El martes Microsoft publicó siete boletines de
seguridad (del MS14-030 al MS14-036) correspondientes a su ciclo habitual de
actualizaciones. Según la propia clasificación de Microsoft dos de los
boletines presentan un nivel de gravedad "crítico" y los cinco
restantes son "importantes". En total se han resuelto 66
vulnerabilidades referentes a múltiples CVEs en Microsoft Windows, Microsoft
Internet Explorer, Microsoft Office y Microsoft Lync.
Detalles de los Boletines publicados
- MS14-035: Actualización acumulativa para Microsoft Internet Explorer, considerada "crítica". Sin duda el boletín más relevante de todos, ya que además soluciona 59 nuevas vulnerabilidades. Las más graves podrían permitir la ejecución remota de código arbitrario si un usuario visita con Internet Explorer una página web especialmente creada. Afecta a Internet Explorer desde la versión 6 a la 11. Esta actualización también incluye la corrección a la vulnerabilidad de ejecución remota de código a través del uso de JavaScript anunciada recientemente por Zero Day Initiative y que Microsoft ocultó durante más de siete meses.
- MS14-036: Boletín considerado "crítico" que resuelve dos vulnerabilidades en Microsoft Windows, Microsoft Office y Microsoft Lync que podrían permitir la ejecución remota de código si un usuario abre un archivo o página específicamente creada. Los CVE afectados son CVE-2014-1817 y CVE-2014-1818.
- MS14-034: Destinado a corregir una vulnerabilidad "importante" (CVE-2014-2778) en Microsoft Office que podría permitir la ejecución remota de código si se abre un documento específicamente creado con una versión afectada de Word. Afecta a Microsoft Office 2007 y Microsoft Office Compatibility Pack.
- MS14-033: Este boletín está calificado como "importante" y soluciona una vulnerabilidad de divulgación de información si un usuario autenticado visita un sitio web específicamente diseñado para usar Microsoft XML Core Services (MSXML) a través de Internet Explorer. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012. (CVE-2014-1816).
- MS14-032: Boletín de carácter "importante" (con CVE-2014-1823) destinado a corregir una vulnerabilidad de divulgación de información en el servidor Microsoft Lync.
- MS14-031: Este boletín está calificado como "importante" y soluciona una vulnerabilidad en el protocolo TCP y que podría permitir provocar condiciones de denegación de servicio si un atacante envía una secuencia de paquetes específicamente construidos. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012. (CVE-2014-1811).
- MS14-030: Este boletín soluciona una vulnerabilidad de manipulación en Microsoft Windows a través de Escritorio Remoto. La vulnerabilidad podría permitir la manipulación si un atacante obtiene acceso al mismo segmento de red que el sistema de destino durante una sesión activa de Remote Desktop Protocol (RDP), y entonces envía paquetes RDP especialmente diseñados al el sistema atacado. Solo afecta a sistemas con RDP habilitado. (CVE-2014-0296).
- Instalar la actualización. En el resumen de los boletines de seguridad de Microsoft, se informa de los distintos métodos de actualización dentro de cada boletín en el apartado "Información sobre la actualización". https://technet.microsoft.com/library/security/ms14-jun
- una-al-dia (10/06/2014) http://unaaldia.hispasec.com/2014/06/los-boletines-de-seguridad-de-microsoft.html
- INTECO http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/boletines_seguridad_microsoft_junio_2014_20140611
