Este martes Microsoft ha publicado seis boletines de seguridad (del MS14-037 al MS14-042) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad «crítico«, tres son «importantes» y un último «moderado«. En total se han resuelto 29 vulnerabilidades.
- MS14-037: Actualización acumulativa para Microsoft Internet Explorer, considerada «crítica«. Sin duda el boletín más relevante de todos, ya que además soluciona 24 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente creada.
- MS14-038: Boletín considerado «crítico» que resuelve una vulnerabilidad (CVE-2014-1824) en Windows Journal que podría permitir la ejecución remota de código si un usuario abre un archivo de Journal específicamente creado.
- MS14-039: Destinado a corregir una vulnerabilidad «importante» (CVE-2014-2781) en el teclado en pantalla que podría permitir a un usuario elevar sus privilegios. El problema reside en que el teclado en pantalla se ejecuta desde el contexto de un proceso de integridad baja. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
- MS14-040: Este boletín está calificado como «importante» y soluciona una vulnerabilidad de doble liberación en el controlador de función auxiliar (AFD), lo que podría permitir a un usuario elevar sus privilegios en el sistema. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012. (CVE-2014-1767).
- MS14-041: Boletín de carácter «importante» (con CVE-2014-2780) destinado a corregir una vulnerabilidad de elevación de privilegios en DirectShow debido a que éste trata incorrectamente determinados objetos en memoria. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
- MS14-042: Este boletín está calificado como «moderado» y soluciona una vulnerabilidad (con CVE-2014-2814) de denegación de servicio en Microsoft Service Bus para Windows Server. Microsoft Service Bus para Windows Server no se incluye por defecto en ningún sistema operativo de Microsoft. Para que un sistema sea vulnerable, primero se debe descargar, instalar y configurar Microsoft Service Bus, y sus detalles de configuración (certificado de granja de servidores) se deben compartir con otros usuarios.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Resumen del boletín de seguridad de Microsoft de julio de 2014
Boletín de seguridad de Microsoft MS14-037 – Crítico
Actualización de seguridad acumulativa para Internet Explorer (2975687)
Boletín de seguridad de Microsoft MS14-038 – Crítico
Una vulnerabilidad en Windows Journal podría permitir la ejecución remota de código (2975689)
Boletín de seguridad de Microsoft MS14-039 – Importante
Una vulnerabilidad en el teclado en pantalla podría permitir la elevación de privilegios (2975685)
Boletín de seguridad de Microsoft MS14-040 – Importante
Una vulnerabilidad en el controlador de función auxiliar (AFD) podría permitir la elevación de privilegios (2975684)
Boletín de seguridad de Microsoft MS14-041 – Importante
Una vulnerabilidad en DirectShow podría permitir la elevación de privilegios (2975681)
Boletín de seguridad de Microsoft MS14-042 – Moderado
Una vulnerabilidad en Microsoft Service Bus podría permitir la denegación de servicio (2972621)
Antonio Ropero
Twitter: @aropero
