Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Actualización de seguridad de NDIS para abordar la elevación de privilegios (3101722)
Publicado: 10 de noviembre de 2015
Versión: 1.0
Resumen ejecutivo
Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows NDIS. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada.
Esta actualización de seguridad es importante para todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. Para obtener más información, consulte la sección Software afectado.
La actualización de seguridad aborda la vulnerabilidad mediante la corrección de cómo NDIS valida la longitud del búfer. Para obtener más información sobre la vulnerabilidad, consulte la sección Información de vulnerabilidades.
Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3101722.
Clasificaciones de gravedad de software y vulnerabilidad afectadas
Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad e impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de noviembre.
| Clasificación de gravedad de vulnerabilidad y impacto máximo en la seguridad por parte del software afectado | ||
|---|---|---|
| Software afectado | Vulnerabilidad de elevación de privilegios de Windows NDIS: CVE-2015-6098 | Novedades reemplazado |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3101722) | Elevación importante de privilegios | None |
| Windows Vista x64 Edition Service Pack 2 (3101722) | Elevación importante de privilegios | None |
| Windows Server 2008 | ||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3101722) | Elevación importante de privilegios | None |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (3101722) | Elevación importante de privilegios | None |
| Windows Server 2008 para sistemas basados en Itanium Service Pack 2 (3101722) | Elevación importante de privilegios | None |
| Windows 7 | ||
| Windows 7 para sistemas de 32 bits Service Pack 1 (3101722) | Elevación importante de privilegios | None |
| Windows 7 para sistemas basados en x64 Service Pack 1 (3101722) | Elevación importante de privilegios | None |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (3101722) | Elevación importante de privilegios | None |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 (3101722) | Elevación importante de privilegios | None |
| Opción de instalación Server Core | ||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core) (3101722) | Elevación importante de privilegios | None |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (instalación server Core) (3101722) | Elevación importante de privilegios | None |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación server Core) (3101722) | Elevación importante de privilegios | None |
Información de vulnerabilidad
Vulnerabilidad de elevación de privilegios de Windows NDIS: CVE-2015-6098
Existe una vulnerabilidad de elevación de privilegios cuando NDIS no puede comprobar la longitud de un búfer antes de copiar la memoria en él. Un atacante que aprovechara correctamente esta vulnerabilidad podría obtener privilegios elevados en un sistema de destino.
Para aprovechar la vulnerabilidad, un atacante primero tendría que iniciar sesión en el sistema. Después, el atacante podría ejecutar una aplicación especialmente diseñada para elevar privilegios. La actualización de seguridad corrige cómo NDIS valida la longitud del búfer.
Microsoft recibió información sobre esta vulnerabilidad a través de la divulgación coordinada de vulnerabilidades. En el momento en que se emitió este boletín de seguridad originalmente, Microsoft no estaba consciente de ningún ataque que intente aprovechar esta vulnerabilidad.
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Implementación de actualizaciones de seguridad
Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia aquí en resumen ejecutivo.
Agradecimientos
Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (10 de noviembre de 2015): Boletín publicado.
Página generada 2015-11-04 10:47-08:00.