-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 15/02/2009
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Actualización para vulnerabilidades en Microsoft Exchange
----------------------------------------------------------
Dentro del conjunto de boletines de seguridad de febrero publicado el
pasado martes por Microsoft y del que ya efectuamos un resumen, se
cuenta el anuncio (en el boletín MS09-003) de una actualización para
servidores Exchange destinado a corregir dos nuevas vulnerabilidades,
que podrían permitir a un atacante remoto ejecutar código arbitrario o
causar una denegación de servicio.
La primera vulnerabilidad está causada por un error de corrupción de
memoria causada por un fallo en la forma en la que Microsoft Exchange
Server decodifica los datos de un mensaje en formato TNEF (Transport
Neutral Encapsulation Format). El error podría ser aprovechado por un
atacante remoto para ejecutar código arbitrario si el usuario abriese un mensaje TNEF especialmente manipulado.
La segunda vulnerabilidad está causada por un error en la forma en la
que EMSMDB32 (Electronic Messaging System Microsoft Data Base, 32 bit
build) maneja comandos MAPI no válidos. El error podría ser aprovechado
por un atacante remoto, por medio de un comando MAPI especialmente
manipulado enviado al servidor Exchange, para causar que los distintos servicios que hagan uso de EMSMDB32 dejen de responder.
Los problemas afectan a Exchange 2000 Server, Exchange Server 2003 y
Exchange Server 2007. Además este parche sustituye al parche anterior (MS08-039) en los sistemas Microsoft Exchange Server 2007 Service Pack
1.
Se recomienda actualizar los sistemas afectados mediante Windows Update
o descargando los parches según versión desde la página del boletín de seguridad.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3767/comentar
Más información:
Microsoft Security Bulletin MS09-003 - Critical
Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms09-003.mspx
Laboratorio Hispasec
laboratorio@hispasec.com
Tal día como hoy:
-----------------
15/02/2008: Actualización de seguridad para Apple Mac OS X
http://www.hispasec.com/unaaldia/3401
15/02/2007: Doce boletines de seguridad de Microsoft en febrero
http://www.hispasec.com/unaaldia/3036
15/02/2006: Actualización de seguridad de GNUTLS
http://www.hispasec.com/unaaldia/2671
15/02/2005: Iniciativas de Microsoft en materia de seguridad
http://www.hispasec.com/unaaldia/2306
15/02/2004: ¿Cuánto se tarda en resolver una vulnerabilidad?
http://www.hispasec.com/unaaldia/1939
15/02/2003: Spam Conference
http://www.hispasec.com/unaaldia/1574
15/02/2002: Las cookies tendrán que identificarse en Francia
http://www.hispasec.com/unaaldia/1209
15/02/2001: Actualización a PHP4, versión 4.0.4pl1
http://www.hispasec.com/unaaldia/844
15/02/2000: Un agujero en Windows 2000 permite acceder a información sensible
http://www.hispasec.com/unaaldia/476
15/02/1999: Autorización para exportar cifrado de 128 bits
http://www.hispasec.com/unaaldia/111
-------------------------------------------------------------------
Claves PGP en
http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:
unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:
unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2009 Hispasec
http://www.hispasec.com/copyright
-------------------------------------------------------------------
--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet
telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)