Publicación del Boletín de Seguridad de Microsoft para septiembre de 2014

 



Alerta – Publicación del Boletín de Seguridad de Microsoft para septiembre de 2014



¿Cuál es el objetivo de esta alerta?

 

Esta alerta le ofrece una descripción general de los nuevos boletines de seguridad publicados el 9 de septiembre de 2014.  Los nuevos boletines de seguridad se publican mensualmente para hacer frente a vulnerabilidades críticas de los productos.

 Nuevos boletines de seguridad

 Microsoft publica los siguientes cuatro (4) boletines de seguridad para vulnerabilidades recientemente descubiertas:

ID del boletín

Título del boletín

Calificación máxima de la gravedad

Impacto de la vulnerabilidad

Se requiere reinicio

Software afectado

MS14-052

Actualización de seguridad acumulada para Internet Explorer (2977629)

Crítica

Ejecución del código remoto

Requiere reiniciar

Internet Explorer en todas las ediciones con soporte de Microsoft Windows.

MS14-053

Una vulnerabilidad en .NET Framework podría permitir la negación de servicio (2990931)

Importante

Negación de servicio

Puede requerir reinicio

Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 y Microsoft .NET Framework 4.5/4.5.1/4.5.2 en las versiones afectadas de Microsoft Windows.

MS14-054

Una vulnerabilidad en Windows Task Scheduler podría permitir la elevación de privilegios (2988948)

Importante

Elevación de privilegio

Requiere reiniciar

Microsoft Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1.

MS14-055

Las vulnerabilidades en Microsoft Lync Server podría permitir la negación de servicio (2990928)

Importante

Negación de servicio

No es necesario reiniciar

Microsoft Lync Server 2010 y Microsoft Lync Server 2013.

 

Los resúmenes de nuevos boletines se pueden encontrar en https://technet.microsoft.com/library/security/ms14-sep.

 

Herramienta de Microsoft Windows para remover software malicioso

Microsoft ha liberado una versión actualizada de la Herramienta de eliminación de software malintencionado en Microsoft Windows en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descargas. La información en la Herramienta de Microsoft Windows para remover software malicioso está disponible aquí: http://support.microsoft.com/kb/890830.

 

Actualizaciones de alta prioridad no relacionadas con la seguridad

Las actualizaciones de alta prioridad de Microsoft no relacionadas con la seguridad que estarán disponibles en Microsoft Update (MU), Windows Update (WU) o Windows Server Update Services (WSUS) se detallan en el siguiente artículo de KB: http://support.microsoft.com/kb/894199.

 

Avisos de seguridad revisados

Microsoft publicó tres nuevos avisos de seguridad el 9 de septiembre de 2014. He aquí un resumen de estos avisos de seguridad:

Aviso de seguridad 2905247

Una configuración insegura del sitio ASP.NET podría permitir la elevación de privilegios

¿Qué ha cambiado?

Este aviso fue relanzado para ofrecer la actualización de seguridad en Microsoft Update, además de la opción de descarga sólo en el centro proporcionada cuando se publicó originalmente este aviso.

Además, las actualizaciones de algunas de las versiones de .NET Framework se volvieron a lanzar para solucionar un problema que a veces provocaba que Page.IsPostBack devolviera un valor incorrecto.

Resumen ejecutivo

Microsoft anuncia la disponibilidad de una actualización para Microsoft ASP.NET que trata una vulnerabilidad en el estado de vista de ASP.NET que existe cuando se deshabilita la validación del Código de autenticación de máquina (MAC) por medio de la configuración. La vulnerabilidad podría permitir la elevación de privilegios y afecta a Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 y Microsoft .NET Framework 4.5/4.5.1 .

Recomendaciones

La mayoría de los clientes tienen activada la actualización automática y no será necesaria ninguna acción, ya que esta actualización de seguridad se descargará e instalará automáticamente.

Para obtener más información:

https://technet.microsoft.com/library/security/2905247

  

Aviso de seguridad 2871997

Actualícese para mejorar la protección y gestión de credenciales

¿Qué ha cambiado?

El 9 de septiembre de 2014, Microsoft lanzó la actualización 2982378 para las ediciones compatibles con Windows 7 y Windows Server 2008 R2. La actualización agrega protección adicional para las credenciales de los usuarios al iniciar sesión en un sistema Windows 7 o Windows Server 2008 R2 al asegurarse que las credenciales se limpien inmediatamente en lugar de esperar hasta que se obtenga el TGT (Ticket que otorga el Ticket) de Kerberos. Para obtener más información acerca de esta actualización, incluyendo los enlaces de descarga, consulte el artículo 2982378 de la Base de conocimiento de Microsoft.

Resumen ejecutivo

Microsoft anuncia la disponibilidad de una actualización para ediciones con soporte de Windows 8 para sistemas de 32 bits, Windows 8 para sistemas x64, Windows RT, Windows Server 2012, Windows 7 para sistemas de 32 bits, Windows 7 para sistemas x64, Windows Server 2008 R2 para sistemas x64 y Windows 2008 R2 para sistemas con Itanium que mejora la protección de credenciales y los controles de autenticación de dominio para reducir el robo de credenciales. Esta actualización ofrece una protección adicional para la Autoridad de Seguridad Local (LSA), añade un modo admin restringido para el Proveedor de soporte de la seguridad de credenciales (CredSSP), introduce el soporte para la categoría de usuario con dominios protegidos con cuentas restringidas, y aplica políticas de autenticación más estrictas para máquinas con Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 como clientes.

Recomendaciones

Microsoft recomienda que los clientes soliciten la actualización inmediatamente utilizando el software de administración de actualizaciones o verificando las actualizaciones utilizando el servicio Microsoft Update.

Para obtener más información:

https://technet.microsoft.com/library/security/2871997

  

Aviso de seguridad 2755801

Actualización de vulnerabilidades en Adobe Flash Player en Internet Explorer

¿Qué ha cambiado?

Microsoft actualiza este aviso para anunciar la disponibilidad de una nueva actualización de Adobe Flash Player. El 9 de septiembre de 2014, Microsoft publicó una actualización (2987114) para Internet Explorer 10 en Windows 8, Windows Server 2012 y Windows RT, y para Internet Explorer 11 en Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. La actualización resuelve las vulnerabilidades descritas en boletín de seguridad de Adobe APSB14-21. Para obtener más información acerca de esta actualización, incluyendo los enlaces de descarga, consulte el artículo 2987114 de la Base de conocimiento de Microsoft.

Resumen ejecutivo

Microsoft anuncia la disponibilidad de una actualización de Adobe Flash Player en Internet Explorer en todas las ediciones con soporte de Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. La actualización soluciona las vulnerabilidades en Adobe Flash Player mediante la actualización de las bibliotecas Adobe Flash afectadas contenidas dentro de Internet Explorer 10 e Internet Explorer 11.

Recomendaciones

Microsoft recomienda que los clientes soliciten esta actualización inmediatamente utilizando el software de administración de actualizaciones o verificando las actualizaciones utilizando el servicio Microsoft Update. Ya que la actualización es acumulada, sólo se ofrecerá esta actualización. No es necesario que los clientes instalen las actualizaciones anteriores como un requisito previo para poder instalar esta actualización.

Para obtener más información:

https://technet.microsoft.com/library/security/2755801  

  

Cronograma del bloqueo del control de activeX obsoleto en internet Explorer

 Queremos recordar a los clientes los tiempos para que Internet Explorer comience a bloquear los controles ActiveX obsoletos. A partir del 9 de septiembre de 2014, la función proporcionará a los usuarios las notificaciones cuando las páginas Web intenten cargar las siguientes versiones de los controles ActiveX en Java:

  • J2SE 1.4 , todo lo que se indica a continuación (pero sin incluir) la actualización 43
  • J2SE 5.0 , todo lo que se indica a continuación (pero sin incluir) la actualización 71
  • Java SE 6, todo lo que se indica a continuación (pero sin incluir) la actualización 81
  • Java SE 7, todo lo que se indica a continuación (pero sin incluir) la actualización 65
  • Java SE 8, todo lo que se indica a continuación (pero sin incluir) la actualización 11

 

Para obtener los detalles completos incluyendo las respuestas a las preguntas más frecuentes, revise este blog post del Equipo de Internet Explorer: Internet Explorer empieza a bloquear los controles ActiveX

Antes del 9 de septiembre de 2014, es posible que los clientes deseen probar la función para entender cómo funciona y determinar si puede haber algún impacto en su entorno. La información sobre la forma de probar esta nueva funcionalidad se ha agregado al artículo de la Base de conocimiento para esta función:

 

 

La información adicional sobre la función de bloqueo del control ActiveX obsoleto en Internet Explorer se proporciona aquí:

 

 

Recursos en Español sobre el bloqueo de los controles ActiveX desactualizados:

 

Webcast del boletín público 

Webcast del boletín de seguridad Mensual (Inglés): 

Para atender las preguntas de los clientes sobre estos boletines Microsoft transmitirá un Webcast

Miércoles, 10 de septiembre de 2014, a las 11:00 a.m., hora del Pacífico (EE.UU. y Canadá).

El registro para este evento y otros detalles se pueden encontrar en https://technet.microsoft.com/security/bulletin/

Webcast del boletín de seguridad Mensual (Español):

Para atender las preguntas de los clientes sobre estos boletines Microsoft transmitirá un Webcast

Jueves, 11 de septiembre de 2014, a las 10:30 a.m., hora del Atlántico

Regístrese en este link: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032575645  

 

Nuevos detalles técnicos sobre el boletín de seguridad

 

En las siguientes tablas de software afectado y no afectado, las ediciones de software que no están en la lista han expirado su ciclo de vida de soporte. Para determinar el ciclo de vida de soporte para su producto y edición, visite el sitio Web del Ciclo de vida del soporte de Microsoft: http://support.microsoft.com/lifecycle/.

 

Identificador
del boletín

Boletín de seguridad de Microsoft MS14-052

Título del boletín

Actualización de seguridad acumulada para Internet Explorer (2977629)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente y 36 vulnerabilidades reportadas en forma privada en Internet Explorer. Las más graves de estas vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página Web especialmente diseñada usando Internet Explorer. Un atacante que explote con éxito esta vulnerabilidad podrá conseguir los mismos derechos del usuario.

 

La actualización de seguridad trata las vulnerabilidades al modificar la forma en que Internet Explorer maneja objetos en la memoria, y al agregar las validaciones de permisos adicionales para Internet Explorer.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Crítica para Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) e Internet Explorer 11 (IE 11) en los clientes de Windows afectados, y Moderada en Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) e Internet Explorer 11 (IE 11) de los servidores de Windows afectados.

Vectores de ataque

Un atacante podría alojar un sitio Web para tratar de explotar esta vulnerabilidad. Por otra parte, los sitios Web comprometidos y los que aceptan o alojan contenido proporcionado por el usuario podrían contener contenidos especialmente diseñados que pueden explotar esta vulnerabilidad.

Factores atenuantes

  • Un atacante tendría que convencer a los usuarios para tomar acciones, por lo general al hacer clic en un vínculo de un mensaje de correo electrónico o en un mensaje instantáneo que lleva a los usuarios a la página Web del atacante, o de la apertura de un archivo adjunto enviado por correo electrónico.
  • Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos.
  • De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren mensajes de correo electrónico HTML en la zona Sitios restringidos.
  • De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2 se ejecutan en un modo restringido.

Se requiere reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

MS14-051

Todos los detalles

https://technet.microsoft.com/library/security/ms14-052

  

Identificador
del boletín

Boletín de seguridad de Microsoft MS14-053

Título del boletín

Una vulnerabilidad en .NET Framework podría permitir la negación de servicio (2990931)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad reportada en forma privada en Microsoft .NET Framework. La vulnerabilidad podría permitir la negación de servicio si un atacante envía un pequeño número de peticiones especialmente diseñadas a un sitio Web habilitado por .NET. De forma predeterminada, ASP.NET no está instalado cuando Microsoft .NET Framework sí lo está en cualquier edición de Microsoft Windows. Para verse afectados por la vulnerabilidad, los clientes deben instalar y activar manualmente el registro ASP.NET con IIS.

 

La actualización de seguridad trata las vulnerabilidades al corregir cómo Microsoft .NET Framework maneja las peticiones especialmente diseñadas.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 y Microsoft .NET Framework 4.5/4.5.1/4.5.2 en las ediciones afectadas de Microsoft Windows.

Vectores de ataque

Un atacante no autenticado podría enviar a un pequeño número de peticiones especialmente diseñadas a un sitio Web habilitado por .NET afectado, lo que provoca una condición de negación de servicio.

Factores atenuantes

De forma predeterminada, ASP.NET no está instalado cuando Microsoft .NET Framework sí lo está en cualquier edición de Microsoft Windows.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS13-004, MS13-052 y MS14-009.

Todos los detalles

https://technet.microsoft.com/library/security/ms14-053

  

 Identificador
del boletín

Boletín de seguridad de Microsoft MS14-054

Título del boletín

Una vulnerabilidad en Windows Task Scheduler podría permitir la elevación de privilegios (2988948)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad reportada en forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado y ejecuta una aplicación especialmente diseñada. Un atacante debe tener credenciales válidas de inicio y ser capaz de iniciar sesión de forma local para explotar esta vulnerabilidad. La vulnerabilidad no podría ser explotada remotamente o por usuarios anónimos.

 

La actualización de seguridad trata la vulnerabilidad mediante la corrección de cómo el Programador de tareas realiza las verificaciones de integridad en las tareas.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para todas las ediciones con soporte de Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1.

Vectores de ataque

Un atacante tendría primero que iniciar sesión en el sistema. Después, un atacante podría ejecutar una aplicación especialmente diseñada para explotar la vulnerabilidad y asumir un control total sobre un sistema afectado.

Factores atenuantes

Un atacante debe tener credenciales válidas de inicio y ser capaz de iniciar sesión de forma local para explotar esta vulnerabilidad. La vulnerabilidad no podría ser explotada remotamente o por usuarios anónimos.

Se requiere reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

Ninguno

Todos los detalles

https://technet.microsoft.com/library/security/ms14-054

  

Identificador
del boletín

Boletín de seguridad de Microsoft MS14-055

Título del boletín

Las vulnerabilidades en Microsoft Lync Server podrían permitir la negación de servicio (2990928)

Resumen ejecutivo

Esta actualización de seguridad resuelve tres vulnerabilidades reportadas en forma privada en Microsoft Lync Server. La más grave de éstas podría permitir la negación de servicio si un atacante envía una solicitud especialmente elaborada para un servidor Lync.

 

La actualización de seguridad trata las vulnerabilidades al corregir la forma en que Lync Server limpia la entrada de datos por parte del usuario y al corregir la forma en que Lync Server maneja las excepciones y nulifica las referencias.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para todas las ediciones con soporte de Microsoft Lync Server 2010 y Microsoft Lync Server 2013.

Vectores de ataque

  • CVE-2014-4068 y CVE-2014-4071: Un atacante ejecuta una solicitud especialmente elaborada en un servidor Lync.
  • CVE-2014-4070:
    • Un atacante aloja un sitio Web malintencionado utilizando la vulnerabilidad y convence a los usuarios que visiten el sitio.
    • El atacante aprovecha los sitios Web comprometidos y/o que alojan los anuncios de otros proveedores.
    • Un atacante envía un mensaje de correo electrónico con una URL que enlaza al sitio Web malicioso y convence al usuario que haga clic en el vínculo.

Factores atenuantes

Microsoft no ha identificado las atenuantes para estas vulnerabilidades.

Se requiere reinicio

Esta actualización no requiere reinicio.

Boletines reemplazados por esta actualización

MS14-032 (Lync Server 2013 solamente)

Todos los detalles

https://technet.microsoft.com/library/security/ms14-055

 

Con respecto a la consistencia de la información

Nos esforzamos por proporcionarle información precisa en contenidos estáticos (este correo) y dinámicos (basados en la Web). Ocasionalmente se actualiza el contenido de seguridad de Microsoft colocado en la Web para reflejar la información más reciente. Si esto resulta en una inconsistencia entre la información en este documento y la información en los contenidos de seguridad basados en la Web de Microsoft, éstos últimos prevalecerán.

 

Si tiene alguna pregunta sobre esta alerta, póngase en contacto con su Gerente de la cuenta.

 

Gracias, 

 

 

Equipo de Seguridad CSS de Microsoft