MICROSOFT. Publica 13 boletines de seguridad
Este martes Microsoft ha publicado 13 boletines de seguridad
(del MS15-043 al MS15-055) correspondientes a su ciclo habitual de
actualizaciones.
Según la propia clasificación de Microsoft tres de los
boletines presentan un nivel de gravedad "crítico" mientras que los
10 restantes son "importantes". En total se han solucionado 48
vulnerabilidades.
- MS15-043: La habitual actualización acumulativa para Microsoft
Internet Explorer que además soluciona 22 nuevas vulnerabilidades. La más grave
de ellas podría permitir la ejecución remota de código si un usuario visita con
Internet Explorer una página web especialmente creada.
- MS15-044: Boletín "crítico" que resuelve dos
vulnerabilidades en Microsoft Windows,.NET Framework, Office, Lync y
Silverlight, por el tratamiento de fuentes OpenType y TrueType (CVE-2015-1670 y
CVE-2015-1671).
- MS15-045: Boletín "crítico" que resuelve seis vulnerabilidades
que podrían permitir la ejecución remota de código si se abre un archivo
Journal específicamente creado (CVE-2015-1675, CVE-2015-1695 al CVE-2015-1699).
Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y
Windows Server 2012.
- MS15-046: Boletín considerado "importante" que
resuelve dos vulnerabilidades que podrían permitir la ejecución remota de
código si se abre un archivo específicamente creado con Microsoft Office
(CVE-2015-1682 y CVE-2015-1683).
- MS15-047: Destinado a corregir diversas vulnerabilidades
"importantes" (agrupadas en un único CVE-2015-1700) en SharePoint
Server que podría permitir la ejecución remota de código si un atacante envía
una página específicamente creada a un servidor SharePoint. Afecta a Microsoft
SharePoint Server 2007, 2010 y 2013.
- MS15-048: Este boletín está calificado como
"importante" y soluciona dos vulnerabilidades en Microsoft .NET
Framework que podrían permitir a un atacante elevar sus privilegios (con
CVE-2015-1672 y CVE-2015-1673). Afecta a Microsoft .NET Framework 1.1, 2.0, 3.5
y 4.*.
- MS15-049: Destinado a corregir una vulnerabilidad considerada
"importante" (CVE-2015-1715) en Silverlight 5 que podría permitir a
un atacante elevar sus privilegios si se ejecuta una aplicación Silverlight
específicamente creada en un sistema afectado.
- MS15-050: Este boletín está calificado como
"importante" y soluciona una vulnerabilidad (CVE-2015-1702) de
elevación de privilegios en Windows Service Control Manager (SCM). Afecta a
Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8
(y 8.1) y Windows Server 2012.
- MS15-051: Boletín de carácter "importante" destinado
a corregir seis vulnerabilidades de divulgación de información sensible a
través del controlador modo kernel de Windows (CVE-2015-1676 al CVE-2015-1680 y CVE-2015-1701). Afecta a
Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8
(y 8.1) y Windows Server 2012.
- MS15-052: Destinado a corregir una vulnerabilidad
"importante" (CVE-2015-1674) cuando el kernel de Windows falla al
validar adecuadamente una dirección de memoria, lo que permitiría a un atacante
obtener información que podría facilitar evitar la protección Kernel Address
Space Layout Randomization (KASLR). Afecta a Windows 8 (y 8.1) y Windows Server
2012.
- MS15-053: Este boletín está calificado como
"importante" y soluciona dos vulnerabilidades (con CVE-2015-1684 y
CVE-2015-1686) en los motores JScript y VBScript que podrían permitir a un
usuario evitar la protección ASLR (Address Space Layout Randomization). Afecta
a Windows Server 2003, Windows Vista y Windows Server 2008.
- MS15-054: Destinado a corregir una vulnerabilidad considerada
"importante" en el tratamiento de archivos .msc que podría permitir a
un atacante provocar condiciones de denegación de servicio (CVE-2015-1681).
Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y
Windows Server 2012.
- MS15-055: Boletín considerado "importante" que
resuelve una vulnerabilidad (CVE-2015-1716) que podría en Secure Channel
(Schannel) al permitir el uso de una llave Diffie-Hellman efímera (DFE) de 512
bits (considerada débil) en una sesión TLS. Permitir el uso de este tipo de
llaves debilita el intercambio de llaves y lo hace vulnerable a diversos
ataques. Se ha incrementado la longitud mínima de las llaves DHE a 1.024 bits.
Recomendación
- Las actualizaciones publicadas pueden descargarse a través
de Windows Update o consultando los boletines de Microsoft donde se incluyen
las direcciones de descarga directa de cada parche. Se recomienda la
actualización de los sistemas con la mayor brevedad posible.
Más información:
Fuente: Hispasec