Este
martes Microsoft ha publicado ocho boletines de seguridad (del MS14-056 alMS14-063) correspondientes a su ciclo habitual de actualizaciones. Según la
propia clasificación de Microsoft tres de los boletines presentan un nivel de
gravedad "crítico" y los cinco restantes son "importantes".
En total se han resuelto 24 vulnerabilidades.
-
MS14-056: Actualización acumulativa para Microsoft Internet Explorer, considerada "crítica". Sin duda el boletín más relevante de todos, ya que además soluciona 14 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente creada.
- MS14-057: Boletín considerado
"crítico" que resuelve tres vulnerabilidades en .Net Framework, la
más grave podría permitir la ejecución remota de código si un atacante envía a
una aplicación web .Net una petición URI específicamente creada con caracteres
internacionales (CVE-2014-4073, CVE-2014-4121 y CVE-2014-4122). Afecta a
Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.0, 4.5, 4.5.1 y 4.5.2.
- MS14-058: Destinado a corregir
dos vulnerabilidades "críticas" (CVE-2014-4113 y CVE-2014-4148) en
los controladores modo kernel de Windows. La más grave podría permitir la
ejecución remota de código si un atacante consigue que un usuario abra un
documento específicamente creado o que visite una web que contenga fuentes
TrueType embebidas. Afecta a Windows Server 2003, Windows Vista, Windows Server
2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
- MS14-059: Este boletín está
calificado como "importante" y soluciona una vulnerabilidad de
cross-site scripting en ASP.NET MVC. Afecta a ASP.NET MVC 2, 3, 4, 5 y 5.1.
- MS14-060: Boletín de carácter
"importante" destinado a corregir una vulnerabilidad (con
CVE-2014-4114) en Windows OLE que podría permitir la ejecución remota de código
si un usuario abre un documento Office que contenga un objeto OLE
específicamente creado. Afecta a Windows Vista, Windows Server 2008, Windows 7,
Windows 8 (y 8.1) y Windows Server 2012.
- MS14-061: Este boletín está
calificado como "importante" y soluciona una vulnerabilidad (con
CVE-2014-4117) en Microsoft Word y Office Web Apps que podría permitir la
ejecución remota de código si un usuario abre un documento Word específicamente
creado. Afecta a Microsoft Office 2007, 2010, Microsoft Office para Mac 2011,
Microsoft SharePoint Server 2010 y Office Web Apps 2010.
- MS14-062: Destinado a corregir
una vulnerabilidad "importante" (CVE-2014-4971) que podría permitir
la elevación de privilegios si un atacante envía una petición IOCTL manipulada
al servicio Message Queuing. Afecta a Windows Server 2003.
- MS14-063: Destinado a corregir una vulnerabilidad "importante" (CVE-2014-1814) en la forma en que el controlador de sistema Windows FASTFAT interactúa con particiones FAT32. El problema podría permitir la elevación de privilegios y afecta a Windows Server 2003, Windows Vista y Windows Server 2008.
Las actualizaciones publicadas
pueden descargarse a través de Windows Update o consultando los boletines de
Microsoft donde se incluyen las direcciones de descarga directa de cada parche.
Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Microsoft Security Bulletin
Summary for October 2014
Microsoft Security Bulletin
MS14-056 - Critical
Cumulative Security Update for
Internet Explorer (2987107)
Microsoft Security Bulletin
MS14-057 - Critical
Vulnerabilities in .NET Framework
Could Allow Remote Code Execution (3000414)
Microsoft Security Bulletin
MS14-058 - Critical
Vulnerabilities in Kernel-Mode
Driver Could Allow Remote Code Execution (3000061)
Microsoft Security Bulletin
MS14-059 - Important
Vulnerability in ASP.NET MVC
Could Allow Security Feature Bypass (2990942)
Microsoft Security Bulletin
MS14-060 - Important
Vulnerability in Windows OLE
Could Allow Remote Code Execution (3000869)
Microsoft Security Bulletin
MS14-061 - Important
Vulnerability in Microsoft Word
and Office Web Apps Could Allow Remote Code Execution (3000434)
Microsoft Security Bulletin
MS14-062 - Important
Vulnerability in Message Queuing
Service Could Allow Elevation of Privilege (2993254)
Microsoft Security Bulletin
MS14-063 - Important
Vulnerability in FAT32 Disk
Partition Driver Could Allow Elevation of Privilege (2998579)
Antonio Ropero
Twitter: @aropero