Alerta - Microsoft publica el Boletín de seguridad (fuera de banda) - MS14-021 - Actualización de seguridad para Internet Explorer (2965111)

  • Article

Aproximadamente a las 10 a.m. (hora del Pacífico), Microsoft lanzó una actualización de seguridad fuera de banda para hacer frente a una situación que afecta a Internet Explorer (IE) y que se debatió en Microsoft Security Advisory 2963983. Esta actualización está completamente probada y lista para su lanzamiento para todas las versiones afectadas del navegador.

 La nueva actualización de seguridad MS14-021 - Security Update for Internet Explorer (2965111) está totalmente probada y lista para todas las versiones afectadas del explorador.

 La mayoría de los clientes tienen habilitadas las actualizaciones automáticas y no será necesario tomar ninguna medida porque las protecciones son descargadas e instaladas automáticamente. Para aquellos que actualizan de forma manual, les recomendamos que apliquen esta actualización lo más pronto posible, siguiendo las indicaciones del boletín de seguridad.

 Hemos tomado la decisión de publicar una actualización de seguridad para los usuarios de Windows XP. Windows XP ya no es compatible (no tiene soporte) con Microsoft, nosotros seguimos alentando a los clientes a migrar a un sistema operativo más moderno, tal como lo son Windows 7 o 8.1. También estamos alentando a los clientes a actualizar a la versión más reciente de Internet Explorer, que es el IE 11.

¿Cuál es el objetivo de esta alerta?

 

Esta alerta es para proporcionarle una visión general de un nuevo boletín de seguridad liberados (fuera de banda) el 1 de mayo, 2014, para una nueva vulnerabilidad en Internet Explorer.

Nuevo boletín de seguridad

 

Microsoft lanza un nuevo boletín de seguridad (fuera de banda) para una vulnerabilidad recién descubierta: 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS14-021

Título del boletín

Actualización de seguridad para Internet Explorer (2965111)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en Internet Explorer. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada con una versión afectada de Internet Explorer. Un atacante que explote con éxito esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. La actualización de seguridad trata la vulnerabilidad al modificar la forma en que Internet Explorer maneja objetos en la memoria. 

 

Esta actualización de seguridad también se ocupa de la vulnerabilidad descrita por primera vez en la . Microsoft Security Advisory 2963983 

Clasificaciones de gravedad y Software Afectado
  • Esta actualización de seguridad se considera crítica para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, Internet Explorer en Windows 11 los clientes,
  • Esta actualización de seguridad se considera moderada para  Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, Internet Explorer 11 en servidores Windows.  

Vectores de ataque
  • ·        Un atacante podría alojar un sitio web diseñado específicamente diseñado para explotar esta vulnerabilidad a través de Internet Explorer y, a continuación, convencer a un usuario para ver el sitio web. 
  • ·        El atacante también podría aprovechar los sitios web comprometidos y sitios web que aceptan o alojan contenido proporcionado por el usuario o anuncios publicitarios. Estos sitios web podrían contener contenido especialmente diseñado que puede explotar esta vulnerabilidad. 
  • ·        Un atacante podría intentar convencer a los usuarios para ver el atacante de contenido al hacer clic en un vínculo de un mensaje de correo electrónico o en un mensaje de Instant Messenger que lleve a los usuarios al sitio web del atacante, o de la apertura de un archivo adjunto enviado a través del correo electrónico.

Factores atenuantes
  • ·        En un escenario de ataque basado en web, un atacante no puede forzar a los usuarios a ver el atacante de contenido. En su lugar, un atacante tendría que convencer a los usuarios a tomar medidas, por lo general al hacer clic en un vínculo de un mensaje de correo electrónico o en un mensaje de Instant Messenger que lleve a los usuarios al sitio web del atacante, o de la apertura de un archivo adjunto enviado a través del correo electrónico.
  • ·        Un atacante que explote con éxito esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían ser menos afectados que los usuarios que operan con derechos de usuario administrativo.
  • ·        De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abra mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona de sitios restringidos, lo cual lo desactiva guión y controles ActiveX, ayuda a reducir el riesgo de que un atacante puede utilizar esta vulnerabilidad para ejecutar código malicioso. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, el usuario puede seguir siendo vulnerable a la explotación de esta vulnerabilidad a través del caso de un ataque basado en web.
  • ·        De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2 se ejecuta en un modo restringido que se conoce como Configuración de seguridad mejorada. Este modo mitiga esta vulnerabilidad. 

Requisito de reinicio

Esta actualización requiere un reinicio.

Todos los detalles

https://technet.microsoft.com/library/security/ms14-021 

 

Webcast del boletín Público - INGLÉS 

 

Microsoft ofrecerá un webcast para atender las preguntas de los clientes en el boletín de seguridad fuera de banda a partir del

Fecha: 2 de mayo, 2014, a las 11:00 AM, hora del Pacífico (EE.UU. y Canadá). 

Register now for the May Security Bulletin Webcast. 

 

Los recursos externos relacionados con esta alerta - INGLÉS

Los recursos externos relacionados con esta alerta - ESPAñOL

Liberación de actualización ad hoc para responder al Security Advisory 2963983 de Microsoft en 1 de Maio de 2014

https://blogs.technet.com/b/seguridad/archive/2014/05/01/liberaci-243-n-de-actualizaci-243-n-ad-hoc-para-responder-al-security-advisory-2963983-de-microsoft-en-1-de-maio-de-2014.aspx

 

Coherencia en cuanto a la información

 

Nos esforzamos por ofrecerle información precisa en estático (el correo) y dinámicas (basado en web) contenido. Seguridad de Microsoft contenido publicado en la web es a veces actualizado para reflejar información de última hora. Si el resultado es una incoherencia entre la información y la información en Microsoft basada en web de contenido de seguridad, la información de Microsoft de seguridad basados en la web contenido está autorizado.

 

Si tiene alguna pregunta sobre este aviso, póngase en contacto con el administrador técnico de la cuenta.

 

Muchas gracias,

 

Microsoft Equipo de seguridad de CSS