Microsoft publica 18 boletines de seguridad y soluciona 135 vulnerabilidades

A pesar de las informaciones previas sobre la no publicación de
boletines, este martes Microsoft ha publicado 19 boletines de seguridad
(del MS17-006 al MS17-023) correspondientes a su ciclo habitual de
actualizaciones. Según la propia clasificación de Microsoft nueve de
los boletines presentan un nivel de gravedad “crítico” mientras que
los nueve restantes son “importantes”. En total se han solucionado
135 vulnerabilidades (algunas de ellas en varios productos). Además
se han corregido otras siete vulnerabilidades adicionales en Flash
Player.

Hay que señalar que Microsoft ha corregido los problemas anunciados con
anterioridad, incluyendo el fallo en el tratamiento de tráfico SMB que
puede permitir provocar denegaciones de servicio (CVE-2017-0016) y los
reportados por Project Zero, por una lectura fuera de límites en
gdi32.dll (con CVE-2017-0038) y de ejecución remota de código en los
navegadores Internet Explorer y en Edge (CVE-2017-0037). Tras la
ausencia de boletines el pasado mes de febrero se esperaban muchos
boletines y vulnerabilidades corregidas. Las previsiones se han cumplido
y los boletines publicados son los siguientes:

MS17-006: La habitual actualización acumulativa para Microsoft Internet
Explorer que además soluciona 12 nuevas vulnerabilidades, tres de ellas
se habían publicado con anterioridad. La más grave de ellas podría
permitir la ejecución remota de código si un usuario visita, con
Internet Explorer, una página web especialmente creada (CVE-2017-0008,
CVE-2017-0009, CVE-2017-0012, CVE-2017-0018, CVE-2017-0033,
CVE-2017-0037, CVE-2017-0040, CVE-2017-0049, CVE-2017-0059,
CVE-2017-0130, CVE-2017-0149 y CVE-2017-0154).

MS17-007: Boletín “crítico” que incluye la también habitual
actualización acumulativa para Microsoft Edge, el navegador incluido en
Windows 10. En esta ocasión se solucionan 32 vulnerabilidades. La más
grave de ellas podría permitir la ejecución remota de código si un
usuario visita, con Microsoft Edge, una página web especialmente creada
(CVE-2017-0009 al CVE-2017-0012, CVE-2017-0015, CVE-2017-0017,
CVE-2017-0023, CVE-2017-0032 al CVE-2017-0035, CVE-2017-0037,
CVE-2017-0065 al CVE-2017-0071, CVE-2017-0094, CVE-2017-0131 al
CVE-2017-0138, CVE-2017-0140, CVE-2017-0141, CVE-2017-0150 y
CVE-2017-0151).

MS17-008: Boletín considerado “crítico” que resuelve 11 vulnerabilidades
en Windows Hyper-V. La más grave de ellas podría permitir la ejecución
remota de código si un atacante autenticado en un sistema invitado
ejecuta una aplicación específicamente creada que provoque la ejecución
de código en el sistema Hyper-V anfitrión (CVE-2017-0021, CVE-2017-0051,
CVE-2017-0074, CVE-2017-0075, CVE-2017-0076, CVE-2017-0095 al
CVE-2017-0099 y CVE-2017-0109).

MS17-009: Actualización considerada “crítica” que resuelve una
vulnerabilidad en la librería PDF, que podría permitir la ejecución
remota de código si un usuario abre un documento PDF específicamente
creado (CVE-2017-0023).

MS17-010: Boletín considerado “crítico” que resuelve seis
vulnerabilidades (CVE-2017-0143 al CVE-2017-0148) que podrían llegar a
permitir la ejecución remota de código si un atacante autenticado envía
paquetes específicamente creados a un servidor Microsoft Server Message
Block 1.0 (SMBv1).

MS17-011: Actualización considerada “crítica” destinada a corregir 29
vulnerabilidades en Windows Uniscribe, la más grave podría permitir
la ejecución remota de código si un usuario visita un sitio web
específicamente creado o abre un documento manipulado (CVE-2017-0072,
CVE-2017-0083 al CVE-2017-0092, CVE-2017-0111 al CVE-2017-0128).

MS17-012: Actualización considerada “crítica” destinada a corregir seis
vulnerabilidades en diferentes componentes de Windows. La más grave
podría permitir la ejecución remota de código arbitrario (CVE-2017-0007,
CVE-2017-0016, CVE-2017-0039, CVE-2017-0057, CVE-2017-0100 y
CVE-2017-0104). Aquí se incluye la vulnerabilidad de denegación de
servicio en el tratamiento de tráfico SMB; conocida con anterioridad y
sobre la que ya hemos comentado en diversas ocasiones.

MS17-013: Boletín “crítico” destinado a corregir 12 vulnerabilidades
en Microsoft Graphics Component, las más graves podrían permitir la
ejecución remota de código si se abre un documento o web específicamente
creada. Afectan a Microsoft Windows, Microsoft Office, Skype for
Business, Microsoft Lync y Microsoft Silverlight. (CVE-2017-0001,
CVE-2017-0005, CVE-2017-0014, CVE-2017-0025, CVE-2017-0038,
CVE-2017-0047, CVE-2017-0060 al CVE-2017-0063, CVE-2017-0073 y
CVE-2017-0108). Esta actualización incluye la corrección de la
vulnerabilidad reportada por Project Zero por una lectura fuera de
límites en gdi32.dll (con CVE-2017-0038).

MS17-014: Boletín “importante” que soluciona 12 vulnerabilidades, la más
grave de ellas que podría permitir la ejecución remota de código si se
abre un archivo específicamente creado con Microsoft Office
(CVE-2017-0006, CVE-2017-0019, CVE-2017-0020, CVE-2017-0027,
CVE-2017-0029, CVE-2017-0030, CVE-2017-0031, CVE-2017-0052,
CVE-2017-0053, CVE-2017-0105, CVE-2017-0107 y CVE-2017-0129).
MS17-015: Destinado a corregir una vulnerabilidad (CVE-2017-0110) de
gravedad “importante” en Microsoft Exchange Outlook Web Access (OWA).
Podría permitir la ejecución remota de código en Exchange Server si un
atacante envía un correo con un adjunto específicamente manipulado a un
servidor Exchange vulnerable.

MS17-016: Resuelve una vulnerabilidad importante (CVE-2017-0055) en
Microsoft Internet Information Services (IIS), que podría permitir la
elevación de privilegios si un usuario pulsa una URL específicamente
manipulada alojada en un servidor Microsoft IIS afectado.

MS17-017: Boletín considerado “importante” que resuelve cuatro
vulnerabilidades en el kernel de Windows que podrían permitir la
elevación de privilegios (CVE-2017-0050 y CVE-2017-0101 al
CVE-2017-0103). Afecta a Windows Vista, Windows Server 2008, Windows 7,
Windows 8.1, Windows Server 2012, Windows 10 y Windows Server 2016.

MS17-018: Boletín de carácter “importante” destinado a corregir ocho
vulnerabilidades en el controlador modo kernel de Windows que podrían
permitir la elevación de privilegios si un usuario ejecuta una
aplicación específicamente creada. (CVE-2017-0024, CVE-2017-0026,
CVE-2017-0056 y CVE-2017-0078 al CVE-2017-0082).

MS17-019: Resuelve una vulnerabilidad “importante” (CVE-2017-0043) de
obtención de información en Active Directory Federation Services (ADFS).
Afecta a Windows Server 2008, 2012 y 2016.

MS17-020: Destinado a corregir una vulnerabilidad (CVE-2017-0045) de
gravedad “importante” de Cross-Site Request Forgery en Windows DVD
Maker.

MS17-021: Boletín de carácter “importante” destinado a corregir una
vulnerabilidad (CVE-2017-0042) de obtención de información si Windows
DirectShow abre contenido multimedia específicamente creado. Afecta a
Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows
Server 2012, Windows 10 y Windows Server 2016.

MS17-022: Resuelve una vulnerabilidad “importante” (CVE-2017-0022) en
Microsoft XML Core Services (MSXML) al tratar de forma inadecuada
objetos en memoria. Un atacante podría verificar la existencia de
archivos en el sistema. Afecta a Windows Vista, Windows Server 2008,
Windows 7, Windows 8.1, Windows Server 2012, Windows 10 y Windows Server
2016.

MS17-023: Como ya es habitual, Microsoft publica un boletín para
resolver las vulnerabilidades solucionadas por Adobe en Flash Player en
su también boletín periódico. Se trata de un boletín “crítico” que en
esta ocasión soluciona siete vulnerabilidades en Adobe Flash Player
instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y
Windows 10; correspondientes al boletín APSB17-07 de Adobe (y que
comentaremos con más detalle en una próxima una-al-día).

Las actualizaciones publicadas pueden descargarse a través de Windows
Update o consultando los boletines de Microsoft donde se incluyen las
direcciones de descarga directa de cada parche. Se recomienda la
actualización de los sistemas con la mayor brevedad posible.

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2017/03/microsoft-publica-18-boletines-de.html