MICROSOFT. Publica cuatro boletines y concluye el soporte a Windows XP

Este martes Microsoft ha publicado cuatro boletines de seguridad (del MS14-017 al MS14-020) correspondientes a su ciclo habitual de actualizaciones. Con estas actualizaciones la compañía de Redmon da por concluido el soporte a Windows XP. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad "crítico" y los dos restantes son "importantes". En total se han resuelto 11 vulnerabilidades, entre las que se incluyen el 0-day que afectaba a Word y las presentadas en el Pwn2Own.

1. MS14-017: Boletín considerado "crítico" destinado a resolver tres vulnerabilidades en Microsoft Word y Office Web Apps que podrían permitir la ejecución remota de código. Entre los problemas solucionados se incluye la vulnerabilidad 0-day asociada con el tratamiento de archivos RTF. Afecta a Microsoft Word 2003, Microsoft Word 2007, Microsoft Word 2010, Microsoft Word 2013 y Web Apps. También afecta a Microsoft Word Viewer y Paquete de compatibilidad de Microsoft Office. (Con CVEs asociados CVE-2014-1757, CVE-2014-1758 y CVE-2014-1761).
2. MS14-018: Actualización acumulativa para Microsoft Internet Explorer, considerada "crítica", que además soluciona seis nuevas vulnerabilidades, la más grave podría permitir la ejecución remota de código arbitrario. Se incluye la resolución de las vulnerabilidades comunicadas el pasado mes en el concurso Pwn2Own. Afecta a Internet Explorer desde la versión 6 a la 11.
3. MS14-019: Este boletín está calificado como "importante" y soluciona una vulnerabilidad (CVE-2014-0315) en el tratamiento de archivos .bat o .cmd especialmente diseñados que se ejecutan desde una red externa, que podría permitir a un atacante lograr la ejecución remota de código. Afecta a Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.   
4. MS14-020: Boletín de carácter "importante" (con CVE-2014-1759) destinado a corregir una vulnerabilidad en Microsoft Publisher (2003 y 2007) en el tratamiento de archivos de Publisher (.pub) especialmente creados. Un atacante podría lograr ejecución remota de código.

 Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:

• Resumen del boletín de seguridad de Microsoft de abril 2014 http://technet.microsoft.com/es-mx/security/bulletin/ms14-apr
• Boletín de seguridad de Microsoft MS14-017 - Crítica
• Vulnerabilidades en Microsoft Word y Office Web Apps podrían permitir la ejecución remota de código (2949660)
• http://technet.microsoft.com/es-es/security/bulletin/ms14-017
• Boletín de seguridad de Microsoft MS14-018 - Crítica  Actualización de seguridad acumulativa para Internet Explorer (2950467) http://technet.microsoft.com/es-es/security/bulletin/ms14-018
• Boletín de seguridad de Microsoft MS14-019 - Importante  Una vulnerabilidad en el componente de tratamiento de archivos de Windows podría permitir la ejecución remota de código (2922229) http://technet.microsoft.com/es-es/security/bulletin/ms14-019
• Boletín de seguridad de Microsoft MS14-020 - Importante  Una vulnerabilidad en Microsoft Publisher podría permitir la ejecución remota de código (2950145) http://technet.microsoft.com/es-es/security/bulletin/ms14-020
• Una la día ( 09/0472014) http://unaaldia.hispasec.com/2014/04/microsoft-publica-cuatro-boletines-y.html

Fuente: Hispasec