martes, 8 de enero de 2013

Boletines de seguridad de Microsoft en enero


Este martes Microsoft ha publicado siete boletines de seguridad (del MS13-001 al MS13-007) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad "crítico" mientras que los otros cinco son "importantes". En total se han resuelto 12 vulnerabilidades. Tres permiten la ejecución de código arbitrario y seis la elevación de privilegios.


Los boletines publicados por Microsoft son los siguientes:

  • MS13-001: Boletín de carácter crítico que soluciona una vulnerabilidad relacionada con la cola de impresión de Windows 7 y 2008 Server y que permite la ejecución de código arbitrario. Su identificador es CVE-2013-0011.
        
  • MS13-002: Segundo boletín crítico que resuelve dos vulnerabilidades en 'XML Core Services' de Windows que permiten la ejecución de código arbitrario (CVE-2013-0006 y CVE-2013-0007). Se encuentran afectadas todas las versiones desde XP hasta Windows 8.
        
  • MS13-003: Este boletín corrige dos vulnerabilidades en System Center Operations Manager que permiten elevar privilegios. Están identificadas como CVE-2013-0009 y CVE-2013-0010.
        
  • MS13-004: Soluciona cuatro vulnerabilidades en .NET Framework. Una de ellas posibilita la revelación de información sensible (CVE-2013-0001) mientras que las otras tres permiten elevar privilegios (CVE-2013-0002, CVE-2013-0003, y CVE-2013-0004).
        
  • MS13-005: Un problema de seguridad en el kernel de Windows que permite la elevación de privilegios (CVE-2013-0008). Afecta a Windows Vista, 7, 2008 Server, 8 y 2012 Server.
        
  • MS13-006: Error en las versiones de Windows posteriores a Vista al negociar la versión de las sesiones SSL/TLS que permite cambiar una conexión SSLv3 o TLS a SSLv2 (que admite cifrados no seguros). Su identificador es CVE-2013-0013.
        
  • MS13-007: Una vulnerabilidad en el protocolo Open Data que puede causar una denegación de servicio mediante el agotamiento de los recursos del sistema (CVE-2013-0005).


Todas las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.

Más información:

Vulnerability in Windows Print Spooler Components Could Allow Remote Code Execution (2769369)

Vulnerabilities in Microsoft XML Core Services Could Allow Remote Code Execution (2756145)

Vulnerabilities in System Center Operations Manager Could Allow Elevation of Privilege (2748552)

Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2769324)

Vulnerability in Windows Kernel-Mode Driver Could Allow Elevation of Privilege (2778930)

Vulnerability in Microsoft Windows Could Allow Security Feature Bypass (2785220)

Vulnerability in Open Data Protocol Could Allow Denial of Service (2769327)

  

Juan José Ruiz

No hay comentarios:

Publicar un comentario en la entrada