Microsoft publica 10 boletines de seguridad y soluciona 36 vulnerabilidades incluidos cinco 0-days

Microsoft publica 10 boletines de seguridad y soluciona 36
vulnerabilidades incluidos cinco 0-days

Este martes Microsoft ha publicado 14 boletines de seguridad (del
MS16-118 al MS16-127) correspondientes a su ciclo habitual de
actualizaciones. Según la propia clasificación de Microsoft cinco de los
boletines presentan un nivel de gravedad “crítico” mientras que cuatro
son “importantes” y un último “moderado”. En total se han solucionado 36
vulnerabilidades (algunas de ellas en varios productos), cinco de ellas
están consideradas como 0-days y se están explotando en la actualidad.
Además se han corregido otras 13 vulnerabilidades adicionales en Flash
Player.

Las vulnerabilidades consideradas como 0-days, que se están utilizando
en ataques en la actualidad, afectan a Internet Explorer (CVE-2016-3298)
con un fallo que podría permitir obtener información del sistema
mediante la comprobación de archivos en el disco. Otro 0-day (con
CVE-2016-7189) afecta a Edge y reside en el motor de scripting del
navegador. Con CVE-2016-3393 otra vulnerabilidad que se está utilizando
en la actualidad afecta a Microsoft Windows Graphics Component (boletín
MS16-120) por la forma en que Windows GDI trata objetos en memoria y
podría permitir a los atacantes tomar el control del sistema.

Otras dos vulnerabilidades 0-day afectan a Office (MS16-121) por el
tratamiento de archivos RTF y a la API Microsoft Internet Messaging
(MS16-126) y afecta a Vista, Windows 7 y Windows 2008.

Los boletines publicados son los siguientes:

MS16-118: La habitual actualización acumulativa para Microsoft Internet
Explorer que además soluciona 11 nuevas vulnerabilidades. La más grave
de ellas podría permitir la ejecución remota de código si un usuario
visita, con Internet Explorer, una página web especialmente creada
(CVE-2016-3267, CVE-2016-3298, CVE-2016-3331, CVE-2016-3382,
CVE-2016-3383, CVE-2016-3384, CVE-2016-3385, CVE-2016-3387,
CVE-2016-3388, CVE-2016-3390 y CVE-2016-3391).

MS16-119: Boletín “crítico” que incluye la también habitual
actualización acumulativa para Microsoft Edge, el navegador incluido en
Windows 10. En esta ocasión se solucionan 13 vulnerabilidades, la más
grave de ellas podría permitir la ejecución remota de código si un
usuario visita, con Microsoft Edge, una página web especialmente creada
(CVE-2016-3267, CVE-2016-3331, CVE-2016-3382, CVE-2016-3386,
CVE-2016-3387, CVE-2016-3388, CVE-2016-3389, CVE-2016-3390,
CVE-2016-3391, CVE-2016-3392, CVE-2016-7189, CVE-2016-7190 y
CVE-2016-7194).

MS16-120: Boletín “crítico” destinado a corregir siete vulnerabilidades
en Microsoft Graphics Component, que podrían permitir la ejecución
remota de código si se abre un documento o web específicamente creada.
Afectan a Microsoft Windows, Microsoft Office, Skype for Business,
Silverlight y Microsoft Lync. (CVE-2016-3209, CVE-2016-3262,
CVE-2016-3263, CVE-2016-3270, CVE-2016-3393, CVE-2016-3396 y
CVE-2016-7182).

MS16-121: Boletín “importante” que soluciona una vulnerabilidad 0-day
que podría permitir la ejecución remota de código si se abre con
Microsoft Office un archivo RTF específicamente creado (CVE-2016-7193).

“Microsoft is aware of limited attacks that
use this vulnerability in conjunction with
other vulnerabilities to gain code execution.”

MS16-122: Boletín “crítico” que resuelve una vulnerabilidad
(CVE-2016-0142) en Microsoft Windows que podría permitir la ejecución
remota de código si Microsoft Video Control falla al tratar
adecuadamente objetos en memoria.

MS16-123: Boletín de carácter “importante” destinado a corregir cinco
vulnerabilidades en los controladores modo kernel de Microsoft Windows,
la más grave podría permitir la elevación de privilegios si un usuario
ejecuta una aplicación específicamente creada (CVE-2016-3266,
CVE-2016-3341, CVE-2016-3376, CVE-2016-7185 y CVE-2016-7191).

MS16-124: Actualización considerada “importante” destinada a corregir
cuatro vulnerabilidades de elevación de privilegios si un atacante
acceder a información sensible del registro (CVE-2016-0070,
CVE-2016-0073, CVE-2016-0075 y CVE-2016-0079).

MS16-125: Boletín considerado “importante” que resuelve una
vulnerabilidad en el servicio Windows Diagnostics Hub Standard Collector
Service que podría permitir la elevación de privilegios en sistemas
Windows (CVE-2016-7188).

MS16-126: Destinado a corregir una vulnerabilidad de gravedad
“moderada”, pero que se está explotando en la actualidad, que podría
permitir obtener información sensible cuando la API Microsoft Internet
Messaging maneja inadecuadamente objetos en memoria (CVE-2016-3298).
Afecta a Windows Vista, Windows 7 y Windows 2008.

MS16-127: Como ya es habitual, Microsoft publica un boletín para
resolver las vulnerabilidades solucionadas por Adobe en Flash Player en
su también boletín periódico. Se trata de un boletín “crítico” que en
esta ocasión soluciona 13 vulnerabilidades en Adobe Flash Player
instalado en Windows Server 2012, Windows 8.1 y Windows 10;
correspondientes al boletín APSB16-32 de Adobe (y que comentaremos con
más detalle en una próxima una-al-día).

Las actualizaciones publicadas pueden descargarse a través de Windows
Update o consultando los boletines de Microsoft donde se incluyen las
direcciones de descarga directa de cada parche. Se recomienda la
actualización de los sistemas con la mayor brevedad posible.

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2016/10/microsoft-publica-10-boletines-de.html#comments