Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/10/2013
Boletines de Microsoft para el mes de Octubre
Consta de ocho boletines de seguridad, siendo 4 de ellos críticos y el resto importantes. Se centran en Microsoft Windows, Internet Explorer, Microsoft .NET Framework y Microsoft Office, entre otros.
MS13-080: Crítica Actualización de seguridad acumulativa para Internet Explorer.
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y nueve vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un atacante que aprovechara la más grave de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
MS13-081: Crítica Vulnerabilidades en los controladores modo kernel de Windows podrían permitir la ejecución remota de código.
Esta actualización de seguridad resuelve siete vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario consulta contenido compartido que inserta archivos de fuente OpenType o TrueType. Un atacante que aprovechara estas vulnerabilidades podría obtener el control completo del sistema afectado.
MS13-082: Crítica Vulnerabilidades en .NET Framework podrían permitir la ejecución remota de código.
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Microsoft .NET Framework. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visita un sitio web que incluye un archivo de fuentes OpenType (OTF) especialmente diseñado con un explorador que pueda crear instancias de aplicaciones XBAP.
MS13-083: Crítica Una vulnerabilidad en la biblioteca de controles comunes de Windows podría permitir la ejecución remota de código.
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante envía una solicitud web especialmente diseñada a una aplicación web ASP.NET que se ejecute en un sistema afectado. Un atacante puede aprovechar esta vulnerabilidad sin autenticación para ejecutar código arbitrario.
MS13-084: Importante Vulnerabilidades en Microsoft SharePoint Server podrían permitir la ejecución remota de código.
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en el software de servidor de Microsoft Office. La vulnerabilidad más grave podría permitir la ejecución remota de código si un usuario abre un archivo de Office especialmente diseñado en una versión afectada de Microsoft SharePoint Server, Microsoft Office Services o Web Apps.
MS13-085: Importante Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código.
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Office especialmente diseñado con una versión afectada de Microsoft u otro software de Microsoft Office. Un atacante que aprovechara las vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
MS13-086: Importante Vulnerabilidades en Microsoft Word podrían permitir la ejecución remota de código.
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si se abre un archivo especialmente diseñado en una versión afectada de Microsoft Word u otro software de Microsoft Office. Un atacante que aprovechara las vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
MS13-087: ImportanteUna vulnerabilidad en Silverlight podría permitir la divulgación de información.
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Silverlight. La vulnerabilidad podría permitir la divulgación de información si un atacante hospeda un sitio web que contenga una aplicación de Silverlight especialmente diseñada que pudiera aprovechar esta vulnerabilidad y convence a un usuario de que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Los sitios web de este tipo podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a visitar un sitio web. Por lo tanto, tendría que atraerlos a un sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de un mensaje de Instant Messenger que los lleve al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.
IMPACTO:
- Ejecución remota de código.
- Divulgación de información.
Referencias: