Esta actualización de seguridad crítica resuelve una vulnerabilidad de
la que se ha informado de forma privada en Microsoft Windows. La
vulnerabilidad podría permitir la ejecución remota de código si un
usuario abre un archivo de Microsoft Office especialmente diseñado que
invoca recursos de Windows Media Center. Un atacante que aprovechara
esta vulnerabilidad podría conseguir el mismo nivel de derechos de
usuario que el usuario actual. Los clientes cuyas cuentas estén
configuradas con menos derechos de usuario en el sistema correrían un
riesgo menor que los que cuenten con derechos de usuario
administrativos.
Esta actualización de seguridad resuelve dos vulnerabilidades de las que
se ha informado de forma privada en Microsoft SQL Server (una en SQL
Server Servicios de datos Maestros y la otra en el sistema de
administración de bases de datos relacionales de SQL Server). La más
grave de estas vulnerabilidades, que afecta a SQL Server Master Data
Services, podría permitir la elevación de privilegios si un usuario
visita un sitio web especialmente diseñado que inserta un script del
lado cliente en la instancia del usuario de Internet Explorer. El
atacante no podría en ningún caso obligar a los usuarios a ver el
contenido controlado por el atacante. En su lugar, tendría que
convencerlos para que realizaran alguna acción, normalmente incitándoles
a que hagan clic en un vínculo de un mensaje de correo electrónico o de
Instant Messenger que los lleve al sitio web del atacante o a que abran
datos adjuntos enviados por correo electrónico.
Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en
Microsoft Windows. La más grave de estas vulnerabilidades podría
permitir la elevación de privilegios si un atacante inicia sesión en el
sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar
esta vulnerabilidad, un atacante debe de tener unas credenciales de
inicio de sesión válidas y ser capaz de aprovechar estas
vulnerabilidades.
Esta actualización de seguridad resuelve una vulnerabilidad de la que se
ha informado de forma privada en Microsoft .NET Framework. La
vulnerabilidad podría permitir la omisión de característica de seguridad
si un usuario visita un sitio web especialmente diseñado. En un
escenario de ataque de exploración web, un atacante que aprovechara esta
vulnerabilidad podría omitir la característica de seguridad de
selección aleatoria del diseño del espacio de direcciones (ASLR), que
contribuye a proteger a los usuarios de una amplia gama de
vulnerabilidades. La omisión de la característica de seguridad en sí
misma no permite la ejecución de código arbitrario. No obstante, un
atacante podría usar esta vulnerabilidad de omisión de ASLR
conjuntamente con otra vulnerabilidad, como la de ejecución remota de
código, que pudiera aprovechar la omisión de ASLR para ejecutar código
arbitrario.
Esta actualización de seguridad crítica resuelve una vulnerabilidad de
la que se ha informado de forma privada en Microsoft Windows. La
vulnerabilidad podría permitir la omisión de característica de seguridad
si un atacante usa la vulnerabilidad en combinación con otra
vulnerabilidad, como una vulnerabilidad de ejecución remota de código,
que aprovecha la omisión de ASLR para ejecutar código arbitrario.
Esta actualización de seguridad crítica resuelve una vulnerabilidad de
la que se ha informado de forma privada en Microsoft OneNote. La
vulnerabilidad podría permitir la ejecución remota de código si se abre
un archivo especialmente diseñado en una versión afectada de Microsoft
OneNote. Un atacante que aprovechara esta vulnerabilidad podría
conseguir el mismo nivel de derechos de usuario que el usuario actual.
Los clientes cuyas cuentas estén configuradas con menos derechos de
usuario en el sistema correrían un riesgo menor que los que cuenten con
derechos de usuario administrativos.
Esta actualización de seguridad resuelve una vulnerabilidad que se ha
divulgado de forma privada en Microsoft Windows. La vulnerabilidad
podría permitir la elevación de privilegios si un atacante ejecuta una
aplicación especialmente diseñada que intenta reparar una aplicación
instalada anteriormente. Para aprovechar esta vulnerabilidad, un
atacante debe de tener unas credenciales de inicio de sesión válidas y
ser capaz de iniciar una sesión local.
Esta actualización de seguridad resuelve una vulnerabilidad de la que se
ha informado de forma privada en Microsoft SharePoint Server. Un
atacante autenticado que aprovechara esta vulnerabilidad podría usar una
aplicación especialmente diseñada para ejecutar código JavaScript
arbitrario en el contexto del usuario en el sitio de SharePoint actual.
Esta
actualización de seguridad resuelve una vulnerabilidad de la que se ha
informado de forma pública y veinticinco vulnerabilidades de las que se
ha informado de forma privada en Internet Explorer. La más grave de
estas vulnerabilidades podría permitir la ejecución remota de código si
un usuario, mediante Internet Explorer, visita una página web
especialmente diseñada. Un intruso que aprovechara estas
vulnerabilidades podría conseguir el mismo nivel de derechos de usuario
que el usuario actual. Los clientes cuyas cuentas estén configuradas con
menos derechos de usuario en el sistema correrían un riesgo menor que
los que cuenten con derechos de usuario administrativos.
De momento, no veo la imagen ISO-DVD de las actualizaciones de seguridad en los repositorios de Microsoft. En cuanto lo tenga, lo informo en otra publicación mía mañana o pasado (cuando esté, claro).
De momento, no veo la imagen ISO-DVD de las actualizaciones de seguridad en los repositorios de Microsoft. En cuanto lo tenga, lo informo en otra publicación mía mañana o pasado (cuando esté, claro).
No hay comentarios:
Publicar un comentario