Vulnerabilidad en Secure Channel en Microsoft Windows (CVE-2009-0085)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
10/03/2009
Última modificación:
09/04/2025
Descripción
El componente de autenticación Secure Channel (también conocido como SChannel) en Microsoft Windows 2000 SP4, XP SP2 y SP3, Server 2003 SP1 y SP2, Vista Gold y SP1, y Server 2008, cuando el certificado de autenticación es utilizado, no valida adecuadamente el intercambio de claves con el cliente en la capa de seguridad del transporte (TLS), lo que permite a atacantes remotos falsificar la autenticación mediante la manipulación de un paquete TLS basándose en el cocimiento del certificado pero no de la clave privada, también conocido como "Vulnerabilidad de falsificación de SChannel".
Impacto
Puntuación base 2.0
7.10
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:microsoft:windows_2000:*:sp4:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2003:*:*:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2003:*:sp1:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2003:*:sp1:itanium:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2003:*:sp2:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2008:*:*:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2008:*:*:itanium:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2008:*:*:x64:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_vista:*:*:x64:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_vista:*:sp1:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_vista:gold:*:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_xp:*:*:x64:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_xp:*:sp2:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_xp:*:sp2:x64:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_xp:*:sp3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://osvdb.org/52521
- http://secunia.com/advisories/34215
- http://www.securitytracker.com/id?1021828=
- http://www.us-cert.gov/cas/techalerts/TA09-069A.html
- http://www.vupen.com/english/advisories/2009/0660
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-007
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6011
- http://osvdb.org/52521
- http://secunia.com/advisories/34215
- http://www.securitytracker.com/id?1021828=
- http://www.us-cert.gov/cas/techalerts/TA09-069A.html
- http://www.vupen.com/english/advisories/2009/0660
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-007
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6011