Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Microsoft publica 10 boletines de seguridad y finaliza soporte de productos

Microsoft publica 10 boletines de seguridad y finaliza soporte de productos

Por 5 comentarios

Este martes Microsoft ha publicado nueve boletines de seguridad (del MS16-001 al MS16-010, excepto el MS16-009) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad “críticomientras que los tres restantes son “importantes“. En total se han solucionado 25 vulnerabilidades.
Pero estos boletines también representan el final del soporte de algunos de sus productos, como son Internet Explorer 8, 9 y 10. Es decir, la única versión del navegador que seguirá recibiendo actualizaciones será Internet Explorer 11. De igual forma, también finaliza el soporte para Windows 8, que deberá actualizarse al menos a Windows 8.1 para seguir recibiendo las actualizaciones.
  • MS16-001: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona dos nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web especialmente creada (CVE-2016-0002y CVE-2016-0005).
         
  • MS16-002: Boletín “crítico” que incluye la igualmente habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan dos vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2016-0003y CVE-2016-0024).
         
  • MS16-003: Boletín “crítico” que resuelve una vulnerabilidad (CVE-2016-0002) en el motor de scripting VBScript en Microsoft Windows que podría permitir la ejecución remota de código si un usuario visita una página web con código script especialmente creado.
         
  • MS16-004: Destinado a corregir tres vulnerabilidades “críticas“, la más grave de ellas podría permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2016-0010, CVE-2016-0012 y CVE-2016-0035).
         
  • MS16-005: Boletín “crítico” que resuelve dos vulnerabilidades en el controlador modo kernel de Windows; la más grave de ellas podría permitir la ejecución remota de código si un usuario visita una página web especialmente creada. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1), Windows Server 2012 y Windows 10. (CVE-2016-0009 y CVE-2016-0008).
         
  • MS16-006: Boletín de carácter “crítico” destinado a solucionar una vulnerabilidad en Microsoft Silverlight 5, que podría permitir la ejecución remota de código si un usuario visita una página web comprometida que contenga una aplicación Silverlight específicamente creada (CVE-2015-6114, CVE-2015-6165y CVE-2015-6166).
         
  • MS16-007: Boletín de carácter “importante” destinado a corregir seis vulnerabilidades en Windows, la más grave de ellas podría permitir la ejecución remota de código. Los problemas corregidos residen en la carga de librerías, en la validación de entradas en DirectShow y en Remote Desktop Protocol (RDP). (CVE-2016-0014 al CVE-2016-0016 y CVE-2016-0018 al CVE-2016-0020). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1), Windows Server 2012 y Windows 10.
         
  • MS16-008: Boletín considerado “importante” que resuelve dos vulnerabilidades en el kernel de Windows que podrían permitir la elevación de privilegios en sistemas Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1), Windows Server 2012 y Windows 10 (CVE-2016-0006 y CVE-2016-0007).
         
  • MS16-010: Boletín de carácter “importante” destinado a corregir cuatro vulnerabilidades que podrían permitir la falsificación de contenidos en Microsoft Exchange Server 2013 y 2016 (CVE-2016-0029 al CVE-2016-0032).

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:
Microsoft Security Bulletin Summary for January 2016
https://technet.microsoft.com/library/security/ms16-jan
Microsoft Security Bulletin MS16-001 – Critical
Cumulative Security Update for Internet Explorer (3124903)
https://technet.microsoft.com/library/security/MS16-001
Microsoft Security Bulletin MS16-002 – Critical
Cumulative Security Update for Microsoft Edge (3124904)
https://technet.microsoft.com/library/security/MS16-002
Microsoft Security Bulletin MS16-003 – Critical
Cumulative Security Update for JScript and VBScript to Address Remote Code Execution (3125540)
https://technet.microsoft.com/library/security/MS16-003
Microsoft Security Bulletin MS16-004 – Critical
Security Update for Microsoft Office to Address Remote Code Execution (3124585)
https://technet.microsoft.com/library/security/MS16-004
Microsoft Security Bulletin MS16-005 – Critical
Security Update for Windows Kernel-Mode Drivers to Address Remote Code Execution (3124584)
https://technet.microsoft.com/library/security/MS16-005
Microsoft Security Bulletin MS16-006 – Critical
Security Update for Silverlight to Address Remote Code Execution (3126036)
https://technet.microsoft.com/library/security/MS16-006
Microsoft Security Bulletin MS16-007 – Important
Security Update for Microsoft Windows to Address Remote Code Execution (3124901)
https://technet.microsoft.com/library/security/MS16-007
Microsoft Security Bulletin MS16-008 – Important
Security Update for Windows Kernel to Address Elevation of Privilege (3124605)
https://technet.microsoft.com/library/security/MS16-008
Microsoft Security Bulletin MS16-010 – Important
Security Update in Microsoft Exchange Server to Address Spoofing (3124557)
https://technet.microsoft.com/library/security/MS16-010
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Interacciones del lector

Comentarios

  2. Hola Johnny
    Como indica Microsoft esa es la fecha de fin de soporte de Windows 8.1. Debes tener instalado Winsows 8.1 (considerado como Service Pack) para que se aplique esa fecha de soporte.
    Realmente con el soporte extendido la fecha se alarga al 10 de enero de 2023.
    Pero como decía la noticia debe actualizarse a Windows 8.1 o Windows 10 (ambas actualizaciones son gratuitas para usuarios de Windows 8) para seguir teniendo actualizaciones.
    Saludos

    Responder

  4. Hola Koke,
    Es correcto que finaliza el soporte estándar de Windows 7 con Service Pack 1, sin embargo el soporte extendido es hasta el 14 de enero de 2020. Por lo que hasta esa fecha (2020) seguirán publicándose actualizaciones de seguridad como hasta la fecha. Que creo que a fin fin de cuentas es lo que nos importa.

    Básicamente la único que no tiene el soporte extendido (frente al estándar) es solicitud de cambio de las características y diseño del producto, y soporte telefónico y en línea incluido con la licencia.

    El soporte técnico de Windows 7 sin Service Pack finalizó el 9 de abril de 2013.

    http://windows.microsoft.com/es-es/windows/lifecycle
    https://support.microsoft.com/es-es/lifecycle#gp/lifePolicy

    Saludos
    Antonio

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.