Categories: SeguridadVirus

Vulnerabilidad en ASN.1 de Windows permite la ejecución de código

La vulnerabilidad, provocada por un búfer sin comprobar en dicha

librería, puede permitir la realización de ataques de desbordamiento de

búfer.

Abstract Syntax Notation 1 (ASN.1) es un estándar de

datos empleado en múltiples aplicaciones y dispositivos para la

normalización y entendimiento de datos entre diversas plataformas.

Un atacante que logre explotar exitosamente este desbordamiento de búfer podrá

lograr la ejecución de código con privilegios del sistema en los

sistemas afectados. El atacante podrá entonces realizar cualquier acción

en el sistema, instalar programas, visualizar, modificar o eliminar

datos, o crear nuevas cuentas de usuario con plenos privilegios.

Este problema afecta a los sistemas Windows 2000, Windows Server 2003,

Windows XP y Windows NT 4.0. Pero la publicación de estos parches,

también ha estado rodeada de ciertos comentarios dentro del mundo de la

seguridad. Este fallo que ha sido declarado por algunos como

posiblemente el mayor fallo de Windows encontrado.

El problema es

de gran gravedad al permitir la entrada de virus, ataques, etc. por un

agujero en un componente común de los sistemas operativos, de igual

forma que el problema de seguridad empleado por el gusano Blaster el

pasado año.

eEYe, firma que reportó los problemas a

Microsoft, confirma que los problemas se anunciaron a la empresa de

Redmon hace 200 días. Unos seis meses ha tardado Microsoft en publicar

las actualizaciones necesarias para evitar un problema de gran gravedad.

Según Microsoft este tiempo tan elevado se debe a que las respuestas de

seguridad requieren un delicado equilibrio entre velocidad y calidad.

Esta investigación ha requerido la evaluación de múltiples aspectos y

casos de esta funcionalidad para la creación de un parche de gran

calidad.

Sin duda, Microsoft ha contado con el apoyo de la

compañía que descubrió el problema que no notificó en ningún momento un

problema de tal gravedad. Pero si la vulnerabilidad hubiera salido a la

luz, Microsoft se hubiera sentido mucho más presionada para la

publicación de la actualización. Aunque para muchos, siempre quedará la

duda de si problemas de este tipo son explotados de forma anónima por

usuarios o agencias que no divulgan sus descubrimientos.

Actualizaciones publicadas:

Microsoft Windows NT Workstation 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, Microsoft 2000 Windows Service Pack 4

Microsoft Windows XP, Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition, Microsoft Windows XP 64-Bit Edition Service Pack 1

Microsoft Windows XP 64-Bit Edition Versión 2003, Microsoft Windows XP 64-Bit Edition Versión 2003 Service Pack 1

Microsoft Windows Server 2003

Microsoft Windows Server 2003 64-Bit Edition

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Comprender el valor de la modularidad, tarea pendiente de los directivos

Un estudio de IFS, Boom e IDC revela que solamente un 19 % de las…

15 horas ago

Un 67 % de los consumidores rechaza en España a aquellas empresas que no protegen sus datos

Para garantizar la privacidad, el 30 % se ha pasado a otra compañía durante el…

16 horas ago

Phishing personalizado, malware adaptable y otras tendencias de ciberseguridad para 2025

Check Point Software Technologies prevé que los avances en inteligencia artificial permitirán a pequeños grupos…

18 horas ago

2 de cada 10 españoles usan herramientas de IA como ChatGPT

El 7 % de los internautas recurre a estas aplicaciones de forma habitual y cerca…

18 horas ago

CISO, perfil tecnológico que recibirá la mayor subida salarial en 2025

Le siguen otros profesionales como el gerente de gobernanza, el gestor de datos y el…

19 horas ago

Las 6 profesiones tecnológicas con mayor futuro

Desde el ingeniero en inteligencia artificial al ingeniero de 'prompts', son varios los perfiles que…

2 días ago