Boletines de seguridad de Microsoft en noviembre
Este martes Microsoft ha publicado ocho boletines de seguridad (del
MS13-088 al MS13-095) correspondientes a su ciclo habitual de
actualizaciones. Según la propia clasificación de Microsoft tres de los
boletines presentan un nivel de gravedad “crítico” y los cinco restantes
son “importantes”. En total se han resuelto 19 vulnerabilidades, aunque
solo se ha solucionado uno de los dos 0-day anunciados en los últimos
días.
* MS13-088: Actualización acumulativa para Microsoft Internet Explorer,
considerada “crítica”, que además soluciona 10 nuevas vulnerabilidades
que podrían permitir la ejecución remota de código arbitrario. Afecta a
Internet Explorer desde la versión 6 a la 11. Los CVE afectados son
CVE-2013-3908, CVE-2013-3909, CVE-2013-3871, CVE-2013-3910,
CVE-2013-3911, CVE-2013-3912, CVE-2013-3914, CVE-2013-3915,
CVE-2013-3916 y CVE-2013-3917.
* MS13-089: Boletín considerado “crítico” (con CVE-2013-3940) resuelve
una vulnerabilidad de ejecución remota de código en la forma en que la
interfaz de dispositivo gráfico (GDI) procesa en WordPad archivos de
Windows Write especialmente diseñados.
* MS13-090: Este boletín está calificado como “crítico” y soluciona la
última vulnerabilidad 0-day anunciada, reside en el control ActiveX de
clase InformationCardSigninHelper. La vulnerabilidad (con CVE-2013-3918)
podría permitir la ejecución remota de código si un usuario visita una
página web especialmente diseñada mediante Internet Explorer, que
ejecute el control ActiveX. Afecta a todos los sistemas Windows.
* MS13-091: Destinado a corregir tres vulnerabilidades “importantes” en
Microsoft Office que podrían permitir la ejecución remota de código si
se abre un documento de WordPerfect. Afecta a Microsoft Office 2003,
2007, 2010 y 2013. Los CVE afectados son CVE-2013-0082, CVE-2013-1324 y
CVE-2013-1325.
* MS13-092: Boletín de carácter “importante” (con CVE-2013-3898)
destinado a corregir una vulnerabilidad de elevación de privilegios en
Hyper-V, si un atacante pasa un parámetro de función especialmente
diseñado en una hiperllamada desde una máquina virtual en ejecución
existente al hipervisor.
* MS13-093: Corrige una vulnerabilidad (con CVE-2013-3887) de
divulgación de información en el controlador modo kernel de Windows
debido a que se trata incorrectamente la copia de datos entre la memoria
de kernel y de usuario. Afecta a Windows XP, Windows Server 2003,
Windows Vista, Windows Server 2008, Windows 7, Windows 8 y Windows
Server 2012.
* MS13-094: Boletín “importante” (con CVE-2013-3905) que resuelve una
vulnerabilidad de divulgación de información en Microsoft Outlook,
debida a que no se tratan adecuadamente la expansión de los metadatos de
certificado S/MIME.
* MS13-095: Corrige una vulnerabilidad de denegación de servicio (con
CVE-2013-3869) en Microsoft Windows, en las implementaciones del
análisis de certificados X.509 que podrían provocar que un servicio web
afectado dejara de responder.
Hay que señalar que queda pendiente de resolución la vulnerabilidad
0-day anunciada la semana pasada y que afectaba a Office.
Las actualizaciones publicadas pueden descargarse a través de Windows
Update o consultando los boletines de Microsoft donde se incluyen las
direcciones de descarga directa de cada parche. Se recomienda la
actualización de los sistemas con la mayor brevedad posible.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.