UNAM−CERT Bolwin de Seguridad/UNAM−CERT UNAM−CERT Departamento de Seguridad en Cómputo DGSCA−UNAM Bolwin de Seguridad UNAM−CERT−2005−253 Vulnerabilidad en el servicio de Telefonía podría permitir la ejecución remota de código Existe una vulnerabilidad en el servicio TAPI (Telephony Application Programming Interface) que podría permitir la ejecución remota de código. Fecha de Liberación: 9 de Agosto de 2005 Fuente: Microsoft Corp. Sistemas Afectados Windows 2000 SP4 Windows 2003 Edición x64 Windows 2003 Windows 2003 Service Pack 1 Windows 2003 Service Pack 1 para Sistemas Basados en Itanium Windows 2003 Sistemas Basados en Itanium Windows XP Profesional Edición x64 Windows XP Service Pack 1 Telephony Application <KB893756 Programming Interface Telephony Application <KB893756 Programming Interface Telephony Application <KB893756 Programming Interface Telephony Application <KB893756 Programming Interface Telephony Application <KB893756 Programming Interface Telephony Application <KB893756 Programming Interface Telephony Application <KB893756 Programming Interface Telephony Application <KB893756 Programming 1 UNAM−CERT Interface Windows XP Service Telephony Application <KB893756 Pack 2 Programming Interface Riesgo Importante Problema de Vulnerabilidad Remoto Tipo de Vulnerabilidad Ejecución Remota de Código I. Descripción De acuerdo con el Boletín de Seguridad de Microsoft MS05−040: ♦ Vulnerabilidad en el servicio de Telefonía Existe una vulnerabilidad de ejecución remota de código en TAPI (Telephony Application Programming Interface) que podría permitir a un intruso que haya explotado satisfactoriamente ésta vulnerabilidad tomar el control completo del sistema afectado. II. Impacto Un intruso que haya explotado satisfactoriamente esta vulnerabilidad podría tomar el control completo de un sistema afectado. Un intruso podría después instalar programas; visualizar, cambiar, o eliminar datos; o crear nuevas cuentas con privilegios administrativos. III. Solución Aplicar una actualización: ♦ Microsoft Windows 2000 Service Pack 4 − Descargar la actualización ♦ Microsoft Windows XP Service Pack 1 y Microsoft Windows XP Service Pack 2 − Descargar la actualización ♦ Microsoft Windows XP Professional Edición x64 − Descargar la actualización ♦ Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1 − Descargar la actualización ♦ Microsoft Windows Server 2003 para Sistemas basados en Itanium y Microsoft Windows Server 2003 con SP1 para Sistemas basados en Itanium − Descargar la actualización ♦ Microsoft Windows Server 2003 Edición x64 − Descargar la actualización Descripción 2 UNAM−CERT IV. Apéndice Para mayor información consultar: ♦ Microsoft Security Bulletin MS05−040 http://www.microsoft.com/technet/security/Bulletin/MS05−040.mspx El Departamento de Seguridad en Cómputo/UNAM−CERT agradece el apoyo en la traducción, elaboración y revisión de éste Documento a: UNAM−CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Cómputo E−Mail: [email protected] http://www.cert.org.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel: 56 22 81 69 Fax: 56 22 80 43 Apéndice 3