CVE-2015-1671

CVSS 7.8 HIGHEPSS 54.6%● KEV

En resumen

Una falla en la biblioteca Windows DirectWrite permite que los atacantes ejecuten código malicioso en su computadora al enviar un archivo de fuente TrueType especialmente preparado. Esto afecta a varias aplicaciones Microsoft y puede comprometer su sistema si abre una fuente no confiable.

Detalle técnico

Vulnerabilidad de ejecución remota de código en la rutina de análisis de fuentes TrueType de DirectWrite, explotable mediante archivos de fuente maliciosamente elaborados entregados a través de varios productos Microsoft (.NET Framework, Office, Lync, Silverlight). El ataque requiere interacción del usuario para abrir/procesar la fuente maliciosa; la explotación exitosa otorga ejecución de código arbitrario en el contexto de la aplicación afectada.

Resumen generado y traducido por IA a partir de la descripción oficial.

The Windows DirectWrite library, as used in Microsoft .NET Framework 3.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1, and 4.5.2; Office 2007 SP3 and 2010 SP2; Live Meeting 2007 Console; Lync 2010; Lync 2010 Attendee; Lync 2013 SP1; Lync Basic 2013 SP1; Silverlight 5 before 5.1.40416.00; and Silverlight 5 Developer Runtime before 5.1.40416.00, allows remote attackers to execute arbitrary code via a crafted TrueType font, aka "TrueType Font Parsing Vulnerability."

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-044 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2015-1671 http://www.securityfocus.com/bid/74490 http://www.securitytracker.com/id/1032281