Boletín de seguridad de Microsoft - Octubre 2014

Como en las demás ocasiones, tenemos las actualizaciones, a través de este enlace:


Esta actualización de seguridad resuelve catorce vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en Microsoft .NET Framework. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante envía un URI especialmente diseñado que contenga caracteres internacionales a una aplicación web .NET. En aplicaciones .NET 4.0, la funcionalidad vulnerable (iriParsing) está deshabilitada de forma predeterminada; para que la vulnerabilidad se pueda aprovechar, una aplicación debe habilitar esta funcionalidad explícitamente. En aplicaciones .NET 4.5, iriParsing está habilitado de forma predeterminada y no se puede deshabilitar.

Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante convence a un usuario para que abra un documento especialmente diseñado o para que visite un sitio web que no es de confianza y que contenga fuentes TrueType insertadas. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a realizar estas acciones. En su lugar, el atacante tendría que convencer a los usuarios de que lo hagan, normalmente haciendo que hagan clic en un vínculo en un mensaje de correo electrónico o de Instant Messenger.

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en ASP.NET MVC. La vulnerabilidad podría permitir la omisión de la característica de seguridad si un atacante convence a un usuario para que haga clic en un vínculo especialmente diseñado o visite una página web que incluye contenido especialmente diseñado para aprovechar la vulnerabilidad. En un escenario de ataque web, el atacante podría hospedar un sitio web especialmente diseñado para aprovechar la vulnerabilidad mediante un explorador web y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar la vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente incitándoles a que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o a que abran datos adjuntos enviados por correo electrónico.

Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office que contiene un objeto OLE especialmente diseñado. Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código arbitrario en el contexto del usuario actual. Si el usuario actual inicia sesión con derechos de administrador, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un atacante convence a un usuario para que abra un archivo de Microsoft Word especialmente diseñado. Un atacante que aprovechara la vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de administrador, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante envía una solicitud de control entrada/salida (IOCTL) especialmente diseñada al servicio de Message Queue Server. Si se aprovecha esta vulnerabilidad, se podría obtener acceso completo al sistema afectado. De forma predeterminada, el componente Message Queue Server no se instala en ninguna edición de sistema operativo afectada y sólo lo puede habilitar un usuario con privilegios administrativos. Sólo los clientes que habiliten manualmente el componente Message Queue Server pueden ser vulnerables a este problema.

Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. Existe una vulnerabilidad de elevación de privilegios en la forma en que el controlador del sistema FASTFAT de Windows interactúa con las particiones de disco FAT32. Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código arbitrario con privilegios elevados.

Comentarios