Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/05/2013
Butlletins de Microsoft per al mes de Maig
Consta de 10 butlletins (2 d’estos classificats com a crítics i la resta com a importants) que solucionen un total de 33 vulnerabilitats. Les vulnerabilitats més crítiques permetrien l’execució remota de codi en Internet Explorer.
MS13-037. Crítica. Actualització de seguretat acumulativa per a Internet Explorer (2829530)
Esta actualització de seguretat resol onze vulnerabilitats de què s’ha informat de forma privada en Internet Explorer. La més greu de les vulnerabilitats podria permetre l’execució remota de codi si un usuari, per mitjà d’Internet Explorer, visita una pàgina web especialment dissenyada. Un atacant que aprofitara la més greu d’estes vulnerabilitats podria aconseguir el mateix nivell de drets d’usuari que l’usuari actual. Els usuaris els comptes dels quals estiguen configurats amb menys drets d’usuari en el sistema correrien un risc menor que els que compten amb drets d’usuari administratius.
Esta actualització de seguretat es considera crítica per a Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9 i Internet Explorer 10 en clients Windows i moderada per a Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9 i Internet Explorer 10 en servidors Windows. Per a obtindre més informació, consulte la subsecció Software afectat i no afectat, en esta secció.
Esta actualització de seguretat corregix les vulnerabilitats en modificar la forma en què Internet Explorer autoritza l’accés d'scripts a les dades i tracta els objectes en memòria.
Programari afectat: Microsoft Windows, Internet Explorer.
MS13-038. Crítica. Actualització de seguretat acumulativa per a Internet Explorer (2847204)
Esta actualització de seguretat resol una vulnerabilitat de què s’ha informat de forma pública en Internet Explorer. La vulnerabilitat podria permetre l’execució remota de codi, si un usuari visita una pàgina web especialment dissenyada per mitjà d’Internet Explorer. Un atacant que aprofitara esta vulnerabilitat podria aconseguir el mateix nivell de drets d’usuari que l’usuari actual. Els usuaris els comptes dels quals estiguen configurats amb menys drets d’usuari en el sistema correrien un risc menor que els que compten amb drets d’usuari administratius.
Esta actualització de seguretat es considera crítica per a Internet Explorer 8 en clients Windows i moderada per a Internet Explorer 8 en servidors de Windows. Esta actualització de seguretat no té cap classificació de gravetat per a Internet Explorer 9
Programari afectat: Microsoft Windows, Internet Explorer.
MS13-039. Important. Una vulnerabilitat en HTTP.sys podria permetre la denegació de servici (2829254)
Esta actualització de seguretat crítica resol una vulnerabilitat de la qual s’ha informat de forma privada en Microsoft Windows. La vulnerabilitat podria permetre la denegació de servici, si un atacant envia un paquet HTTP especialment dissenyat a un servidor o client Windows.
Esta actualització de seguretat es considera important per a totes les edicions compatibles de Windows 8 i Windows Server 2012. Per a obtindre més informació, veja la subsecció Software afectat i no afectat, en esta secció. L’actualització de seguretat corregix la vulnerabilitat en modificar la forma en què HTTP.sys tracta determinats encapçalaments HTTP. Per a obtindre més informació sobre la vulnerabilitat, consulte la subsecció Preguntes més freqüents (P+F) de l’entrada de vulnerabilitat específica en la secció següent, Informació sobre la vulnerabilitat.
Programari afectat: Microsoft Windows.
MS13-040. Important. Vulnerabilitats en .NET Framework podrien permetre la suplantació d’identitat (2836440)
Esta actualització de seguretat resol una vulnerabilitat de què s’ha informat de forma privada i una vulnerabilitat de què s’ha informat de forma pública en .NET Framework. La més greu de les vulnerabilitats podria permetre la suplantació d’identitat, si una aplicació .NET rep un arxiu XML especialment dissenyat. Un atacant que aprofitara les vulnerabilitats podria modificar el contingut d’un arxiu XML sense invalidar la firma de l’arxiu i podria obtindre accés a les funcions d’extrem com si fóra un usuari autenticat.
Esta actualització de seguretat es considera important per a Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 i Microsoft .NET Framework 4.5 en les edicions afectades de Microsoft Windows.
Programari afectat: Microsoft Windows
MS13-041. Important. Una vulnerabilitat en Lync podria permetre l’execució remota de codi (2834695)
Esta actualització de seguretat crítica resol una vulnerabilitat de què s’ha informat de forma privada en Microsoft Lync. La vulnerabilitat podria permetre l’execució remota de codi, si un atacant compartix contingut especialment dissenyat, per exemple, un arxiu o un programa, com una presentació en Lync o Communicator i, a continuació, convenç un usuari que accepte una invitació per a veure o compartir el contingut que es pot presentar. L’atacant no podria en cap cas obligar els usuaris a veure o compartir l’arxiu o el programa controlat per ell. Per tant, hauria de convéncer-los que realitzaren una acció, per exemple, incitar-los que accepten una invitació en Lync o Communicator per a veure o compartir el contingut que es pot presentar.
Esta actualització de seguretat es considera important per a les edicions compatibles de Microsoft Communicator 2007 R2, Microsoft Lync 2010, Microsoft Lync 2010 Attendee i Microsoft Lync Server 2013.
Programari afectat: Microsoft Communicator, Microsoft Lync
MS13-042. Important. Vulnerabilitats en Microsoft Publisher podrien permetre l’execució remota de codi (2830397)
Esta actualització de seguretat resol onze vulnerabilitats de què s’ha informat de forma privada en Microsoft Office. Les vulnerabilitats podrien permetre l’execució remota de codi, si un usuari obri un arxiu de Publisher especialment dissenyat amb una versió afectada de Microsoft Publisher. Un intrús que aprofitara estes vulnerabilitats podria aconseguir el mateix nivell de drets d’usuari que l’usuari actual. Els usuaris els comptes dels quals estiguen configurats amb menys drets d’usuari en el sistema correrien un risc menor que els que compten amb drets d’usuari administratius.
Esta actualització de seguretat es considera important per a les edicions compatibles de Microsoft Publisher 2003, Microsoft Publisher 2007 i Microsoft Publisher 2010.
Programari afectat: Microsoft Office
MS13-043. Important. Una vulnerabilitat en Microsoft Word podria permetre l’execució remota de codi (2830339)
Esta actualització de seguretat resol una vulnerabilitat de què s’ha informat de forma privada en Microsoft Office. La vulnerabilitat podria permetre l’execució remota de codi, si un usuari obri un arxiu especialment dissenyat o obté una vista prèvia d’un missatge de correu electrònic especialment dissenyat en una versió afectada del programari de Microsoft Office. Un atacant que aprofitara esta vulnerabilitat podria aconseguir el mateix nivell de drets d’usuari que l’usuari actual. Els usuaris els comptes dels quals estiguen configurats amb menys drets d’usuari en el sistema correrien un risc menor que els que compten amb drets d’usuari administratius.
Esta actualització de seguretat es considera important per a les edicions compatibles de Microsoft Word 2003 i Microsoft Word Viewer.
Programari afectat: Microsoft Word
MS13-044. Important. Una vulnerabilitat en Microsoft Visio podria permetre la divulgació d’informació (2834692)
Esta actualització de seguretat crítica resol una vulnerabilitat de la qual s’ha informat de forma privada en Microsoft Office. La vulnerabilitat podria permetre la divulgació d’informació, si un usuari obri un arxiu de Visio especialment dissenyat. És important mencionar que la vulnerabilitat no permetrà a l’atacant executar codi o elevar directament els seus drets d’usuari, però podria servir per a produir informació útil que poguera usar-se per a tractar de traure més profit d’un sistema afectat.
Esta actualització de seguretat es considera important per a les edicions compatibles de Microsoft Visio 2003, Microsoft Visio 2007 i Microsoft Visio 2010.
Programari afectat: Microsoft Visio
MS13-045. Important
Una vulnerabilitat en Windows Essentials podria permetre la divulgació d’informació (2813707)
Esta actualització de seguretat resol una vulnerabilitat en Windows Essentials de què s’ha informat de forma privada. La vulnerabilitat podria permetre la divulgació d’informació, si un usuari obri Windows Writer per mitjà d’una URL especialment dissenyada. Un atacant que aprofitara la vulnerabilitat podria reemplaçar la configuració de servidor intermediari (proxy) de Windows Writer i sobreescriure arxius accessibles a l’usuari en el sistema de destí. En el cas d’un atac basat en web, un lloc web podria contindre un vincle especialment dissenyat destinat a aprofitar esta vulnerabilitat. Un atacant hauria de convéncer els usuaris que visiten el lloc web i obrir el vincle especialment dissenyat.
Esta actualització de seguretat es considera important per a Windows Writer en totes les edicions compatibles de Microsoft Windows.
Programari afectat: Microsoft Windows Essentials
MS13-046. Importante. Vulnerabilitats en els controladors mode nucli podrien permetre l’elevació de privilegis (2840221)
Esta actualització de seguretat resol tres vulnerabilitats de què s’ha informat de forma privada en Microsoft Windows. Les vulnerabilitats podrien permetre l’elevació de privilegis, si un atacant inicia sessió en el sistema i executa una aplicació especialment dissenyada. Per a aprofitar esta vulnerabilitat, un atacant ha de tindre unes credencials d’inici de sessió vàlides i ser capaç d’aprofitar estes vulnerabilitats.
Esta actualització de seguretat es considera important per a totes les edicions compatibles de Windows XP, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 i Windows RT.
Programari afectat: Microsoft Windows