Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Microsoft publica 12 boletines de seguridad y soluciona 42 vulnerabilidades

Microsoft publica 12 boletines de seguridad y soluciona 42 vulnerabilidades

Por Deja un comentario

Este martes Microsoft ha publicado 12 boletines de seguridad (del MS16-144 al MS16-155) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad «crítico«mientras que los cinco restantes son «importantes«. En total se han solucionado 42 vulnerabilidades (algunas de ellas en varios productos). Además se han corregido otras 17 vulnerabilidades adicionales en Flash Player.
Los boletines publicados son los siguientes:
MS16-144: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona ocho nuevas vulnerabilidades, tres de ellas se habían publicado con anterioridad. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web especialmente creada (CVE-2016-7202, CVE-2016-7278, CVE-2016-7279, CVE-2016-7281, CVE-2016-7282, CVE-2016-7283, CVE-2016-7284y CVE-2016-7287).
MS16-145: Boletín «crítico» que incluye la también habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan 11 vulnerabilidades, tres de ellas ya se conocían con anterioridad. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2016-7181, CVE-2016-7206, CVE-2016-7279, CVE-2016-7280, CVE-2016-7281, CVE-2016-7282, CVE-2016-7286, CVE-2016-7287, CVE-2016-7288, CVE-2016-7296y CVE-2016-7297).
MS16-146: Boletín «crítico» destinado a corregir tres vulnerabilidades en Microsoft Graphics Component, dos de ellas podrían permitir la ejecución remota de código si se abre un documento o web específicamente creada. Una de ellas se está explotando de forma activa en la actualidad. (CVE-2016-7257, CVE-2016-7272y CVE-2016-7273)
MS16-147: Actualización considerada «crítica» destinada a corregir una vulnerabilidad (con CVE-2016-7274) en Windows Uniscribe, debido a la forma en que trata objetos en memoria. El problema podría permitir la ejecución remota de código si un usuario visita un sitio web específicamente creado o abre un documento manipulado.
MS16-148: Boletín «crítico» que soluciona 16 vulnerabilidades, la más grave de ellas que podría permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2016-7257, CVE-2016-7262, CVE-2016-7263, CVE-2016-7264, CVE-2016-7265, CVE-2016-7266, CVE-2016-7267, CVE-2016-7268, CVE-2016-7275, CVE-2016-7276, CVE-2016-7277, CVE-2016-7289, CVE-2016-7290, CVE-2016-7291, CVE-2016-7298y CVE-2016-7300).
MS16-149: Actualización considerada «crítica» destinada a corregir dos vulnerabilidades en diferentes componentes de Windows. La más grave podría permitir la ejecución remota de código arbitrario (CVE-2016-7219 y CVE-2016-7292).
MS16-150: Boletín de carácter «importante» destinado a corregir una vulnerabilidad (CVE-2016-7271) que podría permitir la elevación de privilegios cuando Windows Secure Kernel Mode trata objetos en memoria de forma inadecuada
MS16-151: Boletín de carácter «importante» destinado a corregir dos vulnerabilidades en el controlador modo kernel de Windows que podrían permitir la elevación de privilegios si un usuario ejecuta una aplicación específicamente creada. (CVE-2016-7259 y CVE-2016-7260). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012, Windows 10 y Windows Server 2016.
MS16-152: Boletín considerado «importante» que resuelve una vulnerabilidad que podría permitir la obtención de información sensible debido a la forma en que el kernel de Windows trata objetos en memoria (CVE-2016-7258). Afecta a Windows 10 y Windows Server 2016.
MS16-153: Destinado a corregir una vulnerabilidad (CVE-2016-7295) de gravedad «importante«, que podría permitir la obtención de información sensible cuando el controlador Windows Common Log File System (CLFS) trata objetos en memoria de forma inadecuada. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012, Windows 10 y Windows Server 2016.
MS16-154: Como ya es habitual, Microsoft publica un boletín para resolver las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico. Se trata de un boletín «crítico» que en esta ocasión soluciona 17 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB16-39de Adobe (y que comentaremos con más detalle en una próxima una-al-día).
MS16-155: Boletín «importante» que soluciona una vulnerabilidad (CVE-2016-7270) en el Data Provider para SQL Server de Microsoft .NET 4.6.2 Framework que podría permitir a un atacante la obtención de información sensible que debería estar defendida por la funcionalidad Always Encrypted.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Microsoft Security Bulletin Summary for December 2016
https://technet.microsoft.com/en-us/library/security/ms16-dec
Microsoft Security Bulletin MS16-144 – Critical
Cumulative Security Update for Internet Explorer (3204059)
https://technet.microsoft.com/library/security/ms16-144
Microsoft Security Bulletin MS16-145 – Critical
Cumulative Security Update for Microsoft Edge (3204062)
https://technet.microsoft.com/library/security/ms16-145
Microsoft Security Bulletin MS16-146 – Critical
Security Update for Microsoft Graphics Component (3204066)
https://technet.microsoft.com/library/security/ms16-146
Microsoft Security Bulletin MS16-147 – Critical
Security Update for Microsoft Uniscribe (3204063)
https://technet.microsoft.com/library/security/ms16-147
Microsoft Security Bulletin MS16-148 – Critical
Security Update for Microsoft Office (3204068)
https://technet.microsoft.com/library/security/ms16-148
Microsoft Security Bulletin MS16-149 – Important
Security Update for Microsoft Windows (3205655)
https://technet.microsoft.com/library/security/ms16-149
Microsoft Security Bulletin MS16-150 – Important
Security Update for Secure Kernel Mode (3205642)
https://technet.microsoft.com/library/security/ms16-150
Microsoft Security Bulletin MS16-151 – Important
Security Update for Windows Kernel-Mode Drivers (3205651)
https://technet.microsoft.com/library/security/ms16-151
Microsoft Security Bulletin MS16-152 – Important
Security Update for Windows Kernel (3199709)
https://technet.microsoft.com/library/security/ms16-152
Microsoft Security Bulletin MS16-153 – Important
Security Update for Common Log File System Driver (3207328)
https://technet.microsoft.com/library/security/ms16-153
Microsoft Security Bulletin MS16-154 – Critical
Security Update for Adobe Flash Player (3209498)
https://technet.microsoft.com/library/security/ms16-154
Microsoft Security Bulletin MS16-155 – Important
Security Update for .NET Framework (3205640)
https://technet.microsoft.com/library/security/ms16-155
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Acerca de Hispasec

Hispasec Ha escrito 6940 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.