Conecta con nosotros

Noticias

Microsoft publica boletín de seguridad mensual

Publicado el

Microsoft publica boletín de seguridad mensual 68

Windows-Parches-Noviembre

Microsoft ha publicado el boletín de seguridad mensual correspondiente a noviembre de 2013 que contempla actualizaciones de software para resolver diversas vulnerabilidades y exposiciones comunes, como los últimos 0-day en Internet Explorer o en Microsoft Graphics.

Las consecuencias potenciales de estas vulnerabilidades van desde la ejecución remota de código, la divulgación de información, la elevación de privilegios o la denegación de servicio. Los parches de seguridad pueden descargarse automáticamente desde Windows Update y se recomienda actualizar sistemas a la mayor brevedad. Las vulnerabilidades corregidas son:

MS13-088Actualización de seguridad acumulativa para Internet Explorer (2888505) – Crítica. Esta actualización de seguridad resuelve diez vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un atacante que aprovechara la más grave de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

MS13-089Una vulnerabilidad en la interfaz de dispositivo gráfico podría permitir la ejecución remota de código (2876331) – Crítica. Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario consulta o abre un archivo de Windows Write especialmente diseñado en WordPad. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

MS13-090Actualización de seguridad acumulativa de bits de interrupción de ActiveX (2900986) – Crítica. Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada y que se está aprovechando actualmente. La vulnerabilidad se encuentra en el control ActiveX de clase InformationCardSigninHelper. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer, que ejecute el control ActiveX. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

MS13-091Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (2885093) – Importante. Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada enMicrosoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si se abre un documento de WordPerfect especialmente diseñado en una versión afectada del software de Microsoft Office. Un atacante que aprovechara las vulnerabilidades más graves podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

MS13-092Una vulnerabilidad en Hyper-V podría permitir la elevación de privilegios (2893986) – Importante. Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante pasa un parámetro de función especialmente diseñado en una hiperllamada desde una máquina virtual en ejecución existente al hipervisor. La vulnerabilidad también podría permitir la denegación de servicio para el host de Hyper-V si el atacante pasa un parámetro de función especialmente diseñado en una hiperllamada desde una máquina virtual en ejecución existente al hipervisor.

MS13-093Una vulnerabilidad en el controlador de función auxiliar de Windows podría permitir la divulgación de información (2875783) – Importante. Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la divulgación de información si un atacante inicia sesión en un sistema afectado como usuario local y ejecuta una aplicación especialmente diseñada en el sistema que esté diseñada para que el atacante pueda obtener información de una cuenta con privilegios mayores. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.

MS13-094Una vulnerabilidad en Microsoft Outlook podría permitir la divulgación de información (2894514) – Importante. Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Microsoft Outlook. La vulnerabilidad podría permitir la divulgación de información si un usuario abre u obtiene una vista previa de un mensaje de correo electrónico especialmente diseñado mediante una edición afectada de Microsoft Outlook. Un atacante que aprovechara esta vulnerabilidad podría averiguar información del sistema, como la dirección IP y los puertos TCP abiertos, del sistema de destino y de otros sistemas que compartan la red con él.

MS13-095Una vulnerabilidad en las firmas digitales podría permitir la denegación de servicio (2868626) – Crítica. Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio cuando un servicio web afectado procese un certificado X.509 especialmente diseñado.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

Lo más leído