problema se origina por la manera en que el servicio maneja las solicitudes HTTP, lo que puede provocar una corrupción de la memoria. Un ataque exitoso puede permitir la ejecución de código en el contexto del usuario local. * Software afectado por este parche: - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows XP Professional x64 Edition SP2 Se ha detectado una vulnerabilidad que puede producir la corrupción de la memoria del sistema, cuando se interpreta un recurso URL modificado maliciosamente. Un ataque exitoso puede permitir la ejecución remota de código, y que el atacante pueda tomar el control total del sistema. Las actualizaciones pueden descargarse del siguiente enlace: * Software afectado por este parche: El parche también está disponible a través de las actualizaciones automáticas de Windows Update. - Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 2 Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Professional x64 Edition SP2 Microsoft Windows Server 2003 Microsoft Windows Server 2003 Service Pack 1 Microsoft Server 2003 Service Pack 2 Microsoft Windows Server 2003 x64 Edition Service Pack 1 Microsoft Windows Server 2003 x64 Edition Service Pack 2 Microsoft Windows Server 2003 (Itanium) Microsoft Windows Server 2003 SP1 (Itanium) Microsoft Windows Server 2003 SP2 (Itanium) Las actualizaciones pueden descargarse del siguiente enlace: www.microsoft.com/technet/security/bulletin/ms07020.mspx El parche también está disponible a través de las actualizaciones automáticas de Windows Update. MAS INFORMACION: • MAS INFORMACION: • Microsoft Security Bulletin MS07-019 www.microsoft.com/technet/security/bulletin/ms07019.mspx • Microsoft Knowledge Base Article - 931261 http://support.microsoft.com/kb/931261/es MS07-022 VULNERABILIDAD KERNEL DE WINDOWS (931784) EN * Software afectado por este parche: - Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 2 Microsoft Windows Server 2003 Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows Server 2003 Service Pack 2 Las actualizaciones pueden descargarse del siguiente enlace: www.microsoft.com/technet/security/bulletin/ms07022.mspx Microsoft Security Bulletin MS07-020 www.microsoft.com/technet/security/bulletin/ms07020.mspx • www.microsoft.com/technet/security/bulletin/ms07019.mspx El parche también está disponible a través de las actualizaciones automáticas de Windows Update. Microsoft Knowledge Base Article http://support.microsoft.com/kb/932168/es MAS INFORMACION: S07-019 VULNERABILIDAD EN UPNP (931261) • Se ha detectado un problema de seguridad en el Universal Plug and Play (UPnP), que podría permitir a un usuario malintencionado poner en peligro un equipo basado en Windows y hacerse con el control del mismo. • UPnP es un servicio que permite detectar y utilizar automáticamente nuevos dispositivos de una red. El Microsoft Security Bulletin MS07-019 www.microsoft.com/technet/security/bulletin/ms07019.mspx Microsoft Knowledge Base Article - 931784 http://support.microsoft.com/kb/931784/es MS07-018 VULNERABILIDAD EN MCMS (925939) Microsoft Content Management Server (MCMS), es un servidor empresarial que simplifica el desarrollo y el mantenimiento de sitios dedicados al comercio electrónico. Esta actualización resuelve un par de vulnerabilidades que permiten la ejecución remota de código. • • • * Software afectado por este parche: - Microsoft Content Management Server 2001 Service Pack 1 - Microsoft Content Management Server 2002 Service Pack 2 Las actualizaciones pueden descargarse del siguiente enlace: www.microsoft.com/technet/security/bulletin/ms07018.mspx • • El parche también está disponible a través de las actualizaciones automáticas de Windows Update. MAS INFORMACION: • • Microsoft Security Bulletin MS07-018 www.microsoft.com/technet/security/bulletin/ms07018.mspx • • Microsoft Knowledge Base Article - 925939 http://support.microsoft.com/kb/925939/es CONGRESOS Y SEMINARIOS SEGURIDAD EN EL 2007 • • • • • DE Abril 18 al 20 de 2007: 3rd International Conference on Global E-Security ICGeS ’07 (Londres – Inglaterra http://www.uel.ac.uk/icges/ Mayo 7 al 11 de 2007: First Symposium on Algebraic Geometry and its Applications en (Tahiti - Polinesia Francesa) Comité Organizador : [email protected] Mayo 8 al 10 de 2007: International Conference on Security of Information and Networks SIN 2007 (Gazimagusa TRNC - North Cyprus) http://www.sinconf.org/ Mayo 14 al 17 de 2007: Euro American Conference on Telematics and Information Systems (Faro - Portugal) http://www.deei.fct.ualg.pt/eatis/ Mayo 20 al 24 de 2007: EUROCRYPT 2007 (Barcelona - España) http://www.iacr.org/conferences/eurocrypt20 07/ • • • Junio 12 al 13 de 2007: 5th International Workshop on Security in Information Systems WOSIS 07 (Funchal - Portugal) http://www.iceis.org/workshops/wosis/wos is2007-cfp.html Junio 17 al 22 de 2007: 19th Annual FIRST Conference (Sevilla - España) http://www.first.org/conference/2007/ Junio 18 al 20 de 2007: 8th IBIMA Conference on Information Management in the Networked Economy (Dublin - Irlanda) Contactos: [email protected]. http://www.ibima.org/Dublin2007/ Junio 20 al 22 de 2007: VII Jornadas Nacionales de Seguridad Informática ACIS 2007 (Bogotá Colombia) http://www.acis.org.co/index.php?id=840 Junio 21 al 22 de 2007: Workshop on the Arithmetic of Finite Fields WAIFI 2007 (Madrid – España http://www.waifi.org/ Junio 28 al 30 de 2007: Fourth European PKI Workshop: Theory and Practice EuroPKI 07 (Palma de Mallorca - España) http://dmi.uib.es/europki07/ Julio 11 al 13 de 2007: Conference on RFID Security 07 en Universidad de Málaga (Málaga - España) http://rfidsec07.etsit.uma.es/confhome.htm Septiembre 21 al 23 de 2007: 21st International Conference on Systems for Automation of Engineering and Research (Varna – Bulgaria Comité Organizador: contactar con Radi Romansky ([email protected]) Octubre 9 al 12 de 2007: 10th Information Security Conference ISC 2007 (Valparaíso Chile) http://www.isc07.cl/ Noviembre 6 al 9 de 2007: V Collaborative Electronic Commerce Technology and Research CollECTeR 2007 (Córdoba Argentina) http://www.collecter.org.ar/index.html CUALQUIER CONSULTA ENVIAR UN CORREO AL CENTRO DE CONSULTA E INVESTIGACION SOBRE SEGURIDAD DE LA INFORMACION CCISI EMAIL: [email protected] TELEFONO 2744356 – 106