Este martes Microsoft ha publicado cuatro boletines de seguridad (del MS14-017 al MS14-020) correspondientes a su ciclo habitual de actualizaciones. Con estas actualizaciones la compañía de Redmon da por concluido el soporte a Windows XP. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad «crítico» y los dos restantes son «importantes«. En total se han resuelto 11 vulnerabilidades, entre las que se incluyen el 0-day que afectaba a Word y las presentadas en el Pwn2Own.
- MS14-017: Boletín considerado «crítico» destinado a resolver tres vulnerabilidades en Microsoft Word y Office Web Apps que podrían permitir la ejecución remota de código. Entre los problemas solucionados se incluye la vulnerabilidad 0-day asociada con el tratamiento de archivos RTF. Afecta a Microsoft Word 2003, Microsoft Word 2007, Microsoft Word 2010, Microsoft Word 2013 y Web Apps. También afecta a Microsoft Word Viewer y Paquete de compatibilidad de Microsoft Office. (Con CVEs asociados CVE-2014-1757, CVE-2014-1758y CVE-2014-1761).
- MS14-018: Actualización acumulativa para Microsoft Internet Explorer, considerada «crítica«, que además soluciona seis nuevas vulnerabilidades, la más grave podría permitir la ejecución remota de código arbitrario. Se incluye la resolución de las vulnerabilidades comunicadas el pasado mes en el concurso Pwn2Own. Afecta a Internet Explorer desde la versión 6 a la 11.
- MS14-019: Este boletín está calificado como «importante» y soluciona una vulnerabilidad (CVE-2014-0315) en el tratamiento de archivos .bat o .cmd especialmente diseñados que se ejecutan desde una red externa, que podría permitir a un atacante lograr la ejecución remota de código. Afecta a Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
- MS14-020: Boletín de carácter «importante» (con CVE-2014-1759) destinado a corregir una vulnerabilidad en Microsoft Publisher (2003 y 2007) en el tratamiento de archivos de Publisher (.pub) especialmente creados. Un atacante podría lograr ejecución remota de código.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Resumen del boletín de seguridad de Microsoft de abril 2014
Boletín de seguridad de Microsoft MS14-017 – Crítica
Vulnerabilidades en Microsoft Word y Office Web Apps podrían permitir la ejecución remota de código (2949660)
Boletín de seguridad de Microsoft MS14-018 – Crítica
Actualización de seguridad acumulativa para Internet Explorer (2950467)
Boletín de seguridad de Microsoft MS14-019 – Importante
Una vulnerabilidad en el componente de tratamiento de archivos de Windows podría permitir la ejecución remota de código (2922229)
Boletín de seguridad de Microsoft MS14-020 – Importante
Una vulnerabilidad en Microsoft Publisher podría permitir la ejecución remota de código (2950145)
una-al-dia (24/03/2014) Microsoft publica una alerta por una vulnerabilidad 0-day en Word
una-al-dia (16/03/2014) Los principales navegadores caen en el Pwn2Own 2014
una-al-dia (07/04/2014) eXPira el Windows más longevo de Microsoft
Antonio Ropero
Twitter: @aropero
