7 boletines de seguridad publicados por Microsoft correspondientes a su ciclo habitual de actualizaciones. La clasificación de Microsoft de 2 de los boletines presentan un nivel de gravedad ‘crítico’ y los 6 restantes son ‘importantes’.
En total se han resuelto 66 vulnerabilidades y son los siguientes boletines:
* MS14-035:
Actualización acumulativa para Microsoft Internet Explorer, considerada "crítica". Sin duda el boletín más relevante de todos, ya que además soluciona 59 nuevas vulnerabilidades. Las más graves podrían permitir la ejecución remota de código arbitrario si un usuario visita con Internet Explorer una página web especialmente creada. Afecta a Internet Explorer desde la versión 6 a la 11. Esta actualización también incluye la corrección a la vulnerabilidad de ejecución remota de código a través del uso de JavaScript anunciada recientemente por Zero Day Initiative y que Microsoft ocultó durante más de siete meses.
Actualización acumulativa para Microsoft Internet Explorer, considerada "crítica". Sin duda el boletín más relevante de todos, ya que además soluciona 59 nuevas vulnerabilidades. Las más graves podrían permitir la ejecución remota de código arbitrario si un usuario visita con Internet Explorer una página web especialmente creada. Afecta a Internet Explorer desde la versión 6 a la 11. Esta actualización también incluye la corrección a la vulnerabilidad de ejecución remota de código a través del uso de JavaScript anunciada recientemente por Zero Day Initiative y que Microsoft ocultó durante más de siete meses.
* MS14-036:
Boletín considerado "crítico" que resuelve dos vulnerabilidades en Microsoft Windows, Microsoft Office y Microsoft Lync que podrían permitir la ejecución remota de código si un usuario abre un archivo o página específicamente creada. Los CVE afectados son CVE-2014-1817 y CVE-2014-1818.
Boletín considerado "crítico" que resuelve dos vulnerabilidades en Microsoft Windows, Microsoft Office y Microsoft Lync que podrían permitir la ejecución remota de código si un usuario abre un archivo o página específicamente creada. Los CVE afectados son CVE-2014-1817 y CVE-2014-1818.
* MS14-034:
Destinado a corregir una vulnerabilidad "importante" (CVE-2014-2778) en Microsoft Office que podría permitir la ejecución remota de código si se abre un documento específicamente creado con una versión afectada de Word. Afecta a Microsoft Office 2007 y Microsoft Office Compatibility Pack.
Destinado a corregir una vulnerabilidad "importante" (CVE-2014-2778) en Microsoft Office que podría permitir la ejecución remota de código si se abre un documento específicamente creado con una versión afectada de Word. Afecta a Microsoft Office 2007 y Microsoft Office Compatibility Pack.
* MS14-033: Este boletín está calificado como "importante" y soluciona una vulnerabilidad de divulgación de información si un usuario autenticado visita un sitio web específicamente diseñado para usar Microsoft XML Core Services (MSXML) a través de Internet Explorer. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012. (CVE-2014-1816).
* MS14-032: Boletín de carácter "importante" (con CVE-2014-1823) destinado a corregir una vulnerabilidad de divulgación de información en el servidor Microsoft Lync.
* MS14-031:
Este boletín está calificado como "importante" y soluciona una vulnerabilidad en el protocolo TCP y que podría permitir provocar condiciones de denegación de servicio si un atacante envía una secuencia de paquetes específicamente construidos. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
Este boletín está calificado como "importante" y soluciona una vulnerabilidad en el protocolo TCP y que podría permitir provocar condiciones de denegación de servicio si un atacante envía una secuencia de paquetes específicamente construidos. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
(CVE-2014-1811).
* MS14-030:
Este boletín soluciona una vulnerabilidad de manipulación en Microsoft Windows a través de Escritorio Remoto. La vulnerabilidad podría permitir la manipulación si un atacante obtiene acceso al mismo segmento de red que el sistema de destino durante una sesión activa de Remote Desktop Protocol (RDP), y entonces envía paquetes RDP especialmente diseñados al el sistema atacado. Solo afecta a sistemas con RDP habilitado. (CVE-2014-0296).
Este boletín soluciona una vulnerabilidad de manipulación en Microsoft Windows a través de Escritorio Remoto. La vulnerabilidad podría permitir la manipulación si un atacante obtiene acceso al mismo segmento de red que el sistema de destino durante una sesión activa de Remote Desktop Protocol (RDP), y entonces envía paquetes RDP especialmente diseñados al el sistema atacado. Solo afecta a sistemas con RDP habilitado. (CVE-2014-0296).
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2014/06/los-boletines-de-seguridad-de-microsoft.html#comments
Más información:
Microsoft Security Bulletin Summary for June 2014
https://technet.microsoft.com/library/security/ms14-jun
https://technet.microsoft.com/library/security/ms14-jun
Microsoft Security Bulletin MS14-035 – Critical Cumulative Security Update for Internet Explorer (2969262)
https://technet.microsoft.com/library/security/ms14-035
Microsoft Security Bulletin MS14-036 – Critical Vulnerabilities in Microsoft Graphics Component Could Allow Remote Code Execution (2967487)
https://technet.microsoft.com/library/security/ms14-036
Microsoft Security Bulletin MS14-034 – Important Vulnerability in Microsoft Word Could Allow Remote Code Execution (2969261)
https://technet.microsoft.com/library/security/ms14-034
Microsoft Security Bulletin MS14-033 – Important Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure (2966061)
https://technet.microsoft.com/en-us/library/security/ms14-033
Microsoft Security Bulletin MS14-032 – Important Vulnerability in Microsoft Lync Server Could Allow Information Disclosure (2969258)
https://technet.microsoft.com/library/security/ms14-032
Microsoft Security Bulletin MS14-031 – Important Vulnerability in TCP Protocol Could Allow Denial of Service (2962478)
https://technet.microsoft.com/library/security/ms14-031
Microsoft Security Bulletin MS14-030 – Important Vulnerability in Remote Desktop Could Allow Tampering (2969259)
https://technet.microsoft.com/library/security/ms14-030
https://technet.microsoft.com/library/security/ms14-030
una-al-dia (22/05/2014) ZDI informa de 0day en Internet Explorer 8 existente desde hace 7 meses
http://unaaldia.hispasec.com/2014/05/zdi-informa-de-0day-en-internet.html
http://unaaldia.hispasec.com/2014/05/zdi-informa-de-0day-en-internet.html
Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com
Imágenes:
Foto Imagen Gratis en Internet
www.fotosdigitalesgratis.com
Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar
