Boletines de seguridad de Microsoft de noviembre de 2013

Este martes Microsoft ha publicado ocho boletines de seguridad (del MS13-088 al MS13-095) correspondientes a las actualizaciones de Noviembre. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico" y los cinco restantes son "importantes" y los multiples a multiples CVEs en Microsoft Windows, Internet Explorer, Microsoft Office y Microsoft SharePoint. 

En total se han resuelto 19 vulnerabilidades, aunque solo se ha solucionado uno de los dos 0-day anunciados en los últimos días.

Recursos afectados por familias y versiones

• Internet Explorer versiones 6, 7, 8, 9, 10, 11
• Microsoft Office versiones 2003, 2007, 2010, 2013, 2013 RT
• Windows XP versiones Service Pack 3 y Professional x64 Edition Service Pack 2
• Windows Server
• Windows Server versiones 2000, 2008 R2, 2012 y 2012 R2
• Windows Server 2003 versiones Service Pack 2 y x64 Edition Service Pack 2
• Windows Vista
• Windows 7
• Windows 8 y Windows 8.1
• Windows RT y Windows RT 8.1

Resumen de las vulnerabilidades corregidas e impacto de las mismas:

1. MS13-088: (Crítica) El parche para Internet Explorer resuelve un total de 10 vulnerabilidades. La más grave podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada.
2. MS13-089: (Crítica) El parche para Microsoft Windows resuelve una vulnerabilidad que podría permitir la ejecución remota de código si un usuario consultara o abriese un archivo de Windows write especialmente diseñado.
3. MS13-090: (Crítica) La vulnerabilidad podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada para que ejecute el control ActiveX de clase InformationCardSigninHelper.
4. MS13-091: (Importante) El parche para Microsoft Office resuelve un total de 3 vulnerabilidades. La más grave podría permitir a un atacante conseguir el mismo nivel de derechos de usuario que el usuario actual.
5. MS13-092: (Importante) La vulnerabilidad podría permitir la elevación de privilegios de un atacante o la denegación de servicio para el host de Hyper-V.
6. MS13-093: (Importante) El parche para Microsoft Windows resuelve una vulnerabilidad que podría permitir a un atacante la divulgación de información.
7. MS13-094: (Importante) El parche para Microsoft Outlook resuelve una vulnerabilidad que podría permitir a un atacante la divulgación de información.
8. MS13-095: (Importante) La vulnerabilidad podría permitir la denegación de servicio cuando un servicio web afectado procese un certificado X.509 especialmente diseñado.

Recomendación

• Instalar la actualización rápidamente una vez comprobada la compatibilidad de la misma. 
• En el resumen de los boletines de seguridad de Microsoft, informan sobre los métodos de actualización por boletín en el apartado "Información sobre la actualización". http://technet.microsoft.com/es-es/security/bulletin/ms13-nov

Más información

• Una al día(12/11/13)  http://unaaldia.hispasec.com/2013/11/boletines-de-seguridad-de-microsoft-en.html
• Microsoft Security Bulletin Summary for November 2013  http://technet.microsoft.com/en-us/security/bulletin/ms13-nov
• Resumen del boletín de seguridad de Microsoft de noviembre 2013  http://technet.microsoft.com/es-es/security/bulletin/ms13-nov

Fuente: Inteco