Este martes Microsoft ha publicado ocho boletines de seguridad (del MS14-056 alMS14-063) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad «crítico» y los cinco restantes son «importantes». En total se han resuelto 24 vulnerabilidades.
-
MS14-056: Actualización acumulativa para Microsoft Internet Explorer, considerada «crítica«. Sin duda el boletín más relevante de todos, ya que además soluciona 14 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente creada.
- MS14-057: Boletín considerado «crítico» que resuelve tres vulnerabilidades en .Net Framework, la más grave podría permitir la ejecución remota de código si un atacante envía a una aplicación web .Net una petición URI específicamente creada con caracteres internacionales (CVE-2014-4073, CVE-2014-4121 y CVE-2014-4122). Afecta a Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.0, 4.5, 4.5.1 y 4.5.2.
- MS14-058: Destinado a corregir dos vulnerabilidades «críticas» (CVE-2014-4113 y CVE-2014-4148) en los controladores modo kernel de Windows. La más grave podría permitir la ejecución remota de código si un atacante consigue que un usuario abra un documento específicamente creado o que visite una web que contenga fuentes TrueType embebidas. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
- MS14-059: Este boletín está calificado como «importante» y soluciona una vulnerabilidad de cross-site scripting en ASP.NET MVC. Afecta a ASP.NET MVC 2, 3, 4, 5 y 5.1.
- MS14-060: Boletín de carácter «importante» destinado a corregir una vulnerabilidad (con CVE-2014-4114) en Windows OLE que podría permitir la ejecución remota de código si un usuario abre un documento Office que contenga un objeto OLE específicamente creado. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
- MS14-061: Este boletín está calificado como «importante» y soluciona una vulnerabilidad (con CVE-2014-4117) en Microsoft Word y Office Web Apps que podría permitir la ejecución remota de código si un usuario abre un documento Word específicamente creado. Afecta a Microsoft Office 2007, 2010, Microsoft Office para Mac 2011, Microsoft SharePoint Server 2010 y Office Web Apps 2010.
- MS14-062: Destinado a corregir una vulnerabilidad «importante» (CVE-2014-4971) que podría permitir la elevación de privilegios si un atacante envía una petición IOCTL manipulada al servicio Message Queuing. Afecta a Windows Server 2003.
- MS14-063: Destinado a corregir una vulnerabilidad «importante» (CVE-2014-1814) en la forma en que el controlador de sistema Windows FASTFAT interactúa con particiones FAT32. El problema podría permitir la elevación de privilegios y afecta a Windows Server 2003, Windows Vista y Windows Server 2008.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Microsoft Security Bulletin Summary for October 2014
Microsoft Security Bulletin MS14-056 – Critical
Cumulative Security Update for Internet Explorer (2987107)
Microsoft Security Bulletin MS14-057 – Critical
Vulnerabilities in .NET Framework Could Allow Remote Code Execution (3000414)
Microsoft Security Bulletin MS14-058 – Critical
Vulnerabilities in Kernel-Mode Driver Could Allow Remote Code Execution (3000061)
Microsoft Security Bulletin MS14-059 – Important
Vulnerability in ASP.NET MVC Could Allow Security Feature Bypass (2990942)
Microsoft Security Bulletin MS14-060 – Important
Vulnerability in Windows OLE Could Allow Remote Code Execution (3000869)
Microsoft Security Bulletin MS14-061 – Important
Vulnerability in Microsoft Word and Office Web Apps Could Allow Remote Code Execution (3000434)
Microsoft Security Bulletin MS14-062 – Important
Vulnerability in Message Queuing Service Could Allow Elevation of Privilege (2993254)
Microsoft Security Bulletin MS14-063 – Important
Vulnerability in FAT32 Disk Partition Driver Could Allow Elevation of Privilege (2998579)
Antonio Ropero
Twitter: @aropero
Deja una respuesta