Tal y como adelantamos, este martes Microsoft solo
ha publicado un boletín de seguridad (el MS10-001) correspondiente a su
ciclo habitual de actualizaciones. Según la propia clasificación de
Microsoft esta actualización presenta un nivel de gravedad “crítico”.
La vulnerabilidad reside en un desbordamiento de entero en el descompresor
LZCOMP del motor de fuentes empotradas OpenType, cuando procesa fuentes
OpenType incrustadas (fuentes EOT o Embedded OpenType) específicamente
diseñadas. Este fallo podría permitir la ejecución remota de código, si
el usuario atacado abre un documento que incluya fuentes EOT
especialmente manipuladas con alguna aplicación capaz de representar
este tipo de fuentes, como Microsoft Internet Explorer, Microsoft
Office PowerPoint o Microsoft Office Word.
Se ven afectados los sistemas Windows 2000, XP, Vista, 7 y Server 2003 y 2008.
Las actualizaciones publicadas pueden descargarse a través de Windows
Update o consultando el boletín de Microsoft donde se incluyen las
direcciones de descarga directa según la plataforma afectada. Se
recomienda la actualización de los sistemas con la mayor brevedad
posible.
Más Información:
Boletín de seguridad de Microsoft MS10-001 – Crítico
Una vulnerabilidad en el motor de fuentes OpenType incrustadas podría permitir la ejecución remota de código (972270)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-001.mspx
Autor: Antonio Ropero
Fuente: Hispasec
Here is the original:
Ejecución remota de código en Windows a través del motor de fuentes OpenType incrustadas |