Diciembre de 2014 - Boletín de seguridad de Microsoft

  • Article

¿Cuál es el objetivo de esta alerta?

 

Esta alerta le ofrece una descripción general de los nuevos boletines de seguridad publicados el 9 de diciembre de 2014. Los nuevos boletines de seguridad se publican mensualmente para hacer frente a vulnerabilidades críticas de los productos.

 

Nuevos boletines de seguridad

Microsoft publica los siguientes siete (7) boletines de seguridad para vulnerabilidades recientemente descubiertas.  

ID del boletín

Título del boletín

Calificación máxima de la gravedad

Impacto de la vulnerabilidad

Se requiere reinicio

Software afectado

MS14-075

Las vulnerabilidades en Windows Exchange Server podrían permitir la elevación de privilegios (3009712)

Importante

Elevación de privilegios

Puede requerir reinicio

Microsoft Exchange Server 2007, Exchange Server 2010 y Exchange Server 2013.

MS14-080

Actualización de seguridad acumulada para Internet Explorer (3008923)

Crítica

Ejecución del código remoto

Requiere reiniciar

Internet Explorer en todas las ediciones con soporte de Microsoft Windows.

MS14-081

Las vulnerabilidades en Microsoft Word y Microsoft Office Web Apps podrían permitir la ejecución de código remoto (3017301)

Crítica

Ejecución del código remoto

Puede requerir reinicio

Microsoft Word 2007, Word 2010, Word 2013, Word 2013 RT, Office 2010, Office 2011 para Mac, Word Viewer, Paquete de compatibilidad de Office, Word Automation Services, Web Applications 2010 y Office Web Apps Server 2013.

MS14-082

La vulnerabilidad en Microsoft Office podría permitir la ejecución de código remoto (3017349)

Importante

Ejecución del código remoto

Puede requerir reinicio

Microsoft Office 2007, Office 2010, Office 2013 y Office 2013 RT.

MS14-083

La vulnerabilidad en Microsoft Excel podría permitir la ejecución de código remoto (3017347)

Importante

Ejecución del código remoto

Puede requerir reinicio

Microsoft Excel 2007, Excel 2010, Excel 2013, Excel 2013 RT y el Paquete de compatibilidad de Office.

MS14-084

La vulnerabilidad en el motor de secuencia en VBScript podría permitir la ejecución remota del código (3016711)

Crítica

Ejecución del código remoto

Puede requerir reinicio

VBScript 5.6, VBScript 5.7 y VBScript 5.8 en Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

MS14-085

La vulnerabilidad en Microsoft Graphics Component podría permitir la divulgación de la información (3013126)

Importante

Divulgación de la información

Puede requerir reinicio

Todas las ediciones con soporte de Microsoft Windows.

 Los resúmenes de nuevos boletines se pueden encontrar en https://technet.microsoft.com/library/security/ms14-dec.

Herramienta de eliminación de software malintencionado y actualizaciones que no son de seguridad

  • Microsoft ha liberdo una versión actualizada de la Herramienta de eliminación de software malintencionado en Microsoft Windows en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descargas. La información sobre la Herramienta de eliminación de software malicioso en Microsoft Windows está disponible en https://support.microsoft.com/?kbid=890830.
  • Las actualizaciones de Microsoft no relacionadas con seguridad de alta prioridad que estarán disponibles en Microsoft Update (MU), Windows Update (WU) o Windows Server Update Services (WSUS) se detallan en el artículo de KB encontrado en https://support.microsoft.com/?kbid=894199

 

Webcast Público del Boletín

Para atender las preguntas de los clientes sobre estos boletines Microsoft transmitirá un Webcast

Jueves, 11 de diciembre de 2014, a las 10:30 a.m., hora del Atlántico

Regístrese en este link: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032575651

  

Boletines de seguridad vueltos a publicar

Microsoft volvió a publicar dos boletines de seguridad el martes, 09 de diciembre de 2014. Esta es una descripción general de estas nuevas versiones de los boletines de seguridad:

 

Boletín de seguridad MS14-065

Actualización de seguridad acumulada para Internet Explorer (3003057)

¿Qué ha cambiado?

Para hacer frente a los problemas con la actualización de seguridad 3003057, Microsoft ha vuelto a publicar MS14-065 para abordar de manera integral CVE-2.014-6353. Los clientes que ejecutan Internet Explorer 8 en Windows 7 o Windows Server 2008 o Internet Explorer 10 deben instalar la actualización recién ofrecida o la Actualización acumulativa de diciembre de Internet Explorer (3008923). Consulte el artículo 3003057 de la Base de conocimiento de Microsoft para obtener más información.

Para obtener más información:

https://technet.microsoft.com/security/bulletin/MS14-065

 

 

Boletín de seguridad MS14-066

La vulnerabilidad en Schannel podría permitir la ejecución de código remoto (2992611)

¿Qué ha cambiado?

Este boletín se ha revisado para anunciar la nueva oferta de la actualización 2992611 a los sistemas que ejecutan Windows Vista y Windows Server 2008. Resuelve un problema en la versión original. Los clientes que ejecutan Windows Vista o Windows Server 2008 que instalaron la actualización 2992611 antes de la del 9 de diciembre deben volver a aplicar la actualización. Consulte el artículo 2992611 de la Base de conocimiento de Microsoft para obtener más información.

Para obtener más información:

https://technet.microsoft.com/security/bulletin/MS14-066

 

Avisos de seguridad revisados

Microsoft ha vuelto a publicar un aviso de seguridad el 9 de diciembre de 2014. Esta es una descripción general de este aviso de seguridad que se volvió a publicar:

 

Aviso de seguridad 2755801

Actualización de vulnerabilidades en Adobe Flash Player en Internet Explorer

¿Qué ha cambiado?

De manera rutinaria, Microsoft actualiza este aviso de seguridad para anunciar la disponibilidad de una nueva actualización de Adobe Flash Player.

El 9 de diciembre de 2014, Microsoft publicó una actualización (3008925) para Internet Explorer 10 en Windows 8, Windows Server 2012 y Windows RT, y para Internet Explorer 11 en Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, la Vista previa técnica de Windows y la Vista previa técnica de Windows Server. La actualización resuelve las vulnerabilidades descritas en boletín de seguridad de Adobe APSB14-24. Para obtener más información acerca de esta actualización, incluyendo los enlaces de descarga, consulte el artículo 3008925 de la Base de conocimiento de Microsoft.

Para obtener más información:

https://technet.microsoft.com/library/security/2755801

 

Microsoft también revisó el Aviso de seguridad 3009008 el9 de diciembre de 2014. He aquí un resumen:

 

Aviso de seguridad 3009008

La vulnerabilidad en SSL 3.0 podría permitir la divulgación de la información

¿Qué ha cambiado?

Microsoft anuncia la disponibilidad de las advertencias de repliegue SSL 3.0 en Internet Explorer 11. Si desea obtener más información, consulte el artículo 3013210 de la Base de conocimiento.

Para obtener más información:

https://technet.microsoft.com/library/security/3009008

 

Nuevos detalles técnicos sobre el boletín de seguridad

En las siguientes tablas de software afectado y no afectado, las ediciones de software que no están en la lista han expirado su ciclo de vida de soporte. Para determinar el ciclo de vida de soporte de su producto y edición, visite el sitio Web del Ciclo de vida del soporte de Microsoft en https://support.microsoft.com/lifecycle/.

 

Identificador del boletín

Boletín de seguridad de Microsoft MS14-075

<Superior> 

Título del boletín

Las vulnerabilidades en Windows Exchange Server podrían permitir la elevación de privilegios (3009712)

Resumen ejecutivo

Esta actualización de seguridad resuelve cuatro vulnerabilidades reportadas en forma privada en Microsoft Exchange Server. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un usuario hace clic en una dirección URL especialmente diseñada que lo lleve a un sitio objetivo de Outlook Web App. Un agresor no tendría forma de obligar al usuario a visitar un sitio Web especialmente diseñado. En su lugar, un atacante tendría que convencer a los usuarios para que visiten el sitio Web, por lo general al hacer clic en un vínculo de un mensaje por correo electrónico o Mensaje instantáneo que los lleve al sitio Web del atacante, y después convencerlos de que hagan clic en la URL especialmente diseñada.

 

Microsoft recibió información de éstas mediante la divulgación coordinada de vulnerabilidades. Cuando este boletín de seguridad se publicó originalmente, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado públicamente para atacar a clientes.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para todas las ediciones con soporte de Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 y Microsoft Exchange Server 2013.

Vectores de ataque
  • En el supuesto de un ataque por correo electrónico, un atacante podría aprovechar estas vulnerabilidades mediante el envío de un mensaje de correo electrónico que contenga la dirección URL especialmente diseñada para el usuario objetivo del sitio de Outlook Web Access y convencer al usuario para que haga clic en la URL especialmente diseñada. (CVE-2014-6325 y CVE-2014-6326)
  • En caso de un ataque por la Web, el atacante tendría que alojar un sitio Web con una dirección URL especialmente diseñada al sitio objetivo de Outlook Web Access utilizado para intentar aprovechar estas vulnerabilidades. (CVE-2014-6325 y CVE-2014-6326)
  • En un escenario de correo electrónico, un atacante que aprovechara esta vulnerabilidad podría utilizarla para enviar correos que parecieran provenir de un usuario que no sea el atacante (por ejemplo, de una fuente confiable). (CVE-2014-6319)
  • En un escenario de ataque en la Web, un atacante podría alojar un sitio Web utilizado para tratar de explotar esta vulnerabilidad. (CVE-2014-6319)
  • Por otra parte, los sitios Web comprometidos y los que aceptan o alojan contenido proporcionado por el usuario podrían tener contenidos o anuncios especialmente diseñados que puede explotar esta vulnerabilidad. (CVE-2014-6325, CVE-2014-6326 y CVE-2014-6319)
  • Un atacante que aprovechara esta vulnerabilidad podría redirigir un usuario a un dominio arbitrario de un enlace que parece originarse en el dominio del usuario y luego utilizar la vulnerabilidad para enviar un correo electrónico que parece provenir de un usuario que no sea el atacante. (CVE-2014-6336)

Factores atenuantes
  • Un atacante tendría que convencer a los usuarios para que tomen una acción, por lo general al lograr que hagan clic en un vínculo de un mensaje de correo electrónico o mensaje instantáneo que lleve a los usuarios a la página Web del atacante. (2014-6325, CVE-2014-6326 y CVE-2014-6319)
  • Para generar el enlace malicioso, un atacante ya debe ser un usuario de Exchange autenticado y ser capaz de enviar mensajes por correo electrónico. (CVE-2014-6336)
  • El enlace malicioso puede ser enviado en un correo electrónico; sin embargo, el atacante tendría que convencer al usuario que abra el enlace para explotar la vulnerabilidad. (CVE-2014-6336)

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS13-105

Todos los detalles

https://technet.microsoft.com/security/bulletin/MS14-075

 

 

Identificador del boletín

Boletín de seguridad de Microsoft MS14-080

<Superior> 

Título del boletín

Actualización de seguridad acumulada para Internet Explorer (3008923)

Resumen ejecutivo

Esta actualización de seguridad resuelve catorce vulnerabilidades reportadas en forma privada en Internet Explorer. Las más graves de estas vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página Web especialmente diseñada usando Internet Explorer. Un atacante que explote con éxito esta vulnerabilidad podrá conseguir los mismos derechos del usuario. Los clientes cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos.

 

La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que Internet Explorer trata los objetos en memoria, evitando que el filtro XSS en Internet Explorer desabilite de forma incorrecta los atributos HTML, ayudando a asegurar que las versiones afectadas de Internet Explorer implementan correctamente la función de seguridad ASLR y mediante la modificación de la forma en que el motor de secuencias de comandos VBScript trata los objetos en memoria.

 

Microsoft recibió información de éstas mediante la divulgación coordinada de vulnerabilidades. Cuando este boletín de seguridad se publicó originalmente, Microsoft no había recibido ninguna información que indicara que estas vulnerabilidades se hubieran utilizado públicamente para atacar a clientes.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera crítica para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 en clientes afectados de Windows y moderado para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 en servidores afectados de Windows.

Vectores de ataque

CVE-2014-6327, CVE-2014-6329, CVE-2014-6330, CVE-2014-6366, CVE-2014-6369, CVE-2014-6373, CVE-2014-6374, CVE-2014-6375, CVE-2014-6376 y CVE-2014-8966 y CVE-2014-6363:

  • Un atacante podría alojar un sitio Web especialmente diseñado diseñado para explotar estas vulnerabilidades en Internet Explorer y, a continuación, convencer a un usuario para que vea el sitio Web (normalmente a través de un enlace en el correo electrónico o mensaje instantáneo).
  • El atacante también podría aprovechar sitios Web vulnerables y los sitios Web que aceptan o alojan contenido proporcionado por el usuario o anuncios añadiendo contenido especialmente diseñado que permita aprovechar esta vulnerabilidad.

 

CVE-2014-6328 y CVE-2014-6365:

  • Un atacante podría publicar en un sitio Web con contenido especialmente diseñado para aprovechar esta vulnerabilidad. El filtro XSS deshabilita los atributos HTML en contenidos especialmente diseñados, creando una condición que podría permitir que un script malicioso se ejecute en el contexto de seguridad incorrecto, lo que lleva a la divulgación de información.

 

CVE-2014-6368:

  • Un atacante podría utilizar esta vulnerabilidad de desvío de ASLR en conjunción con otra vulnerabilidad, como una vulnerabilidad de ejecución remota de código que podría tomar ventaja del desvío de ASLR para ejecutar código arbitrario. Por ejemplo, una vulnerabilidad en la ejecución remota de código bloqueada por ASLR podría ser aprovechada después de una desviación ASLR exitosa.

 

CVE-2014-6363:

  • Un atacante podría también incrustar un control ActiveX marcado como "seguro para la inicialización" en una aplicación o documento de Microsoft Office que aloja el motor de interpretación de IE.

Factores atenuantes

Microsoft no ha identificado las atenuantes para estas vulnerabilidades.

Se requiere reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

MS14-065

Todos los detalles

https://technet.microsoft.com/security/bulletin/MS14-080

 

 

Identificador del boletín

Boletín de seguridad de Microsoft MS14-081

<Superior> 

Título del boletín

Las vulnerabilidades en Microsoft Word y Microsoft Office Web Apps podrían permitir la ejecución de código remoto (3017301)

Resumen ejecutivo

Esta actualización de seguridad resuelve dos vulnerabilidades reportadas en forma privada en Microsoft Word y Microsoft Office Web Apps. Las vulnerabilidades podrían permitir la ejecución remota de código si un atacante convence a un usuario que abra o vea un archivo de Microsoft Word especialmente diseñado con una versión afectada del software de Microsoft Office. Un atacante que explote con éxito estas vulnerabilidades podrá conseguir los mismos derechos del usuario. Si el usuario actual inicia sesión con derechos de usuario administrativo, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

 

La actualización de seguridad trata las vulnerabilidades al corregir la forma en que Microsoft Word analiza archivos de Office especialmente diseñados.

 

Microsoft recibió información de éstas mediante la divulgación coordinada de vulnerabilidades. Cuando este boletín de seguridad se publicó originalmente, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado públicamente para atacar a clientes.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera crítica para todas las ediciones compatibles de Microsoft Word 2007, Microsoft Office 2010, Microsoft Word 2010, Microsoft Word 2013, Microsoft Word 2013 RT, Microsoft Office 2011 para Mac, Microsoft Word Viewer, Microsoft Office Compatibility Pack y para los servicios afectados de Microsoft Office y Web Apps en las ediciones compatibles de Microsoft SharePoint Server 2010, Microsoft SharePoint Server 2013 y Microsoft Office Web Apps Server 2013.

Vectores de ataque
  • En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando un archivo especialmente elaborado para el usuario y de convencer al usuario para que abra el archivo en una versión afectada de Microsoft Office.
  • En un escenario de ataque por la Web, un atacante podría alojar un sitio Web que contenga un archivo para tratar de explotar la vulnerabilidad. Por otra parte, los sitios Web comprometidos y los que aceptan o alojan contenido proporcionado por el usuario podrían contener contenidos especialmente diseñados que pueden explotar esta vulnerabilidad.

Factores atenuantes
  • Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código arbitrario en el contexto del usuario actual. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos.
  • La vulnerabilidad no se puede explotar de manera automática a través del correo electrónico. Para que un ataque tenga éxito un usuario debe abrir un archivo adjunto que se envía en un mensaje de correo electrónico.
  • Un atacante tendría que convencer a los usuarios para que visiten el sitio Web, por lo general al hacer clic en un vínculo de un mensaje por correo electrónico o mensaje instantáneo que los lleve al sitio del atacante, y después convencerlos de que abran el archivo especialmente diseñado en una versión afectada del software de Microsoft Office.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS14-017, MS14-022, MS14-061 y MS14-069.

Todos los detalles

https://technet.microsoft.com/security/bulletin/MS14-081

 

 

Identificador del boletín

Boletín de seguridad de Microsoft MS14-082

<Superior> 

Título del boletín

La vulnerabilidad en Microsoft Office podría permitir la ejecución de código remoto (3017349)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad reportada en forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un archivo especialmente elaborado se abre en una edición afectada de Microsoft Office. Un atacante que explote con éxito esta vulnerabilidad podría obtener los mismos derechos que el usuario actual.

 

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que Microsoft Office analiza los archivos especialmente diseñados y al ayudar a asegurar que la biblioteca Microsoft Common Controls (MSCOMCTL) incluida con el software de Microsoft Office implemente correctamente ASLR.

 

Microsoft recibió información de ésta mediante la divulgación coordinada de vulnerabilidades. Cuando este boletín de seguridad se publicó originalmente, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado públicamente para atacar a clientes.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para las ediciones con soporte de Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013 y Microsoft Office 2013 RT.

Vectores de ataque
  • En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando un archivo especialmente elaborado para el usuario y de convencer al usuario para que abra el archivo en una versión afectada de Microsoft Office.
  • En un escenario de ataque por la Web, un atacante podría alojar un sitio Web que contenga un archivo para tratar de explotar la vulnerabilidad. Por otra parte, los sitios Web comprometidos y los que aceptan o alojan contenido proporcionado por el usuario podrían contener contenidos especialmente diseñados que pueden explotar esta vulnerabilidad.

Factores atenuantes
  • La vulnerabilidad no se puede explotar de manera automática a través del correo electrónico. Para que un ataque tenga éxito, el usuario debe abrir o ver previamente un archivo adjunto que se envía en un mensaje de correo electrónico o haga clic en un enlace contenido en un mensaje de correo electrónico.
  • Un atacante tendría que convencer a los usuarios para que tomen una acción, por lo general al lograr que hagan clic en un vínculo de un mensaje de correo electrónico o mensaje instantáneo que lleve a los usuarios a la página Web del atacante.
  • Los clientes cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS09-060

Todos los detalles

https://technet.microsoft.com/security/bulletin/MS14-082

 

 

Identificador del boletín

Boletín de seguridad de Microsoft MS14-083

<Superior> 

Título del boletín

La vulnerabilidad en Microsoft Excel podría permitir la ejecución de código remoto (3017347)

Resumen ejecutivo

Esta actualización de seguridad resuelve dos vulnerabilidades reportadas en forma privada en Microsoft Excel. Las vulnerabilidades podrían permitir la ejecución remota de código si un atacante convence a un usuario que abra o vea un archivo de Microsoft Excel especialmente diseñado con una versión afectada del software de Microsoft Office. Un atacante que explote con éxito estas vulnerabilidades podrá conseguir los mismos derechos del usuario. Si el usuario actual inicia sesión con derechos de usuario administrativo, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

 

La actualización de seguridad trata las vulnerabilidades al corregir la forma en que Microsoft Excel analiza archivos de Office especialmente diseñados.

 

Microsoft recibió información de ésta mediante la divulgación coordinada de vulnerabilidades. Cuando este boletín de seguridad se publicó originalmente, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado públicamente para atacar a clientes.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para todas las ediciones compatibles con Microsoft Excel 2007, Microsoft Excel 2010, Microsoft Excel 2013, Microsoft Excel 2013 RT y Microsoft Office Compatibility Pack.

Vectores de ataque
  • En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando un archivo especialmente elaborado para el usuario y de convencer al usuario para que abra el archivo en una versión afectada de Microsoft Office.
  • En un escenario de ataque por la Web, un atacante podría alojar un sitio Web que contenga un archivo para tratar de explotar la vulnerabilidad. Por otra parte, los sitios Web comprometidos y los que aceptan o alojan contenido proporcionado por el usuario podrían contener contenidos especialmente diseñados que pueden explotar esta vulnerabilidad.

Factores atenuantes
  • Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código arbitrario en el contexto del usuario actual. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos.
  • La vulnerabilidad no se puede explotar de manera automática a través del correo electrónico. Para que un ataque tenga éxito un usuario debe abrir un archivo adjunto que se envía en un mensaje de correo electrónico.
  • Un atacante tendría que convencer a los usuarios para que visiten el sitio Web, por lo general al hacer clic en un vínculo de un mensaje por correo electrónico o mensaje instantáneo que los lleve al sitio del atacante, y después convencerlos de que abran el archivo especialmente diseñado en una versión afectada del software de Microsoft Office.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS13-085

Todos los detalles

https://technet.microsoft.com/security/bulletin/MS14-083

 

 

Identificador del boletín

Boletín de seguridad de Microsoft MS14-084

<Superior> 

Título del boletín

La vulnerabilidad en el motor de secuencia en VBScript podría permitir la ejecución remota del código (3016711)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad reportada en forma privada en el motor de secuencias de comandos en VBScript en Microsoft Windows. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita un sitio Web especialmente diseñado. Un atacante que explote con éxito esta vulnerabilidad podría obtener los mismos derechos que el usuario actual. Si el usuario actual está conectado con derechos de administrador, un atacante que haya explotado con éxito esta vulnerabilidad podría tomar el control complete del sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos del usuario.

 

La actualización de seguridad resuelve la vulnerabilidad al modificar la forma en que el motor de secuencia de comandos en VBScript maneja objetos en la memoria.

 

Microsoft recibió información de ésta mediante la divulgación coordinada de vulnerabilidades. Cuando este boletín de seguridad se publicó originalmente, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado públicamente para atacar a clientes.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera crítica para las versiones afectadas del motor de secuencias de comandos en VBScript en los clientes afectados de Windows y Moderado para las versiones afectadas del motor de secuencia de comandos en VBScript en los servidores Windows afectados.

Vectores de ataque
  • En un escenario de ataque en la Web, un atacante podría alojar un sitio Web especialmente diseñado para explotar esta vulnerabilidad con Internet Explorer, y entonces convencer a un usuario para ver el sitio Web.
  • Un atacante podría también incrustar un control ActiveX marcado como "seguro para la inicialización" en una aplicación o documento de Microsoft Office que aloja el motor de interpretación de IE.
  • El atacante también podría aprovechar los sitios Web comprometidos y sitios Web que aceptan o alojan contenidos proporcionados por el usuario o anuncios publicitarios. Estos sitios Web podrían tener contenidos especialmente diseñados que puedan explotar esta vulnerabilidad.

Factores atenuantes

Microsoft no ha identificado las atenuantes para esta vulnerabilidad.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS14-011

Todos los detalles

https://technet.microsoft.com/security/bulletin/MS14-084

 

 

Identificador del boletín

Boletín de seguridad de Microsoft MS14-085

<Superior> 

Título del boletín

La vulnerabilidad en Microsoft Graphics Component podría permitir la divulgación de la información (3013126)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad divulgada en forma pública en Microsoft Windows. La vulnerabilidad podría permitir la divulgación de información si un usuario visita un sitio Web especialmente diseñado con contenido JPEG. Un atacante podría aprovechar esta vulnerabilidad de divulgación de información para obtener información sobre el sistema que posteriormente podrían combinarse con otros ataques para comprometer el sistema. La vulnerabilidad de divulgación de información por sí sola no permite la ejecución de código arbitrario.

 

La actualización corrige la vulnerabilidad al cambiar la forma en que se inicializa y administra la memoria cuando se decodifican las imágenes JPEG.

 

Esta vulnerabilidad ya se ha divulgado. Se le ha asignado el número CVE-2013-6355 de Vulnerabilidad y exposición común. Al momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado públicamente para atacar a clientes.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para todas versiones compatibles de Microsoft Windows.

Vectores de ataque

Un atacante podría aprovechar esta vulnerabilidad de divulgación de información en conjunto con otra vulnerabilidad para pasar por alto características de seguridad como Selección aleatoria del diseño del espacio de direcciones (ASLR).

Factores atenuantes

Microsoft no ha identificado las atenuantes para esta vulnerabilidad.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

Ninguno

Todos los detalles

https://technet.microsoft.com/security/bulletin/MS14-085

  

Con respecto a la consistencia de la información

Nos esforzamos por proporcionarle información precisa en contenidos estáticos (este correo) y dinámicos (basados en la Web). Ocasionalmente se actualiza el contenido de seguridad de Microsoft colocado en la Web para reflejar la información más reciente. Si esto resulta en una inconsistencia entre la información en este documento y la información en los contenidos de seguridad basados en la Web de Microsoft, éstos últimos prevalecerán.

 

Si tiene alguna pregunta sobre esta alerta, póngase en contacto con su Gerente Técnico de la cuenta.

 

Muchas gracias.

 

Microsoft CSS Security Team