BOLETINES DE SEGURIDAD DE MICROSOFT - AGOSTO DE 2014

Como he dicho hace dos días, pues aquí ya las tenemos (están todos ahora en español, de España):

Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado que invoca recursos de Windows Media Center. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft SQL Server (una en SQL Server Servicios de datos Maestros y la otra en el sistema de administración de bases de datos relacionales de SQL Server). La más grave de estas vulnerabilidades, que afecta a SQL Server Master Data Services, podría permitir la elevación de privilegios si un usuario visita un sitio web especialmente diseñado que inserta un script del lado cliente en la instancia del usuario de Internet Explorer. El atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente incitándoles a que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o a que abran datos adjuntos enviados por correo electrónico.
Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de aprovechar estas vulnerabilidades.
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft .NET Framework. La vulnerabilidad podría permitir la omisión de característica de seguridad si un usuario visita un sitio web especialmente diseñado. En un escenario de ataque de exploración web, un atacante que aprovechara esta vulnerabilidad podría omitir la característica de seguridad de selección aleatoria del diseño del espacio de direcciones (ASLR), que contribuye a proteger a los usuarios de una amplia gama de vulnerabilidades. La omisión de la característica de seguridad en sí misma no permite la ejecución de código arbitrario. No obstante, un atacante podría usar esta vulnerabilidad de omisión de ASLR conjuntamente con otra vulnerabilidad, como la de ejecución remota de código, que pudiera aprovechar la omisión de ASLR para ejecutar código arbitrario.
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la omisión de característica de seguridad si un atacante usa la vulnerabilidad en combinación con otra vulnerabilidad, como una vulnerabilidad de ejecución remota de código, que aprovecha la omisión de ASLR para ejecutar código arbitrario.
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft OneNote. La vulnerabilidad podría permitir la ejecución remota de código si se abre un archivo especialmente diseñado en una versión afectada de Microsoft OneNote. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante ejecuta una aplicación especialmente diseñada que intenta reparar una aplicación instalada anteriormente. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft SharePoint Server. Un atacante autenticado que aprovechara esta vulnerabilidad podría usar una aplicación especialmente diseñada para ejecutar código JavaScript arbitrario en el contexto del usuario en el sitio de SharePoint actual.
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y veinticinco vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

De momento, no veo la imagen ISO-DVD de las actualizaciones de seguridad en los repositorios de Microsoft. En cuanto lo tenga, lo informo en otra publicación mía mañana o pasado (cuando esté, claro).

Comentarios