Este martes Microsoft ha publicado siete boletines de seguridad (del MS14-030 al MS14-036) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad «crítico» y los cinco restantes son «importantes«. En total se han resuelto 66 vulnerabilidades.
-
MS14-035: Actualización acumulativa para Microsoft Internet Explorer, considerada «crítica«. Sin duda el boletín más relevante de todos, ya que además soluciona 59 nuevas vulnerabilidades. Las más graves podrían permitir la ejecución remota de código arbitrario si un usuario visita con Internet Explorer una página web especialmente creada. Afecta a Internet Explorer desde la versión 6 ala 11. Esta actualización también incluye la corrección a la vulnerabilidad de ejecución remota de código a través del uso de JavaScript anunciada recientemente por Zero Day Initiative y que Microsoft ocultó durante más de siete meses.
-
MS14-036: Boletín considerado «crítico» que resuelve dos vulnerabilidades en Microsoft Windows, Microsoft Office y Microsoft Lync que podrían permitir la ejecución remota de código si un usuario abre un archivo o página específicamente creada. Los CVE afectados son CVE-2014-1817y CVE-2014-1818.
-
MS14-034: Destinado a corregir una vulnerabilidad «importante» (CVE-2014-2778) en Microsoft Office que podría permitir la ejecución remota de código si se abre un documento específicamente creado con una versión afectada de Word. Afecta a Microsoft Office 2007 y Microsoft Office Compatibility Pack.
-
MS14-033: Este boletín está calificado como «importante» y soluciona una vulnerabilidad de divulgación de información si un usuario autenticado visita un sitio web específicamente diseñado para usar Microsoft XML Core Services (MSXML) a través de Internet Explorer. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012. (CVE-2014-1816).
-
MS14-032: Boletín de carácter «importante» (con CVE-2014-1823) destinado a corregir una vulnerabilidad de divulgación de información en el servidor Microsoft Lync.
-
MS14-031: Este boletín está calificado como «importante» y soluciona una vulnerabilidad en el protocolo TCP y que podría permitir provocar condiciones de denegación de servicio si un atacante envía una secuencia de paquetes específicamente construidos. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012. (CVE-2014-1811).
- MS14-030: Este boletín soluciona una vulnerabilidad de manipulación en Microsoft Windows a través de Escritorio Remoto. La vulnerabilidad podría permitir la manipulación si un atacante obtiene acceso al mismo segmento de red que el sistema de destino durante una sesión activa de Remote Desktop Protocol (RDP), y entonces envía paquetes RDP especialmente diseñados al el sistema atacado. Solo afecta a sistemas con RDP habilitado. (CVE-2014-0296).
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Microsoft Security Bulletin Summary for June 2014
Microsoft Security Bulletin MS14-035 – Critical
Cumulative Security Update for Internet Explorer (2969262)
Microsoft Security Bulletin MS14-036 – Critical
Vulnerabilities in Microsoft Graphics Component Could Allow Remote Code Execution (2967487)
Microsoft Security Bulletin MS14-034 – Important
Vulnerability in Microsoft Word Could Allow Remote Code Execution (2969261)
Microsoft Security Bulletin MS14-033 – Important
Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure (2966061)
Microsoft Security Bulletin MS14-032 – Important
Vulnerability in Microsoft Lync Server Could Allow Information Disclosure (2969258)
Microsoft Security Bulletin MS14-031 – Important
Vulnerability in TCP Protocol Could Allow Denial of Service (2962478)
Microsoft Security Bulletin MS14-030 – Important
Vulnerability in Remote Desktop Could Allow Tampering (2969259)
una-al-dia (22/05/2014) ZDI informa de 0day en Internet Explorer 8 existente desde hace 7 meses
Antonio Ropero
Twitter: @aropero
Deja una respuesta