Este martes Microsoft ha publicado ocho boletines de seguridad (del MS13-088 al MS13-095) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad «crítico» y los cinco restantes son «importantes«. En total se han resuelto 19 vulnerabilidades, aunque solo se ha solucionado uno de los dos 0-day anunciados en los últimos días.
-
MS13-088: Actualización acumulativa para Microsoft Internet Explorer, considerada «crítica«, que además soluciona 10 nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer desde la versión 6 a la 11. Los CVE afectados son CVE-2013-3908, CVE-2013-3909, CVE-2013-3871, CVE-2013-3910, CVE-2013-3911, CVE-2013-3912, CVE-2013-3914, CVE-2013-3915, CVE-2013-3916y CVE-2013-3917.
-
MS13-089: Boletín considerado «crítico» (con CVE-2013-3940) resuelve una vulnerabilidad de ejecución remota de código en la forma en que la interfaz de dispositivo gráfico (GDI) procesa en WordPad archivos de Windows Write especialmente diseñados.
-
MS13-090: Este boletín está calificado como «crítico» y soluciona la última vulnerabilidad 0-day anunciada, reside en el control ActiveX de clase InformationCardSigninHelper. La vulnerabilidad (con CVE-2013-3918) podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer, que ejecute el control ActiveX. Afecta a todos los sistemas Windows.
-
MS13-091: Destinado a corregir tres vulnerabilidades «importantes» en Microsoft Office que podrían permitir la ejecución remota de código si se abre un documento de WordPerfect. Afecta a Microsoft Office 2003, 2007, 2010 y 2013. Los CVE afectados son CVE-2013-0082, CVE-2013-1324y CVE-2013-1325.
-
MS13-092: Boletín de carácter «importante» (con CVE-2013-3898) destinado a corregir una vulnerabilidad de elevación de privilegios en Hyper-V, si un atacante pasa un parámetro de función especialmente diseñado en una hiperllamada desde una máquina virtual en ejecución existente al hipervisor.
- MS13-093: Corrige una vulnerabilidad (con CVE-2013-3887) de divulgación de información en el controlador modo kernel de Windows debido a que se trata incorrectamente la copia de datos entre la memoria de kernel y de usuario. Afecta a Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 y Windows Server 2012.
-
MS13-094: Boletín «importante» (con CVE-2013-3905) que resuelve una vulnerabilidad de divulgación de información en Microsoft Outlook, debida a que no se tratan adecuadamente la expansión de los metadatos de certificado S/MIME.
- MS13-095: Corrige una vulnerabilidad de denegación de servicio (con CVE-2013-3869) en Microsoft Windows, en las implementaciones del análisis de certificados X.509 que podrían provocar que un servicio web afectado dejara de responder.
Hay que señalar que queda pendiente de resolución la vulnerabilidad 0-day anunciada la semana pasada y que afectaba a Office.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Resumen del boletín de seguridad de Microsoft de noviembre 2013
Boletín de seguridad de Microsoft MS13-088 – Crítica
Actualización de seguridad acumulativa para Internet Explorer (2888505)
Boletín de seguridad de Microsoft MS13-089 – Crítica
Una vulnerabilidad en la interfaz de dispositivo gráfico podría permitir la ejecución remota de código (2876331)
Boletín de seguridad de Microsoft MS13-090 – Crítica
Actualización de seguridad acumulativa de bits de interrupción de ActiveX (2900986)
Boletín de seguridad de Microsoft MS13-091 – Importante
Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (2885093)
Boletín de seguridad de Microsoft MS13-092 – Importante
Una vulnerabilidad en Hyper-V podría permitir la elevación de privilegios (2893986)
Boletín de seguridad de Microsoft MS13-093 – Importante
Una vulnerabilidad en el controlador de función auxiliar de Windows podría permitir la divulgación de información (2875783)
Boletín de seguridad de Microsoft MS13-094 – Importante
Una vulnerabilidad en Microsoft Outlook podría permitir la divulgación de información (2894514)
Boletín de seguridad de Microsoft MS13-095 – Importante
Una vulnerabilidad en las firmas digitales podría permitir la denegación de servicio (2868626)
una-al-dia (06/11/2013) Microsoft alerta de un 0-day en Office
una-al-dia (10/11/2013) Nuevo 0-day en Internet Explorer
Antonio Ropero
Twitter: @aropero
