Ejecución remota de código en Windows a través del motor de fuentes OpenType incrustadas
Tal y como adelantamos, este martes Microsoft solo
ha publicado un boletín de seguridad (el MS10-001) correspondiente a su
ciclo habitual de actualizaciones. Según la propia clasificación de
Microsoft esta actualización presenta un nivel de gravedad "crítico".
La vulnerabilidad reside en un desbordamiento de entero en el descompresor LZCOMP del motor de fuentes empotradas OpenType, cuando procesa fuentes OpenType incrustadas (fuentes EOT o Embedded OpenType) específicamente diseñadas. Este fallo podría permitir la ejecución remota de código, si el usuario atacado abre un documento que incluya fuentes EOT especialmente manipuladas con alguna aplicación capaz de representar este tipo de fuentes, como Microsoft Internet Explorer, Microsoft Office PowerPoint o Microsoft Office Word.
Se ven afectados los sistemas Windows 2000, XP, Vista, 7 y Server 2003 y 2008.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa según la plataforma afectada. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más Información:
Boletín de seguridad de Microsoft MS10-001 - Crítico
Una vulnerabilidad en el motor de fuentes OpenType incrustadas podría permitir la ejecución remota de código (972270)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-001.mspx
Autor: Antonio Ropero
Fuente: Hispasec
La vulnerabilidad reside en un desbordamiento de entero en el descompresor LZCOMP del motor de fuentes empotradas OpenType, cuando procesa fuentes OpenType incrustadas (fuentes EOT o Embedded OpenType) específicamente diseñadas. Este fallo podría permitir la ejecución remota de código, si el usuario atacado abre un documento que incluya fuentes EOT especialmente manipuladas con alguna aplicación capaz de representar este tipo de fuentes, como Microsoft Internet Explorer, Microsoft Office PowerPoint o Microsoft Office Word.
Se ven afectados los sistemas Windows 2000, XP, Vista, 7 y Server 2003 y 2008.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa según la plataforma afectada. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más Información:
Boletín de seguridad de Microsoft MS10-001 - Crítico
Una vulnerabilidad en el motor de fuentes OpenType incrustadas podría permitir la ejecución remota de código (972270)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-001.mspx
Autor: Antonio Ropero
Fuente: Hispasec
-
Posts Relacionados:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!