Lanzamiento de actualización de seguridad de Microsoft de agosto de 2018

El martes, 14 de agosto de 2018, Microsoft publicará nuevas actualizaciones de seguridad que afectan a los siguientes productos de Microsoft:

Familia de productos Gravedad máxima

Impacto máximo

Artículos de KB relacionados o páginas web de soporte técnico
Todas las versiones de Windows 10 y Windows Server 2016 (incluido Microsoft Edge) Crítica

Ejecución del código remoto

Windows 10, versión 1803: 4343909; Windows 10 v1709: 4343897; Windows 10 v1703: 4343885; Windows 10 v1607: 4343887; Windows 10: 4343892; y Windows Server 2016: 4343887
Microsoft Edge Crítica

Ejecución del código remoto

Microsoft Edge: 4343897,
4343892
, 4343909,
4343887
y
4343885
Windows 8.1 y Windows Server 2012 R2 Crítica

Ejecución del código remoto

Paquete acumulativo mensual para Windows 8.1 y Windows Server 2012 R2: 4343898

Actualización de solo seguridad para Windows 8.1 y Windows Server 2012 R2: 4343888

Windows Server 2012 Crítica

Ejecución del código remoto

Paquete acumulativo mensual para Windows Server 2012: 4343901

Windows Server 2012 (solo seguridad): 4343896

Windows RT 8.1 Crítica

Ejecución del código remoto

Windows RT 8.1: 4343898

Nota: Las actualizaciones de Windows RT 8.1 solo están disponibles a través de Windows Update.

Windows 7 y Windows Server 2008 R2 Crítica

Ejecución del código remoto

Paquete acumulativo mensual para Windows 7 y Windows Server 2008 R2: 4343900

Actualización de solo seguridad para Windows 7 y Windows Server 2008 R2: 4343899

Windows Server 2008 Crítica

Ejecución del código remoto

Las actualizaciones para Windows Server 2008 no se ofrecen de manera acumulativa ni en paquetes. En los siguientes artículos se hace referencia a una versión de Windows Server 2008: 4340937, 4344104, 4340939,
4338380
,
4343674
y 4341832
Internet Explorer Crítica

Ejecución del código remoto

Paquete acumulativo para Internet Explorer 9 IE: 4343205;

Paquete acumulativo mensual para Internet Explorer 10: 4343901;

Paquete acumulativo para Internet Explorer 10: 4343205;

Paquete acumulativo mensual para Internet  Explorer 11: 4343900
y

4343898;

Paquete acumulativo para Internet Explorer 11 IE:
4343205;

Actualización de seguridad para Internet Explorer 11: 4343899, 4343897, 4343892, 4343909, 4343887
y

4343885

Software relacionado con Microsoft Office Importante

Ejecución del código remoto

El número de artículos de KB relacionados con Microsoft Office para cada lanzamiento de actualizaciones de seguridad mensual varía en función del número de CVE y del número de componentes afectados. Este mes hay unos 20 artículos de soporte técnico relacionados con las actualizaciones de Office; demasiados para hacer un resumen. Revise el contenido de la Guía de actualizaciones de seguridad para obtener detalles sobre los artículos.
Software relacionado con Microsoft SharePoint Importante

Divulgación de información

Software relacionado con Microsoft SharePoint: 4018392, 4022234, 4032256, y 4022236
Microsoft Exchange Server Crítica

Ejecución del código remoto

Microsoft Exchange Server: 4340733
y 4340731
Microsoft .NET Framework Importante

Divulgación de información

El número de artículos de soporte técnico relacionados con .NET Framework para cada publicación de actualizaciones de seguridad variará en función del número de CVE y de componentes afectados. Este mes hay más de 20 artículos de soporte técnico relacionados con las actualizaciones de .NET Framework; demasiados para hacer un resumen. .NET Core es una plataforma de desarrollo de uso general que mantienen Microsoft y la comunidad de .NET en GitHub.
Microsoft Visual Studio Importante

Elevación de privilegios

Microsoft Visual Studio: 4456688
Microsoft SQL Server Crítica

Ejecución del código remoto

Microsoft SQL Server: 4293801, 4293808, 4293803, 4293805, 4293807 y 4293802
ChakraCore Crítica

Ejecución del código remoto

ChakraCore es el núcleo de Chakra, el motor de JavaScript de alto rendimiento que impulsa Microsoft Edge y aplicaciones de Windows escritas en HTML/CSS/JS. Encontrará más información en https://github.com/Microsoft/ChakraCore/wiki.
Adobe Flash Player Crítica

Ejecución del código remoto

Artículo de KB sobre Adobe Flash Player: 4343902

Aviso sobre Adobe Flash Player: ADV180020

Descripción de las vulnerabilidades de seguridad

A continuación se proporciona un resumen en el que se muestra el número de vulnerabilidades tratadas en esta versión, desglosado por producto o componente y por impacto.

Detalles de la vulnerabilidad (1)

RCE

EOP

ID

SFB

DOS

SPF

TMP

Divulgación pública

Vulnerabilidad conocida

CVSS máx.

Windows 10 1803

5

10

5

3

1

0

0

1

1

7,8

Windows 10 1709

5

10

5

3

1

0

0

1

1

7,8

Windows 10 1703

5

9

5

2

1

0

0

1

1

7,8

Windows 8.1 y Server 2012 R2

3

4

5

1

1

0

0

0

0

7,8

Windows Server 2012

3

3

5

0

1

0

0

0

0

7,8

Windows 7 y Server 2008 R2

5

4

6

0

1

0

0

0

0

8,8

Windows Server 2008

5

1

5

0

1

0

0

0

0

8,8

Internet Explorer

9

1

1

0

0

0

0

1

1

7,5

Microsoft Edge

9

1

2

1

0

2

0

0

0

7,5

Software relacionado con Microsoft Office

3

1

2

0

0

0

0

0

0

N/D (2)

Software relacionado con Microsoft SharePoint

0

0

1

0

0

0

0

0

0

N/D (2)

Microsoft Exchange Server

1

0

0

0

0

0

1

0

0

N/D (2)

Microsoft .NET Framework

0

0

1

0

0

0

0

0

0

N/D (2)

Microsoft Visual Studio

0

1

0

0

0

0

0

0

0

N/D (2)

Microsoft SQL Server

1

0

0

0

0

0

0

0

0

N/D (2)

ChakraCore

8

0

0

0

0

0

0

0

0

N/D (2)

Adobe Flash Player

1

0

0

0

0

0

0

0

0

N/D (2)

RCE = Ejecución de código remoto | EOP = Elevación de privilegios | ID = Divulgación de información
SFB = Franqueo de características de seguridad | DOS = Denegación de servicio | SPF = Suplantación de identidad | TMP = Manipulación

(1) Es posible que las vulnerabilidades que aparecen en varios componentes se representen más de una vez en la tabla.

(2) En el momento de la publicación, las puntuaciones CVE solo estaban disponibles para Windows, Internet Explorer y Microsoft Edge.

Aviso de seguridad 180018 Guía para mitigar la variante L1TF
Resumen ejecutivo El 3 de enero de 2018, Microsoft publicó un aviso y actualizaciones de seguridad para una nueva clase de vulnerabilidades de hardware que implican canales laterales de ejecución especulativa (conocidas como Spectre y Meltdown). Microsoft tiene constancia de una nueva vulnerabilidad de canal lateral de ejecución especulativa conocida como L1 Terminal Fault (L1TF) a la que se han asignado múltiples CVEs, tal y como se contempla en la tabla inferior. La vulnerabilidad afecta a los procesadores Intel Core y Intel Xeon.

Un atacante que aprovechara con éxito la L1TF podría leer datos confidenciales entre todas las limitaciones de confianza. En medios de recursos compartidos (como los existentes en algunas configuraciones de servicios en la nube), esta vulnerabilidad podría permitir a una máquina virtual acceder de forma incorrecta a información de otra. Un atacante necesitaría de acceso previo al sistema o de la capacidad de ejecutar código en el sistema para aprovechar esta vulnerabilidad.

Microsoft ha publicado varias actualizaciones para ayudar a mitigar dichas vulnerabilidades. Para conseguir todas las protecciones disponibles, son necesarias actualizaciones de hardware/firmware y software y pueden incluir microcódigo de los fabricantes originales de los dispositivos. También hemos tomado medidas para proteger nuestros servicios en la nube. Vaya a la sección de clientes de la nube de Microsoft del aviso para más detalles.

De momento, Microsoft no ha recibido ningún indicio de que esta vulnerabilidad se haya usado para atacar a sus clientes. Microsoft sigue trabajando en estrecha colaboración con los agentes del sector, entre los que se incluyen fabricantes de chips, fabricantes originales de hardware y proveedores de aplicaciones, con el objetivo de proteger a los clientes de la ejecución especulativa de vulnerabilidades de hardware.

Este aviso ayuda a solucionar las siguientes vulnerabilidades:

  • CVE-2018-3615: L1 Terminal Fault – Intel Software Guard Extensions (SGX)
  • CVE-2018-3620: L1 Terminal Fault – Operating System (OS), System Management Mode (SMM)
  • CVE-2018-3646: L1 Terminal Fault – Virtual Machine Manager (VMM)
Acciones recomendadas
  • Consultar el aviso de seguridad para obtener más detalles y acciones potenciales que puedan ser necesarias para resolver el problema.
  • Mantener Microsoft Windows actualizado.
Más información: https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/ADV180018 

Guía de actualizaciones de seguridad

La Guía de actualizaciones de seguridad es nuestro recurso recomendado para obtener información sobre actualizaciones de seguridad. Puede personalizar sus vistas y crear hojas de cálculo del software afectado, así como descargar datos a través de una API de RESTful. Le recordamos que la Guía de actualizaciones de seguridad ya ha sustituido a las páginas web de los boletines de seguridad habituales.

Portal de la Guía de actualizaciones de seguridad: https://aka.ms/securityupdateguide

Página web de preguntas más frecuentes (P+F) sobre la Guía de actualizaciones de seguridad: https://technet.microsoft.com/es-es/security/mt791750

Detalles de la vulnerabilidad

A continuación, encontrará los resúmenes de algunas de las vulnerabilidades de seguridad de esta versión. Estas vulnerabilidades se han seleccionado entre el conjunto global de vulnerabilidades existentes en la versión por alguno de los motivos siguientes: 1) Hemos recibido consultas relacionadas con la vulnerabilidad; 2) la vulnerabilidad se ha puesto de relieve en la prensa especializada; o 3) la vulnerabilidad puede resultar más perjudicial que otras de la misma versión. Dado que no proporcionamos resúmenes para todas las vulnerabilidades de la versión, debería consultar el contenido de la Guía de actualizaciones de seguridad
para buscar la información que no esté contenida en estos resúmenes.

CVE-2018-8344 Vulnerabilidad de ejecución de código remoto de gráficos de Microsoft
Resumen ejecutivo Existe una vulnerabilidad de ejecución de código remoto cuando la biblioteca de fuentes de Windows controla de manera incorrecta fuentes integradas especialmente diseñadas. Un atacante que hubiera aprovechado esta vulnerabilidad con éxito podría tomar el control de un sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario.

La actualización de seguridad resuelve la vulnerabilidad al corregir cómo la biblioteca de fuentes de Windows controla las fuentes integradas.

Vectores de ataque Hay varias maneras en las que un atacante podría aprovechar esta vulnerabilidad:

En caso de un ataque basado en la Web, un atacante podría hospedar un sitio web especialmente diseñado para aprovechar la vulnerabilidad y luego convencer a los usuarios para que lo visiten.

En caso de ataque en el intercambio de archivos, el atacante podría proporcionar un archivo de documento especialmente diseñado para aprovechar esta vulnerabilidad y luego convencer a los usuarios para que abran el archivo de documento.

Factores mitigadores Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos.

Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el contenido controlado por él. En cambio, el atacante tendría que convencer a los usuarios para que realicen alguna acción, normalmente consiguiendo que hagan clic en un enlace que aparece en un correo electrónico o mensaje instantáneo y que los lleva al sitio web del atacante, o que abran un archivo adjunto enviado por correo electrónico.

Soluciones alternativas Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Software afectado Windows 10, Windows 8.1, Windows RT 8.1, Windows 7, Windows Server v1803, Windows Server v1709, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 y Windows Server 2008.
Impacto Ejecución del código remoto
Gravedad Crítica
¿Divulgación pública? No
¿Vulnerabilidades conocidas? No
Evaluación de vulnerabilidad, más reciente: 1: vulnerabilidad más probable
Evaluación de vulnerabilidad, heredada: 1: vulnerabilidad más probable
Más detalles https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8344
CVE-2018-8373 Vulnerabilidad de daño de la memoria del motor de scripting
Resumen ejecutivo Existe una vulnerabilidad de ejecución de código remoto en la forma en que los motores de scripting controlan los objetos de la memoria en Internet Explorer. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inició sesión con privilegios administrativos, un atacante que hubiera aprovechado la vulnerabilidad con éxito podría tomar el control de un sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario.

La actualización de seguridad resuelve la vulnerabilidad modificando la forma en que el motor de scripting controla los objetos de la memoria.

Vectores de ataque En un escenario de ataque web, un atacante podría hospedar una página web especialmente diseñada para aprovechar la vulnerabilidad a través de Internet Explorer y, a continuación, convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control de ActiveX marcado como “seguro para inicialización” en una aplicación o un documento de Microsoft Office que hospeda el motor de representación IE. El atacante también podría aprovecharse de los sitios web en peligro y de los que aceptan u hospedan contenido proporcionado por el usuario o anuncios. Estos sitios web podrían albergar contenido especialmente diseñado para aprovechar esta vulnerabilidad.
Factores mitigadores Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el sitio web. En cambio, un atacante tendría que convencer a los usuarios para que hagan clic en un enlace, normalmente llamando su atención por correo electrónico o mensaje instantáneo, y, a continuación, convencerlos para que abran el archivo especialmente diseñado a tal efecto.

Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Configurar las cuentas de usuario con menos permisos reduciría el riesgo.

Soluciones alternativas Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Software afectado Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11
Impacto Ejecución del código remoto
Gravedad Crítica
¿Divulgación pública?
¿Vulnerabilidades conocidas?
Evaluación de vulnerabilidad, más reciente: 2: vulnerabilidad menos probable
Evaluación de vulnerabilidad, heredada: 0: vulnerabilidad detectada
Más detalles https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8373
CVE-2018-8414 Vulnerabilidad de ejecución de código remoto de Windows Shell
Resumen ejecutivo Existe una vulnerabilidad de ejecución de código remoto cuando Windows Shell no valida de manera correcta las rutas de archivos.

Esta actualización de seguridad resuelve la vulnerabilidad asegurando que Windows Shell valide correctamente las rutas de archivos.

Vectores de ataque Un atacante que aprovechara esta vulnerabilidad con éxito podría ejecutar un código arbitrario en el contexto del usuario actual. Si el usuario actual inició sesión como administrador, un atacante podría tomar el control del sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con privilegios elevados.

Para aprovechar la vulnerabilidad, un atacante debe incitar a un usuario a que abra un archivo especialmente diseñado. En un escenario de ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad al enviar al usuario el archivo especialmente diseñado y convenciéndolo para que lo abriera. En un escenario de ataque web, un atacante podría hospedar un sitio web (o sacar provecho de un sitio web en peligro que acepta u hospeda contenido proporcionado por el usuario) que contiene un archivo especialmente diseñado para aprovechar la vulnerabilidad.

Factores mitigadores Un atacante no puede forzar de ninguna forma a un usuario a visualizar el sitio web. En cambio, un atacante tendría que convencer a un usuario para que haga clic en un enlace y abra el archivo especialmente diseñado.

Los usuarios cuyas cuentas estén configuradas con pocos privilegios en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos.

Soluciones alternativas Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Software afectado Windows 10, Windows Server v1803 y Windows Server v1709 
Impacto Ejecución del código remoto
Gravedad Importante
¿Divulgación pública?
¿Vulnerabilidades conocidas?
Evaluación de vulnerabilidad, más reciente: 1: vulnerabilidad más probable
Evaluación de vulnerabilidad, heredada: 1: vulnerabilidad más probable
Más detalles https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8414
CVE-2018-8375 Vulnerabilidad de ejecución de código remoto de Microsoft Excel
Resumen ejecutivo Existe una vulnerabilidad de ejecución de código remoto en el software de Microsoft Excel cuando dicho software no logra controlar correctamente los objetos en la memoria. Un atacante que aprovechara la vulnerabilidad con éxito podría ejecutar un código arbitrario en el contexto del usuario actual. Si el usuario actual inició sesión con privilegios administrativos, un atacante podría tomar el control del sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario.

La actualización de seguridad resuelve la vulnerabilidad al corregir la manera en que Microsoft Excel controla los objetos en la memoria.

Vectores de ataque La explotación de la vulnerabilidad requiere que un usuario abra un archivo especialmente diseñado con una versión afectada de Microsoft Excel. En un escenario de ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad al enviar al usuario el archivo especialmente diseñado y convenciéndolo para que lo abriera. En un escenario de ataque web, un atacante podría hospedar un sitio web (o sacar provecho de un sitio web en peligro que acepta u hospeda contenido proporcionado por el usuario) que contiene un archivo especialmente diseñado para aprovechar la vulnerabilidad.
Factores mitigadores Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el sitio web. En cambio, un atacante tendría que convencer a los usuarios para que hagan clic en un enlace, normalmente llamando su atención por correo electrónico o mensaje instantáneo, y, a continuación, convencerlos para que abran el archivo especialmente diseñado a tal efecto.

Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos.

Soluciones alternativas Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Software afectado Microsoft Excel 2016, Excel 2016 Click-to-Run (C2R), Excel 2013, Excel 2013 RT, Excel 2010, Excel Viewer 2007, Office 2016 for Mac y Office Compatibility Pack
Impacto Ejecución del código remoto
Gravedad Importante
¿Divulgación pública? No
¿Vulnerabilidades conocidas? No
Evaluación de vulnerabilidad, más reciente: 2: vulnerabilidad menos probable
Evaluación de vulnerabilidad, heredada: 2: vulnerabilidad menos probable
Más detalles https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8375

Respecto a la coherencia de la información

Procuramos proporcionarle información precisa a través de contenido estático (este correo) y dinámico (basado en web). El contenido de seguridad de Microsoft publicado en la Web se actualiza con frecuencia para incluir la información más reciente. Si esto provoca incoherencias entre la información de aquí y la información del contenido de seguridad basado en web de Microsoft, la información autorizada es esta última.

Si tiene alguna pregunta respecto a esta alerta, póngase en contacto con su administrador técnico de cuentas (TAM) o director de prestación de servicios (SDM).

Gracias.

Microsoft CSS