Alerta - Avisos de seguridad de Microsoft para diciembre de 2013
¿Cuál es el objetivo de esta alerta?
Esta alerta es para proporcionarle una visión general de los tres nuevos avisos de seguridad que Microsoft publicó el 10 de diciembre de 2013. Además, esta alerta le proporcionará una descripción general de las revisiones a un aviso de seguridad del 10 de diciembre de 2013.
Nota: Además, Microsoft publicó 11 nuevos boletines de seguridad el 10 de diciembre de 2013. Debido a que esta es una gran cantidad de información, en un esfuerzo para reducir cualquier confusión, los nuevos boletines de seguridad se examinan por separado en una alerta de campo dedicada a la información del boletín de seguridad.
Nuevos avisos de seguridad
Microsoft publicó tres nuevos avisos de seguridad el 10 de diciembre de 2013. He aquí un resumen de estas nuevas recomendaciones de seguridad:
Aviso de seguridad 2905247 |
Una configuración insegura del sitio ASP.NET podría permitir la elevación de privilegios |
Resumen ejecutivo |
Microsoft anuncia la disponibilidad de una actualización para Microsoft ASP.NET que trata una vulnerabilidad en el estado de vista de ASP.NET que existe cuando se deshabilita la validación del Código de autenticación de máquina (MAC) por medio de la configuración. La vulnerabilidad podría permitir la elevación de privilegios y afecta a todas las versiones compatibles de Microsoft .NET Framework, excepto .NET Framework 3.0 Service Pack 2 y Microsoft .NET Framework 3.5 Service Pack 1.
Cualquier sitio ASP.NET para el que se ha deshabilitado MAC en el estado de vista por medio de la configuración es vulnerable a un ataque. Un atacante que explote con éxito la vulnerabilidad podría utilizar contenidos HTTP especialmente diseñados para inyectar código que se ejecutará en el contexto de la cuenta de servicio del servidor ASP.NET. Microsoft está consciente de la información a disposición del público que se podrían utilizar para explotar esta vulnerabilidad, pero no tiene conocimiento de que existan ataques activos. |
Software afectado |
|
Factores atenuantes |
MAC en estado de vista está habilitado de forma predeterminada para sitios ASP.NET. |
Acciones recomendadas |
Microsoft recomienda que los clientes apliquen la acción sugerida para asegurarse de que MAC en el estado de vista de ASP.NET quede habilitado en sitios ASP.NET.
|
Para obtener más información: |
Aviso de seguridad 2871690 |
Actualización para revocar los módulos UEFI con incumplimiento |
Resumen ejecutivo |
Microsoft anuncia la disponibilidad de una actualización para Windows 8 y Windows Server 2012 que revoca las firmas digitales en nueve módulos privados de terceros de UEFI (Interfaz unificada de firmware ampliable) que pueden ser cargados durante un Inicio seguro de UEFI. Cuando se aplica la actualización, ya no se podrá confiar en los módulos UEFI afectados y el cargado de los sistemas ya no estará activado en los Inicios seguros de UEFI. Los módulos de UEFI afectados constan de módulos específicos firmados por Microsoft que ya no cumplen con nuestro programa de certificación o sus autores han solicitado la revocación de los paquetes. En el momento de la publicación, no se sabe que estos módulos de UEFI están disponibles para el público.
Microsoft no tiene conocimiento de la existencia de un uso indebido de los módulos de UEFI afectados. Microsoft busca de forma proactiva la revocación de estos módulos en incumplimiento como parte de los esfuerzos para proteger a los clientes. Esta acción sólo afecta a los sistemas que ejecutan Windows 8 y Windows Server 2012 que permiten un Inicio seguro de UEFI en los que el sistema está configurado para arrancar por UEFI y está activado un arranque seguro. No hay acción en sistemas que no son compatibles con Inicio seguro de UEFI o en caso de que esté desactivado. |
Software afectado |
Nota: Esta actualización no está disponible para Windows, Windows 8.1 Preview, Windows RT 8.1 Preview o Windows Server 2012 R2 Preview. Esta actualización no se aplica a Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1 porque la firma digital en los módulos de UEFI afectados ya se ha revocado en estos sistemas operativos. |
Recomendación |
No se tiene conocimiento de que los módulos de UEFI afectados estén disponibles para el público. No obstante, los clientes preocupados por el hecho de que pudieran estar utilizando un módulo de UEFI afectado deben consultar la pregunta frecuente del aviso "¿Para qué sirve esta actualización?" para obtener una lista de los módulos de UEFI afectados. |
Para obtener más información: |
Aviso de seguridad 2915720 |
Cambios en la verificación de la firma Authenticode en Windows |
Resumen ejecutivo |
Microsoft anuncia la disponibilidad de una actualización para todas las versiones compatibles de Windows para cambiar cómo se verifican las firmas en archivos binarios con el formato de firma de Authenticode en Windows. El cambio está incluido en el Boletín de seguridad MS13-098, pero no estará habilitado hasta el 10 de junio de 2014. Una vez activado, el nuevo comportamiento predeterminado para la verificación de la firma Authenticode en Windows ya no permitirá información extraña en la estructura WIN_CERTIFICATE. Tenga en cuenta que después del 10 de junio de 2014, Windows ya no reconocerá los archivos binarios que no cumplan al firmarse. |
Recomendación |
Microsoft recomienda que antes de del 10 de junio de 2014, los autores de archivos ejecutables garanticen que todos los archivos binarios firmados cumplan con este nuevo comportamiento de verificación al no contener información extraña en la estructura WIN_CERTIFICATE. Asimismo, Microsoft recomienda que los clientes prueben de forma apropiada este cambio para evaluar cómo se comporta en sus entornos. |
Para obtener más información: |
Avisos de seguridad VUELTOS A PUBLICAR
Microsoft volvió a publicar un aviso de seguridad el 10 de diciembre de 2013. Esta es una descripción general de este aviso de seguridad que se volvió a publicar:
Aviso de seguridad 2755801 |
Actualización de vulnerabilidades en Adobe Flash Player en Internet Explorer |
Resumen ejecutivo |
Microsoft anuncia la disponibilidad de una actualización de Adobe Flash Player en Internet Explorer en todas las ediciones con soporte de Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. La actualización soluciona las vulnerabilidades en Adobe Flash Player mediante la actualización de las bibliotecas Adobe Flash afectadas contenidas dentro de Internet Explorer 10 e Internet Explorer 11. |
Software afectado |
|
Para obtener más información: |
Recursos adicionales
- · Blog del Centro de respuesta de seguridad de Microsoft (MSRC): https://blogs.technet.com/msrc
- · Blog del Centro de protección contra malware de Microsoft (MMPC): https://blogs.technet.com/mmpc
- · Blog de Investigación en Materia de Seguridad y Defensa (SRD): https://blogs.technet.com/srd
- · Blog del Ciclo de vida de desarrollo de seguridad (SDL): https://blogs.msdn.com/sdl
Con respecto a la consistencia de la información
Nos esforzamos por proporcionarle información precisa en contenidos estáticos (este correo) y dinámicos (basados en la Web). Ocasionalmente se actualiza el contenido de seguridad de Microsoft colocado en la Web para reflejar la información más reciente. Si esto resulta en una inconsistencia entre la información en este documento y la información en los contenidos de seguridad basados en la Web de Microsoft, éstos últimos prevalecerán.
Si tiene alguna pregunta sobre esta alerta, póngase en contacto con su Gerente Técnico de la cuenta.
Gracias,
Microsoft CSS Security Team