Microsoft ha publicado el boletín de seguridad mensual correspondiente a junio de 2014, que incluye siete actualizaciones de software para resolver diversas vulnerabilidades y exposiciones comunes (dos de ellas críticas) y que afectan a sistemas operativos Microsoft Windows, navegadores Internet Explorer, suite ofimática Microsoft Office y Microsoft Lync/Server.
Las consecuencias potenciales de estas vulnerabilidades van desde la ejecución remota de código, la elevación de privilegios, la denegación de servicio y la divulgación de información. Los parches de seguridad pueden descargarse automáticamente desde Windows Update y se recomienda actualizar equipos informáticos a la mayor brevedad. Las vulnerabilidades corregidas son:
MS14-035. Actualización de seguridad acumulativa para Internet Explorer (2969262) – Crítica.. Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma pública y cincuenta y siete vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
MS14-036. Vulnerabilidades en el componente de gráficos de Microsoft podrían permitir la ejecución remota de código (2967487) – Crítica.. Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows, Microsoft Office y Microsoft Lync. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo o una página web especialmente diseñados. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
MS14-034. Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código (2969261) – Importante.. Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si se abre un archivo especialmente diseñado en una versión afectada de Microsoft Word. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
MS14-033. Una vulnerabilidad en Microsoft XML Core Services podría permitir la divulgación de información (2966061) – Importante.. Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la divulgación de información si un usuario que ha iniciado sesión visita un sitio web especialmente diseñado para invocar Microsoft XML Core Services (MSXML) a través de Internet Explorer. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos a un sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o una solicitud de Instant Messenger que lleve a los usuarios al sitio web del atacante.
MS14-032. Una vulnerabilidad en Microsoft Lync Server podría permitir la divulgación de información (2969258) – Importante.. Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Lync Server. La vulnerabilidad podría permitir la divulgación de información si un usuario intenta unirse a una reunión de Lync haciendo clic en una dirección URL de reunión especialmente diseñada.
MS14-031. Una vulnerabilidad en el protocolo TCP podría permitir la denegación de servicio (2962478) – Importante.. Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un atacante envía una secuencia de paquetes especialmente diseñados al sistema de destino.
MS14-030. Una vulnerabilidad en Escritorio remoto podría permitir la alteración (2969259) – Importante.. Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la alteración si un atacante obtiene acceso al mismo segmento de red que el sistema de destino durante una sesión de protocolo de Escritorio remoto (RDP) activa y, a continuación, envía paquetes RDP especialmente diseñados al sistema de destino. De forma predeterminada, RDP no está habilitado en ningún sistema operativo Windows. Los sistemas que no tienen RDP habilitado no están expuestos.
Las consecuencias potenciales de estas vulnerabilidades van desde la ejecución remota de código, la elevación de privilegios, la denegación de servicio y la divulgación de información. Los parches de seguridad pueden descargarse automáticamente desde Windows Update y se recomienda actualizar equipos informáticos a la mayor brevedad. Las vulnerabilidades corregidas son:
MS14-035. Actualización de seguridad acumulativa para Internet Explorer (2969262) – Crítica.. Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma pública y cincuenta y siete vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
MS14-036. Vulnerabilidades en el componente de gráficos de Microsoft podrían permitir la ejecución remota de código (2967487) – Crítica.. Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows, Microsoft Office y Microsoft Lync. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo o una página web especialmente diseñados. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
MS14-034. Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código (2969261) – Importante.. Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si se abre un archivo especialmente diseñado en una versión afectada de Microsoft Word. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
MS14-033. Una vulnerabilidad en Microsoft XML Core Services podría permitir la divulgación de información (2966061) – Importante.. Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la divulgación de información si un usuario que ha iniciado sesión visita un sitio web especialmente diseñado para invocar Microsoft XML Core Services (MSXML) a través de Internet Explorer. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos a un sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o una solicitud de Instant Messenger que lleve a los usuarios al sitio web del atacante.
MS14-032. Una vulnerabilidad en Microsoft Lync Server podría permitir la divulgación de información (2969258) – Importante.. Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Lync Server. La vulnerabilidad podría permitir la divulgación de información si un usuario intenta unirse a una reunión de Lync haciendo clic en una dirección URL de reunión especialmente diseñada.
MS14-031. Una vulnerabilidad en el protocolo TCP podría permitir la denegación de servicio (2962478) – Importante.. Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un atacante envía una secuencia de paquetes especialmente diseñados al sistema de destino.
MS14-030. Una vulnerabilidad en Escritorio remoto podría permitir la alteración (2969259) – Importante.. Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la alteración si un atacante obtiene acceso al mismo segmento de red que el sistema de destino durante una sesión de protocolo de Escritorio remoto (RDP) activa y, a continuación, envía paquetes RDP especialmente diseñados al sistema de destino. De forma predeterminada, RDP no está habilitado en ningún sistema operativo Windows. Los sistemas que no tienen RDP habilitado no están expuestos.
No hay comentarios:
Publicar un comentario
Dejar Comentarios