Alerta – Nuevos Boletines de seguridad de Microsoft para enero de 2014
¿Cuál es el objetivo de esta alerta? |
Esta alerta le ofrece una descripción general de los nuevos boletines de seguridad publicados el martes, 14 de enero de 2014. Los nuevos boletines de seguridad se publican mensualmente para hacer frente a vulnerabilidades críticas de los productos.
Nuevos Boletines de seguridad
Microsoft publica los siguientes 4 (cuatro) boletines de seguridad para vulnerabilidades recientemente descubiertas:
ID del boletín |
Título del boletín |
Clasificación de la máxima gravedad |
Impacto de la vulnerabilidad |
Requisito de reinicio |
Software Afectado |
|---|---|---|---|---|---|
Vulnerabilidades en Microsoft Word y Office Web Apps Podría Permitir la Ejecución Remota de Código (2916605) |
Importante |
Ejecución Remota de Código |
Puede requerir reinicio |
Microsoft Word 2003, Word 2007, Word 2010, Word 2013, Word 2013 RT, paquete de compatibilidad de Office, Word Viewer, Word Servicios de automatización, Aplicaciones Web de Microsoft 2010 y Microsoft Office 2013 Servidor de aplicaciones Web. |
|
Una vulnerabilidad en el kernel de Windows podría permitir la elevación de privilegios (2914368) |
Importante |
Elevación de privilegios |
Es necesario reiniciar |
Windows XP y Windows Server 2003. |
|
Una vulnerabilidad en los controladores de modo kernel Windows podría permitir la elevación de privilegios (2913602) |
Importante |
Elevación de privilegios |
Es necesario reiniciar |
Windows 7 y Windows Server 2008 R2. |
|
Una vulnerabilidad en Microsoft Dynamics AX podría permitir la denegación de servicio (2880826) |
Importante |
Denegación de Servicio |
Puede requerir reinicio |
Microsoft Dynamics AX 4.0 , Microsoft Dynamics AX 2009, Microsoft Dynamics AX 2012 y Microsoft Dynamics AX 2012 R2. |
Los resúmenes para nuevos boletines se pueden encontrar en https://technet.microsoft.com/security/bulletin/MS14-jan
Boletín de seguridad lanzadas
Microsoft lanzar un boletín de seguridad el 14 de enero de 2014. Aquí hay una descripción de esta compilación boletín de seguridad:
Boletín de seguridad MS13-081 |
Vulnerabilidades en los controladores de modo kernel Windows podría permitir la ejecución remota de código (2870008) |
Resumen |
Microsoft lanzadas este boletín para anunciar la re-ofierta de la actualización 2862330 y son alentadas a aplicarla con la posible brevedad. |
Más información |
Adverténcias Relanzadas en materia de seguridad
Microsoft relanzó adverténcias de seguridad el 14 de enero, 2014. Esta es una visión general de esta compilación:
Security Advisory 2755801 |
Actualización para vulnerabilidades en Adobe Flash Player en Internet Explorer |
Resumen ejecutivo |
El 14 de enero de 2014, Microsoft publicó una actualización (2916626) para Internet Explorer 10 en Windows 8, Windows Server 2012 y Windows RT, y para Internet Explorer 11 en Windows 8.1 , Windows Server 2012 R2 y Windows RT 8.1 . La actualización resuelve las vulnerabilidades descritas en Adobe boletín de seguridad APSB14-02. Para obtener más información acerca de esta actualización, incluyendo enlaces de descarga, consulte . Microsoft Knowledge Base Article 2916626 |
Recomendaciones |
Microsoft recomienda que los clientes soliciten la actualización actual inmediatamente con la administración de actualización de software, o por búsqueda de actualizaciones mediante el servicio. Microsoft Update Desde que la actualización es acumulativa, sólo la actualización actual serán ofrecidas. No es necesario que los clientes instalen las actualizaciones anteriores como un requisito previo para poder instalar la actualización actual.
Nota: La actualización de Windows y Windows RT RT 8.1 está disponible a través de Windows Update. |
Más información |
Herramienta de eliminación de software malintencionado y actualizaciones no so DE seguridad
- Microsoft libera una versión actualizada de la Herramienta de eliminación de software malintencionado en Microsoft Windows en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descargas. La información sobre la Herramienta de eliminación de software malicioso en Microsoft Windows está disponible en https://support.microsoft.com/?kbid=890830.
- Las actualizaciones de Microsoft no relacionadas con seguridad de alta prioridad que estarán disponibles en Microsoft Update (MU), Windows Update (WU) o Windows Server Update Services (WSUS) se detallan en el artículo de KB encontrado en https://support.microsoft.com/?id=894199.
Webcast del boletín Público (INGlÉS)
Microsoft ofrecerá un webcast para atender las preguntas de los clientes sobre estos boletines:
Título: Información sobre los boletines de seguridad de Microsoft (Nivel 200)
Fecha: miércoles, 15 enero, 2014, 11:00 a.m. , hora del Pacífico (EE.UU. y Canadá)
URL: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032572876
Webcast del boletín Público (ESPAÑOL)
Microsoft ofrecerá un webcast para atender las preguntas de los clientes sobre estos boletines:
Título: Información sobre los boletines de seguridad de Microsoft (Nivel 200)
Fecha: jueves, 16 enero, 2014, 10:30 a.m. , hora del Pacífico (EE.UU. y Canadá)
URL: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032575623
Nuevo boletín de seguridad Detalles técnicos
En las siguientes tablas de software afectado y no afectado, las ediciones de software que no están en la lista han expirado su ciclo de vida de soporte. Para determinar el ciclo de vida de soporte de su producto y edición, visite el sitio Web del Ciclo de vida del soporte de Microsoft en https://support.microsoft.com/lifecycle/.
Identificador de boletín |
Boletín de seguridad de Microsoft MS14-001 |
|---|---|
Título del boletín |
Vulnerabilidades en Microsoft Word y Office Web Apps Podría Permitir la Ejecución Remota de Código (2916605) |
Resumen ejecutivo |
Esta actualización de seguridad resuelve tres vulnerabilidades reportadas en forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un archivo especialmente elaborado se abre en una versión afectada de Microsoft Word u otro afectado software de Microsoft Office. Un atacante que explote con éxito la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual.
La actualización de seguridad trata la vulnerabilidad por corregir la manera en que Microsoft Office analiza archivos especialmente diseñado. |
Clasificaciones de gravedad y Software Afectado |
Esta actualización de seguridad se considera importante para ediciones con soporte de Microsoft Word 2003, Microsoft Word 2007, Microsoft Word 2010, Microsoft Word 2013, Microsoft Word 2013 RT, y para Microsoft Office servicios y aplicaciones Web de ediciones con soporte de Microsoft SharePoint Server 2010, Microsoft Office SharePoint Server 2013, y Servidor de Aplicaciones Web de Microsoft 2013. Esta actualización de seguridad también es importante para ver las versiones compatibles de Microsoft Word Viewer y paquete de compatibilidad de Microsoft Office. |
Vectores de ataque |
• En un escenario de ataque correo electrónico, un atacante podría explotar la vulnerabilidad enviando un archivo especialmente elaborado para el usuario, y de convencer al usuario para que abra el archivo en una versión afectada de Microsoft Office. • En un escenario de ataque basado en web, un atacante podría alojar un sitio web que contiene un archivo que se utiliza para tratar de explotar estas vulnerabilidades. Por otra parte, sitios web comprometidos y los sitios web que aceptan o alojan contenido proporcionado por el usuario podrían contener contenido especialmente diseñado que puede explotar estas vulnerabilidades. |
Factores atenuantes/Mitigaciones |
• Un atacante tendría que convencer a los usuarios a tomar medidas, por lo general al hacer clic en un vínculo de un mensaje de correo electrónico o mensaje instantáneo que lleva a los usuarios a la página web del atacante y, a continuación, convencerlos de que abra el archivo de Office especialmente diseñado. • Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían ser menos afectados que los usuarios que operan con derechos de usuario administrativo. |
Requisito de reinicio |
Esta actualización puede requerir un reinicio. |
Boletines reemplazados por esta actualización |
MS13-072, MS13-084, MS13-086, MS13-100. |
Todos los detalles |
Identificador de boletín |
Boletín de seguridad de Microsoft MS14-002 |
|---|---|
Título del boletín |
Una vulnerabilidad en el kernel de Windows podría permitir la elevación de privilegios (2914368) |
Resumen ejecutivo |
Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y se ejecuta una aplicación especialmente diseñada.
La actualización de seguridad trata la vulnerabilidad por corregir la entrada pasada al NDProxy.sys componentes de kernel es validada. |
Clasificaciones de gravedad y Software Afectado |
Esta actualización de seguridad se considera importante para todas las ediciones con soporte de Windows XP y Windows Server 2003. |
Vectores de ataque |
Para explotar esta vulnerabilidad, un atacante tendría primero que inicie sesión en el sistema. Después, un atacante podría ejecutar una aplicación especialmente diseñada para explotar la vulnerabilidad y asumir un control total sobre el sistema afectado. |
Factores atenuantes/Mitigaciones |
Un atacante debe tener credenciales válidas de inicio y ser capaz de iniciar sesión de forma local para explotar esta vulnerabilidad. La vulnerabilidad no podría ser explotada remotamente o por usuarios anónimos. |
Requisito de reinicio |
Esta actualización requiere un reinicio. |
Boletines reemplazados por esta actualización |
MS10-099 |
Todos los detalles |
Identificador de boletín |
Boletín de seguridad de Microsoft MS14-003 |
|---|---|
Título del boletín |
Una vulnerabilidad en los controladores de modo kernel Windows podría permitir la elevación de privilegios (2913602) |
Resumen ejecutivo |
Esta actualización de seguridad resuelve una vulnerabilidad reportada en forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un usuario inicia sesión en un sistema y se ejecuta una aplicación especialmente diseñada.
La actualización de seguridad trata la vulnerabilidad por corregir la forma en que Windows maneja thread-objetos de propiedad. |
Clasificaciones de gravedad y Software Afectado |
Esta actualización de seguridad se considera importante para todas las ediciones con soporte de Windows 7 y Windows Server 2008 R2. |
Vectores de ataque |
Para explotar esta vulnerabilidad, un atacante tendría primero que inicie sesión en el sistema. Un atacante podría ejecutar una aplicación especialmente diseñada para aumentar los privilegios. |
Factores atenuantes/Mitigaciones |
Un atacante debe tener credenciales válidas de inicio y ser capaz de iniciar sesión de forma local para explotar esta vulnerabilidad. |
Requisito de reinicio |
Esta actualización requiere un reinicio. |
Boletines reemplazados por esta actualización |
MS13-101 |
Todos los detalles |
Identificador de boletín |
Boletín de seguridad de Microsoft MS14-004 |
|---|---|
Título del boletín |
Una vulnerabilidad en Microsoft Dynamics AX podría permitir la denegación de servicio (2880826) |
Resumen ejecutivo |
Esta actualización de seguridad resuelve una vulnerabilidad reportada en forma privada en Microsoft Dynamics AX. La vulnerabilidad podría permitir la denegación de servicio si un atacante envía datos especialmente diseñado para una aplicación Microsoft Dynamics AX Object Server (AOS) ejemplo. Un atacante que explote con éxito esta vulnerabilidad podría causar que el destino AOS ejemplo deje de responder a las peticiones de los clientes. La actualización de seguridad trata la vulnerabilidad al ayudar a garantizar que Microsoft Dynamics AX controla apropiadamente los datos proporcionados por el usuario. |
Clasificaciones de gravedad y Software Afectado |
Esta actualización de seguridad se considera importante para todas las ediciones con soporte de Microsoft Dynamics AX 4.0 , Microsoft Dynamics AX 2009, Microsoft Dynamics AX 2012 y Microsoft Dynamics AX 2012 R2. |
Vectores de ataque |
Un atacante podría enviar datos especialmente diseñado a un servidor afectado Dynamics AX. |
Factores atenuantes/Mitigaciones |
Para explotar esta vulnerabilidad, un atacante debe ser capaz de autenticar en Microsoft Dynamics AX. |
Requisito de reinicio |
Esta actualización puede requerir un reinicio. |
Boletines reemplazados por esta actualización |
Ninguno |
Todos los detalles |
CON RESPECTO A LA CONSISTENCIA DE LA INFORMACIÓN
Nos esforzamos por proporcionarle información precisa en contenidos estáticos (este correo) y dinámicos (basados en la Web). Ocasionalmente se actualiza el contenido de seguridad de Microsoft colocado en la Web para reflejar la información más reciente. Si esto resulta en una inconsistencia entre la información en este documento y la información en los contenidos de seguridad basados en la Web de Microsoft, éstos últimos prevalecerán.
Si tiene alguna pregunta sobre esta alerta, póngase en contacto con su Gerente Técnico de la cuenta.
Muchas gracias,
Microsoft Equipo de seguridad de CSS