Microsoft cierra el año con 11 boletines de seguridad

Este martes Microsoft ha publicado 11 boletines de seguridad (del
MS13-096 al MS13-106) correspondientes a su ciclo habitual de
actualizaciones. Según la propia clasificación de Microsoft cinco
de los boletines tienen un nivel de gravedad “crítico”, mientras que
los seis restantes presentan un nivel “importante”. En total se han
resuelto más de 24 vulnerabilidades.

A esperas de acabar el año (y alguna sorpresa de última hora), Microsoft
ha publicado un total de 106 boletines (frente a los 83 del año pasado),
en los que han corregido un total de 340 vulnerabilidades.

Como ya adelantamos, queda pendiente la corrección de la vulnerabilidad
0-day en el componente NDProxy.sys del kernel de Windows XP y Windows
Server 2003, que podría permitir a un atacante local realizar una
elevación de privilegios (CVE-2013-5065).

Los boletines “críticos” son:

* MS13-096: Se trata de una actualización destinada a solucionar una
vulnerabilidad de ejecución remota de código arbitrario en Microsoft
Windows, Microsoft Office y Microsoft Lync, a través del componente de
gráficos al visualizar archivos tiff específicamente diseñados.

* MS13-097: Actualización de seguridad acumulativa de Internet Explorer
que además resuelve siete nuevas vulnerabilidades. Afecta a Internet
Explorer 6, 7, 8, 9, 10 y 11.

* MS13-098: Actualización que soluciona una vulnerabilidad de ejecución
remota de código arbitrario si un usuario o una aplicación ejecuta o
instala un archivo portable ejecutable (PE), firmado y especialmente
diseñado en los sistemas afectados. Afecta a Microsoft Windows XP,
Windows Server 2003, Vista, Windows 7, Windows Server 2008, Windows 8,
Windows 8.1 y Windows Server 2012.

* MS13-099: Boletín destinado a corregir una vulnerabilidad en Microsoft
Script que podría permitir la ejecución remota de código si un atacante
convence a un usuario para que visite un sitio web especialmente
diseñado o con contenido malicioso. Afecta a Windows Script 5.6, 5.7 y
5.8 en todas las versiones de Windows.

* MS13-105: Actualización para corregir cuatro vulnerabilidades de
ejecución remota de código en Microsoft Exchange Server. Afecta a
Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 y
Microsoft Exchange Server 2013.

Los boletines clasificados como “importantes” son:

* MS13-100: Actualización para solucionar varias vulnerabilidades de
ejecución remota de código (agrupadas en un único CVE CVE-2013-5059) en
el servidor de SharePoint. Afecta a Microsoft SharePoint Server 2013 y
Microsoft Office Services y Web Apps.

* MS13-101: Boletín destinado a corregir cinco vulnerabilidades en los
controladores en modo kernel de Windows que podrían permitir la
elevación de privilegios. Afecta a todos los sistemas Windows.

* MS13-102: Actualización para corregir una vulnerabilidad que podría
permitir la elevación de privilegios si un atacante suplanta un servidor
de LRPC y envía un mensaje de puerto LPC especialmente diseñado a un
cliente de LRPC. Afecta a Windows XP y Windows Server 2003.

* MS13-103: Actualización para corregir una vulnerabilidad en ASP.NET
SignalR podría permitir la elevación de privilegios. Afecta a ASP.NET
Signal 1.1.x, ASP.NET Signal 2.0.x y Microsoft Visual Studio Team
Foundation Server 2013.

* MS13-104: Boletín destinado a corregir una vulnerabilidad de
divulgación de información en Microsoft Office al abrir un archivo de
Office alojado en un sitio web malicioso. Afecta a Microsoft Office
2013.

* MS13-106: Actualización para corregir una vulnerabilidad en Microsoft
Office, que se está empleando en la actualidad. El problema reside en un
componente compartido de Office que no implementa correctamente la
protección ASLR (“Address Space Layout Randomization” o selección
aleatoria del diseño del espacio de direcciones), lo que podría permitir
evitar esta protección si un usuario consulta una página web
especialmente diseñada con un explorador web que pueda ejecutar
componentes COM (como Internet Explorer).

Las actualizaciones publicadas pueden descargarse a través de Windows
Update o consultando los boletines de Microsoft donde se incluyen las
direcciones de descarga directa de cada parche. Dada la gravedad de las
vulnerabilidades se recomienda la actualización de los sistemas con la
mayor brevedad posible.

 Fuente

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies