Microsoft publica 14 boletines de seguridad y soluciona 50 vulnerabilidades

Este martes Microsoft ha publicado 14 boletines de seguridad (del
MS16-104 al MS16-117) correspondientes a su ciclo habitual de
actualizaciones. Según la propia clasificación de Microsoft siete
de los boletines presentan un nivel de gravedad “crítico” mientras
que los siete restantes son “importantes”. En total se han solucionado
50 vulnerabilidades (algunas de ellas en varios productos) y otras 26
adicionales correspondientes en Flash Player.

* MS16-104: La habitual actualización acumulativa para Microsoft
Internet Explorer que además soluciona 10 nuevas vulnerabilidades. La
más grave de ellas podría permitir la ejecución remota de código si un
usuario visita, con Internet Explorer, una página web especialmente
creada (CVE-2016-3247, CVE-2016-3291, CVE-2016-3292, CVE-2016-3295,
CVE-2016-3297, CVE-2016-3324, CVE-2016-3325, CVE-2016-3351,
CVE-2016-3353 y CVE-2016-3375).

* MS16-105: Boletín “crítico” que incluye la también habitual
actualización acumulativa para Microsoft Edge, el navegador incluido en
Windows 10. En esta ocasión se solucionan 12 vulnerabilidades, la más
grave de ellas podría permitir la ejecución remota de código si un
usuario visita, con Microsoft Edge, una página web especialmente creada
(CVE-2016-3247, CVE-2016-3291, CVE-2016-3294, CVE-2016-3295,
CVE-2016-3297, CVE-2016-3325, CVE-2016-3330, CVE-2016-3350,
CVE-2016-3351, CVE-2016-3370, CVE-2016-3374 y CVE-2016-3377).

* MS16-106: Boletín “crítico” destinado a corregir cinco
vulnerabilidades en Microsoft Graphics Component, que podrían permitir
la ejecución remota de código si se abre un documento o web
específicamente creada. Afecta a todas las versiones soportadas de
Microsoft Windows. (CVE-2016-3348, CVE-2016-3349, CVE-2016-3354,
CVE-2016-3355 y CVE-2016-3356).

* MS16-107: Boletín “crítico” que soluciona cinco vulnerabilidades, la
más grave de ellas que podría permitir la ejecución remota de código si
se abre un archivo específicamente creado con Microsoft Office
(CVE-2016-0137, CVE-2016-0141, CVE-2016-3357 al CVE-2016-3366 y
CVE-2016-3381).

* MS16-108: Boletín “crítico” que resuelve tres vulnerabilidades
(CVE-2016-0138, CVE-2016-3378 y CVE-2016-3379) en Microsoft Exchange
Server la más grave de ellas podría permitir la ejecución remota de
código en algunas librerías Oracle Outside In incorporadas en Exchange
Server, si un atacante envía un email con un adjunto específicamente
creado.

* MS16-109: Boletín de carácter “importante” destinado a corregir una
vulnerabilidad en Microsoft Silverlight, que podría permitir la
ejecución remota de código si un usuario visita un sitio web con una
aplicación Silverlight específicamente creada (CVE-2016-3367).

* MS16-110: Actualización considerada “importante” destinada a corregir
cuatro vulnerabilidades en diferentes componentes de Windwos. La más
grave podría permitir la elevación de privilegios (CVE-2016-3346,
CVE-2016-3352, CVE-2016-3368 y CVE-2016-3369).

* MS16-111: Boletín considerado “importante” que resuelve cinco
vulnerabilidades en el kernel de Windows que podrían permitir la
elevación de privilegios en sistemas Windows (CVE-2016-3305,
CVE-2016-3306, CVE-2016-3371 al CVE-2016-3373).

* MS16-112: Destinado a corregir una vulnerabilidades “importante” que
podría permitir la elevación de privilegios si Windows permite la carga
de contenido web desde la pantalla de bloqueo de Windows
(CVE-2016-3302).

* MS16-113: Boletín de carácter “importante” destinado a corregir una
vulnerabilidad que podría permitir la obtención de información sensible
cuando Windows Secure Kernel Mode trata objetos en memoria de forma
inadecuada (CVE-2016-3344).

* MS16-114: Boletín considerado “importante” que resuelve una
vulnerabilidad (CVE-2016-3345) que podría llegar a permitir la ejecución
remota de código si un atacante autenticado envía paquetes
específicamente creados a un servidor Microsoft Server Message Block 1.0
(SMBv1).

* MS16-115: Actualización considerada “importante” que resuelve dos
vulnerabilidades en la librería PDF, que podría permitir la ejecución
remota de código si un usuario abre un documento PDF específicamente
creado (CVE-2016-3370 y CVE-2016-3374).

* MS16-116: Boletín “crítico” que resuelve una vulnerabilidad
(CVE-2016-3375) de corrupción de memoria en OLE Automation para VBScript
Scripting Engine que podría permitir la ejecución remota de código si un
usuario visita un sitio web malicioso. Para solucionar la vulnerabilidad
también debe instalarse la actualización MS16-104.

* MS16-117: Como viene siendo habitual en los últimos meses, Microsoft
publica un boletín para resolver las vulnerabilidades solucionadas por
Adobe en Flash Player en su también boletín periódico. Se trata de un
boletín “crítico” que en esta ocasión soluciona 26 vulnerabilidades en
Adobe Flash Player instalado en Windows Server 2012, Windows 8.1 y
Windows 10; correspondientes al boletín APSB16-29 de Adobe (y que
comentaremos con más detalle en una próxima una-al-día).

Las actualizaciones publicadas pueden descargarse a través de Windows
Update o consultando los boletines de Microsoft donde se incluyen las
direcciones de descarga directa de cada parche. Se recomienda la
actualización de los sistemas con la mayor brevedad posible.

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2016/09/microsoft-publica-14-boletines-de.html