Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Vulnerabilidad de Seguridad UNAM-CERT-2011

Anuncio 
UNAM-CERT
Subdirección de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM
Vulnerabilidad de Seguridad UNAM-CERT-2011-034
Vulnerabilidades en Microsoft PowerPoint podrían permitir
la ejecución remota de código
Esta actualización de seguridad resuelve tres vulnerabilidades reportadas de manera privada en Microsoft
Power Point. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abriera un
archivo malicioso de PowerPoint. Un atacante que explotara exitosamente cualquiera de estas
vulnerabilidades podría obtener los mismos privilegios que el usuario local. Usuarios cuyas cuentas están
configuradas para tener menos privilegios sobre el sistema podrían ser menos impactados que aquellos
usuarios que operan con privilegios de administrador. La solución automatizada Microsoft Fix it para
PowerPoint 2010, Deshabilitar editar en vista para PowerPoint 2010, disponible en Microsoft Knowledge
Base Article 2501584, bloquea los vectores de ataque para explotar la vulnerabilidad descritos en la
CVE-2011-0655 y la CVE-2011-0656.
• Fecha de Liberación: 12-Abr-2011
• Ultima Revisión: 24-Abr-2011
• Fuente: Microsoft Corp.
• CVE ID: CVE-2011-0655 CVE-2011-0656 CVE-2011-0976
• Riesgo Importante
• Problema de Vulnerabilidad Remoto
• Tipo de Vulnerabilidad Ejecución Remota de Código
Sistemas Afectados
Microsoft Windows todas
las versiones
Microsoft Windows todas
las versiones
Microsoft Windows todas
las versiones
Microsoft Windows todas
las versiones
Microsoft Windows todas
las versiones
Microsoft Windows todas
las versiones
Microsoft Windows todas
las versiones
Microsoft Windows todas
las versiones
Microsoft Windows todas
las versiones
Microsoft Windows todas
las versiones
Microsoft Office 2003 Service Pack 3
<= KB2413304
Microsoft Office 2004 for Mac
<
Microsoft Office 2007 Service Pack 2
<= KB982158
Microsoft Office 2008 for Mac
<= KB2476512
Microsoft Office 2010 (32-bit editions)
<
KB2519975
Microsoft Office 2010 (64-bit editions)
<
KB2519975
Microsoft Office Compatibility Pack for Word, Excel, and
PowerPoint 2007 File Formats Service Pack 2
<= KB969618
Microsoft Office for Mac 2011
<= KB2454823
Microsoft Office Web Apps
<
Microsoft Office XP Service Pack 3
<= KB2413272
KB2505924
KB2520047
Vulnerabilidad de Seguridad UNAM-CERT-2011-034 Vulnerabilidades en Microsoft PowerPoint podrían
1
per
UNAM-CERT
Microsoft Windows todas
Microsoft PowerPoint Viewer
las versiones
Microsoft Windows todas
Microsoft PowerPoint Viewer 2007 Service Pack 2
las versiones
Microsoft Windows todas
Open XML File Format Converter for Mac
las versiones
1. Índice
<
KB2519984
<= KB2413381
<= KB2476511
de explotabilidad
Vulnerabilidad Techno-color Time Bandit RCE de punto flotante - CVE-2011-0655
Código de explotación inconsistente.
Vulnerabilidad de directorio persistente RCE - CVE-2011-0656
Código de explotación inconsistente.
Vulnerabilidad de OfficeArt Atom de RCE - CVE-2011-0976
Código de explotación consistente.
2. Descripción
Vulnerabilidad Techno-color Time Bandit RCE de punto flotante - CVE-2011-0655
Una vulnerabilidad de ejecución remota de código existe en la forma en que Microsoft PowerPoint
maneja archivos maliciosos de PowerPoint. Un atacante podría explotar esta vulnerabilidad mediante
la creación de un archivo de PowerPoint malicioso que podría ser incluido como un archivo adjunto
en un correo electrónico, o alojado en un servidor web comprometido.
Vulnerabilidad de directorio persistente RCE - CVE-2011-0656
Una vulnerabilidad de ejecución remota de código existe en la forma en que Microsoft PowerPoint
maneja archivos maliciosos de PowerPoint. Un atacante podría explotar esta vulnerabilidad mediante
la creación de un archivo de PowerPoint malicioso que podría ser incluido como un archivo adjunto
en un correo electrónico, o alojado en un servidor web comprometido.
Vulnerabilidad de OfficeArt Atom de RCE - CVE-2011-0976
Una vulnerabilidad de ejecución remota de código existe en la forma en que Microsoft PowerPoint
maneja archivos maliciosos de PowerPoint. Un atacante podría explotar esta vulnerabilidad mediante
la creación de un archivo de PowerPoint malicioso que podría ser incluido como un archivo adjunto
en un correo electrónico, o alojado en un servidor web comprometido.
3. Impacto
Vulnerabilidad Techno-color Time Bandit RCE de punto flotante - CVE-2011-0655
Un atacante que explotara exitosamente esta vulnerabilidad podría tomar control completo de un
sistema afectado. Un atacante podría entonces instalar programas; visualizar, modificar, o eliminar
datos; o crear nuevas cuentas de usuario con privilegios de administrador. Usuarios cuyas cuentas
Sistemas Afectados
2
UNAM-CERT
están configuradas para tener menos privilegios de usuario sobre el sistema podrían ser menos
impactados que aquellos usuarios que operan con privilegios de administrador.
Vulnerabilidad de directorio persistente RCE - CVE-2011-0656
Un atacante que explotara exitosamente esta vulnerabilidad podría tomar control completo de un
sistema afectado. Un atacante podría entonces instalar programas; visualizar, modificar, o eliminar
datos; o crear nuevas cuentas de usuario con privilegios de administrador. Usuarios cuyas cuentas
están configuradas para tener menos privilegios de usuario sobre el sistema podrían ser menos
impactados que aquellos usuarios que operan con privilegios de administrador.
Vulnerabilidad de OfficeArt Atom de RCE - CVE-2011-0976
Un atacante que explotara exitosamente esta vulnerabilidad podría tomar control completo de un
sistema afectado. Un atacante podría entonces instalar programas; visualizar, modificar, o eliminar
datos; o crear nuevas cuentas de usuario con privilegios de administrador. Usuarios cuyas cuentas
están configuradas para tener menos privilegios de usuario sobre el sistema podrían ser menos
impactados que aquellos usuarios que operan con privilegios de administrador.
4. Solución
1. Microsoft Office XP Service Pack 3, Microsoft PowerPoint 2002 Service Pack 3
2. Microsoft Office 2003 Service Pack 3, Microsoft PowerPoint 2003 Service Pack 3
3. Microsoft Office 2007 Service Pack 2, Microsoft PowerPoint 2007 Service Pack 2
4. Microsoft Office 2010 (32-bit editions), Microsoft PowerPoint 2010 (32-bit editions)
5. Microsoft Office 2010 (64-bit editions), Microsoft PowerPoint 2010 (64-bit editions)
6. Microsoft Office 2004 for Mac
7. Microsoft Office 2008 for Mac
8. Microsoft Office for Mac 2011
9. Open XML File Format Converter for Mac
10. Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats
Service Pack 2
11. Microsoft PowerPoint Viewer 2007 Service Pack 2
12. Microsoft PowerPoint Viewer
13. Microsoft Office Web Apps, Microsoft PowerPoint Web App
5. Referencias
♦ http://www.microsoft.com/technet/security/bulletin/ms11-apr.mspx
♦ http://www.microsoft.com/technet/security/Bulletin/MS11-022.mspx
La Subdirección de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó
traducción y revisión de éste Documento a:
• Francisco Carlos Martínez Godínez (fmartinez dot seguridad at gmail dot com)
• Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Subdirección de Seguridad de la Información
incidentes at seguridad.unam.mx
Impacto
3
UNAM-CERT
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Referencias
4
Documentos relacionados
PARA QUE SIRVE MICROSOFT OFFICE PUBLISHER
PARA QUE SIRVE MICROSOFT OFFICE PUBLISHER
CARRERA DE DOCENCIA TÉCNICA
CARRERA DE DOCENCIA TÉCNICA
1 INTRODUCCIÓN En el presente proyecto se propone un sistema
1 INTRODUCCIÓN En el presente proyecto se propone un sistema
Qué es Microsoft Access.pdf
Qué es Microsoft Access.pdf
Descargar
Anuncio
Anuncio