1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2013-041 Vulnerabilidades en .NET Framework podrían permitir la suplantación de identidad

Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada y una vulnerabilidad en el. NET Framework. La más grave de las vulnerabilidades podría permitir la suplantación de identidad si una aplicación. NET recibe un archivo XML especialmente diseñado. Un atacante que consiga aprovechar la vulnerabilidad podría modificar el contenido de un archivo XML sin invalidar la firma del archivo y puede acceder a las funciones como si fuera un usuario autenticado. Esta actualización de seguridad se considera importante para Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 y Microsoft .NET Framework 4.5 en ediciones afectadas de Microsoft Windows. Para obtener más información, consulte la subsección Software afectado y no afectado, en esta sección. La actualización de seguridad corrige la vulnerabilidad al modificar la forma en la. NET Framework valida las firmas en archivos XML y modificar la forma en que crea necesidades de las políticas para la autenticación.

  • Fecha de Liberación: 14-May-2013
  • Ultima Revisión: 21-Abr-2014
  • Fuente:
  • CVE ID: CVE-2013-1336 CVE-2013-1337
  • Riesgo Importante
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Spoofing

Sistemas Afectados

Microsoft Windows Microsoft Windows XP Microsoft .NET Framework 2.0 Service Pack 1 2804577
Microsoft Windows Windows 7 Microsoft .NET Framework 2.0 Service Pack 1 2804577
Microsoft Windows Windows 7 for 32-bit Systems Service Pack 1 Microsoft .NET Framework 4 2804576
Microsoft Windows Windows 7 for 32-bit Systems Service Pack 1 Microsoft .NET Framework 4.5 2804582
Microsoft Windows Windows 7 for x64-based Systems Service Pack 1 Microsoft .NET Framework 3.5.1 2804579
Microsoft Windows Windows 7 for x64-based Systems Service Pack 1 Microsoft .NET Framework 4 2804576
Microsoft Windows Windows 7 for x64-based Systems Service Pack 1 Microsoft .NET Framework 4.5 2804582
Microsoft Windows Windows 8 Microsoft .NET Framework 2.0 Service Pack 1 2804577
Microsoft Windows Windows 8 for 32-bit Systems Microsoft .NET Framework 3.5.1 2804584
Microsoft Windows Windows 8 for 32-bit Systems Microsoft .NET Framework 4.5 2804583
Microsoft Windows Windows 8 for 64-bit Systems Microsoft .NET Framework 3.5.1 2804584
Microsoft Windows Windows 8 for 64-bit Systems Microsoft .NET Framework 4.5 2804583
Microsoft Windows Windows Server 2003 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 1 2804577
Microsoft Windows Windows Server 2008 Microsoft .NET Framework 2.0 Service Pack 1 2804577
Microsoft Windows Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 Microsoft .NET Framework 3.5.1 2804584
Microsoft Windows Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 Microsoft .NET Framework 4.5 2804582
Microsoft Windows Windows Server 2008 R2 for x64-based Systems Service Pack 1 Microsoft .NET Framework 3.5.1 2804584
Microsoft Windows Windows Server 2012 Microsoft .NET Framework 2.0 Service Pack 1 2804577
Microsoft Windows Windows Server 2012 Microsoft .NET Framework 3.5.1 2804583
Microsoft Windows Windows Server 2012 Microsoft .NET Framework 4.5 2804583
Microsoft Windows Windows Vista Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 1 2804580
Microsoft Windows Windows Vista Service Pack 2 Microsoft .NET Framework 4 2804576
Microsoft Windows Windows Vista Service Pack 2 Microsoft .NET Framework 4.5 2804582
Microsoft Windows Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 1 2804580
Microsoft Windows Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 4 2804576
Microsoft Windows Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 4.5 2804582
  1. Índice de explotabilidad

    • Vulnerabilidad de suplantación de firma digital XML - CVE-2013-1336
    • Bypass de autenticación - CVE-2013-1337
  2. Descripción

    Vulnerabilidad de suplantación de firma digital XML - CVE-2013-1336
    Existe una vulnerabilidad en .NET Framework Microsoft que no valida correctamente la firma de un archivo XML especialmente diseñado. Un atacante que aproveche esta vulnerabilidad podría modificar el contenido de un archivo XML sin invalidar la firma asociada con el archivo.


    Bypass de autenticación - CVE-2013-1337
    Existe una vulnerabilidad en la función bypass de seguridad de .NET Framework Microsoft en la forma en la que crea incorrectamente los requisitos de la política de autenticación. Un atacante que aproveche esta vulnerabilidad podría tener acceso a las funciones en el WCF, como si estuviera legalizados, lo que permite a un atacante robar información o tomar cualquier acción en el contexto de un usuario autenticado.

  3. Impacto

    Vulnerabilidad de suplantación de firma digital XML - CVE-2013-1336

    Un atacante que aproveche esta vulnerabilidad podría modificar el contenido de un archivo XML sin invalidar la firma asociada con el archivo. Si una aplicación. NET se basa en la firma para ser no malicioso, el comportamiento de la aplicación podría llegar a ser impredecible.

    Bypass de autenticación - CVE-2013-1337

    Un atacante que aproveche esta vulnerabilidad podría obtener acceso a las funciones del WCF  como si fueran un usuario autenticado. El contexto de la omisión de autenticación y el grado en que los sistemas se ven afectados por la vulnerabilidad es específica para cada aplicación personalizada. Un programa que valida las credenciales del usuario será mínimamente afectado por la vulnerabilidad al impedir los intentos de un atacante para robar información o realizar ninguna acción en el contexto del usuario autenticado. Sin embargo, los programas que no hacen estas comprobaciones de validación podría permitir a un atacante obtener información que está disponible sólo para usuarios autenticados o podría permitir a un atacante tomar medidas en nombre de un usuario autenticado.

  4. Solución

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    Microsoft .NET Framework 4.5

    Microsoft .NET Framework 4

    Microsoft .NET Framework 4.5

    Microsoft .NET Framework 2.0 Service Pack 2

    Microsoft .NET Framework 4

    Microsoft .NET Framework 3.5.1

    Microsoft .NET Framework 4

    Microsoft .NET Framework 4.5

    Microsoft .NET Framework 3.5.1

    Microsoft .NET Framework 4

    Microsoft .NET Framework 4.5

    Microsoft .NET Framework 3.5

    Microsoft .NET Framework 4.5

    Microsoft .NET Framework 3.5

    Microsoft .NET Framework 4.5

  5. Referencias

     

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Said Ramírez Hernández (sramirez at seguridad dot unam dot mx)
  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT