martes, 12 de enero de 2016

Microsoft publica 10 boletines de seguridad y finaliza soporte de productos

Este martes Microsoft ha publicado nueve boletines de seguridad (del MS16-001 al MS16-010, excepto el MS16-009) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "crítico" mientras que los tres restantes son "importantes". En total se han solucionado 25 vulnerabilidades.

Pero estos boletines también representan el final del soporte de algunos de sus productos, como son Internet Explorer 8, 9 y 10. Es decir, la única versión del navegador que seguirá recibiendo actualizaciones será Internet Explorer 11. De igual forma, también finaliza el soporte para Windows 8, que deberá actualizarse al menos a Windows 8.1 para seguir recibiendo las actualizaciones.

  • MS16-001: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona dos nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web especialmente creada (CVE-2016-0002 y CVE-2016-0005).
         
  • MS16-002: Boletín "crítico" que incluye la igualmente habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan dos vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2016-0003 y CVE-2016-0024).
         
  • MS16-003: Boletín "crítico" que resuelve una vulnerabilidad (CVE-2016-0002) en el motor de scripting VBScript en Microsoft Windows que podría permitir la ejecución remota de código si un usuario visita una página web con código script especialmente creado.
         
  • MS16-004: Destinado a corregir tres vulnerabilidades "críticas", la más grave de ellas podría permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2016-0010, CVE-2016-0012 y CVE-2016-0035).
         
  • MS16-005: Boletín "crítico" que resuelve dos vulnerabilidades en el controlador modo kernel de Windows; la más grave de ellas podría permitir la ejecución remota de código si un usuario visita una página web especialmente creada. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1), Windows Server 2012 y Windows 10. (CVE-2016-0009 y CVE-2016-0008).
         
  • MS16-006: Boletín de carácter "crítico" destinado a solucionar una vulnerabilidad en Microsoft Silverlight 5, que podría permitir la ejecución remota de código si un usuario visita una página web comprometida que contenga una aplicación Silverlight específicamente creada (CVE-2015-6114, CVE-2015-6165 y CVE-2015-6166).
         
  • MS16-007: Boletín de carácter "importante" destinado a corregir seis vulnerabilidades en Windows, la más grave de ellas podría permitir la ejecución remota de código. Los problemas corregidos residen en la carga de librerías, en la validación de entradas en DirectShow y en Remote Desktop Protocol (RDP). (CVE-2016-0014 al CVE-2016-0016 y CVE-2016-0018 al CVE-2016-0020). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1), Windows Server 2012 y Windows 10.
         
  • MS16-008: Boletín considerado "importante" que resuelve dos vulnerabilidades en el kernel de Windows que podrían permitir la elevación de privilegios en sistemas Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1), Windows Server 2012 y Windows 10 (CVE-2016-0006 y CVE-2016-0007).
         
  • MS16-010: Boletín de carácter "importante" destinado a corregir cuatro vulnerabilidades que podrían permitir la falsificación de contenidos en Microsoft Exchange Server 2013 y 2016 (CVE-2016-0029 al CVE-2016-0032).

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.



Más información:

Microsoft Security Bulletin Summary for January 2016

Microsoft Security Bulletin MS16-001 - Critical
Cumulative Security Update for Internet Explorer (3124903)

Microsoft Security Bulletin MS16-002 - Critical
Cumulative Security Update for Microsoft Edge (3124904)

Microsoft Security Bulletin MS16-003 - Critical
Cumulative Security Update for JScript and VBScript to Address Remote Code Execution (3125540)

Microsoft Security Bulletin MS16-004 - Critical
Security Update for Microsoft Office to Address Remote Code Execution (3124585)

Microsoft Security Bulletin MS16-005 - Critical
Security Update for Windows Kernel-Mode Drivers to Address Remote Code Execution (3124584)

Microsoft Security Bulletin MS16-006 - Critical
Security Update for Silverlight to Address Remote Code Execution (3126036)

Microsoft Security Bulletin MS16-007 - Important
Security Update for Microsoft Windows to Address Remote Code Execution (3124901)

Microsoft Security Bulletin MS16-008 - Important
Security Update for Windows Kernel to Address Elevation of Privilege (3124605)

Microsoft Security Bulletin MS16-010 - Important
Security Update in Microsoft Exchange Server to Address Spoofing (3124557)


Antonio Ropero
Twitter: @aropero

5 comentarios:

  1. Hola,
    De acuerdo a lo publicado por Microsoft en su web oficial, el fin del soporte para Windows 8 es 9 enero 2018
    http://windows.microsoft.com/es-es/windows/lifecycle
    Esto se contradice con lo que se indica en esta noticia.
    Saludos,
    Johnny

    ResponderEliminar
    Respuestas
    1. Hola Johnny
      Como indica Microsoft esa es la fecha de fin de soporte de Windows 8.1. Debes tener instalado Winsows 8.1 (considerado como Service Pack) para que se aplique esa fecha de soporte.
      Realmente con el soporte extendido la fecha se alarga al 10 de enero de 2023.
      Pero como decía la noticia debe actualizarse a Windows 8.1 o Windows 10 (ambas actualizaciones son gratuitas para usuarios de Windows 8) para seguir teniendo actualizaciones.
      Saludos

      Eliminar
  2. Lo que sí que acaba hoy es el soporte de Windows 7. Me parece que no sale en vuestra noticia y es muy importante.

    ResponderEliminar
    Respuestas
    1. Hola Koke,
      Es correcto que finaliza el soporte estándar de Windows 7 con Service Pack 1, sin embargo el soporte extendido es hasta el 14 de enero de 2020. Por lo que hasta esa fecha (2020) seguirán publicándose actualizaciones de seguridad como hasta la fecha. Que creo que a fin fin de cuentas es lo que nos importa.

      Básicamente la único que no tiene el soporte extendido (frente al estándar) es solicitud de cambio de las características y diseño del producto, y soporte telefónico y en línea incluido con la licencia.

      El soporte técnico de Windows 7 sin Service Pack finalizó el 9 de abril de 2013.

      http://windows.microsoft.com/es-es/windows/lifecycle
      https://support.microsoft.com/es-es/lifecycle#gp/lifePolicy

      Saludos
      Antonio

      Eliminar