Seguridad Informática. Microsoft publica el primer boletín de seguridad mensual sin Windows XP

Por: Juan Ranchal

huella digital - Microsoft publica el primer boletín de seguridad mensual sin Windows XP

Microsoft ha publicado el boletín de seguridad mensual correspondiente a mayo de 2014, el primero que no incluye parches para Windows XP tras la finalización de su soporte técnico, y que incluye el parche fuera de ciclo MS14-021, además de ocho actualizaciones de software para resolver diversas vulnerabilidades y exposiciones comunes (dos de ellas críticas) y que afectan a sistemas operativos Microsoft Windows, navegadores Internet Explorer, software de servidor de Microsoft y Microsoft Office.

Las consecuencias potenciales de estas vulnerabilidades van desde la ejecución remota de código, la elevación de privilegios, la denegación de servicio y la omisión de característica de seguridad. Los parches de seguridad pueden descargarse automáticamente desde Windows Update y se recomienda actualizar equipos informáticos a la mayor brevedad. Las vulnerabilidades corregidas son:

MS14-029. Actualización de seguridad para Internet Explorer (2962482) – Crítica.. Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

MS14-022. Vulnerabilidades en Microsoft SharePoint Server podrían permitir la ejecución remota de código (2952166)

– Crítica. Esta actualización de seguridad resuelve varias vulnerabilidades de las que se ha informado de forma privada en el software de servidor y productividad de Microsoft Office. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante autenticado envía contenido de página especialmente diseñado a un servidor de SharePoint de destino.

MS14-023. Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código
(2961037) – Importante. Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Office que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

MS14-025. Una vulnerabilidad en las preferencias de directiva de grupo podría permitir la elevación de privilegios (2962486) – Crítica. Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si las preferencias de directiva de grupo de Active Directory se usan para distribuir contraseñas por el dominio, una práctica que podría permitir que un atacante recuperara y descifrara la contraseña almacenada con las preferencias de directiva de grupo.

MS14-026. Una vulnerabilidad en .NET Framework podría permitir la elevación de privilegios (2958732) – Importante. Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft .NET Framework. La vulnerabilidad podría permitir la elevación de privilegios si un usuario no autenticado envía datos especialmente diseñados a una estación de trabajo o a un servidor afectado que use .NET Remoting. .NET Remoting no se usa ampliamente en las aplicaciones, solo las personalizadas que se hayan diseñado específicamente para usar .NET Remoting expondrían un sistema a la vulnerabilidad.

MS14-027. Una vulnerabilidad en el controlador del shell de Windows podría permitir la elevación de privilegios (2962488) – Importante. Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante ejecuta una aplicación especialmente diseñada que use ShellExecute. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.

MS14-028. Una vulnerabilidad en iSCSI podría permitir la denegación de servicio (2962485) – Importante. Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la denegación de servicio si un atacante envía grandes cantidades de paquetes iSCSI especialmente diseñados a través de la red de destino. Esta vulnerabilidad solo afecta a los servidores para los que se ha habilitado el rol de destino iSCSI.

MS14-024. Una vulnerabilidad en un control común de Microsoft podría permitir la omisión de característica de seguridad (2961033) – Importante. Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en la biblioteca de controles comunes MSCOMCTL. La vulnerabilidad podría permitir la omisión de la característica de seguridad si un usuario consulta una página web especialmente diseñado en un explorador web que pueda ejecutar componentes COM, como Internet Explorer. En un escenario de ataque de exploración web, un atacante que aprovechara esta vulnerabilidad podría omitir la característica de seguridad de selección aleatoria del diseño del espacio de direcciones (ASLR), que contribuye a proteger a los usuarios de una amplia gama de vulnerabilidades. La omisión de la característica de seguridad en sí misma no permite la ejecución de código arbitrario. No obstante, un atacante podría usar esta vulnerabilidad de omisión de ASLR conjuntamente con otra vulnerabilidad, como la de ejecución remota de código, que pudiera aprovechar la omisión de ASLR para ejecutar código arbitrario.

Fuente: muyseguridad.net
http://muyseguridad.net/2014/05/14/boletin-de-seguridad-mensual-microsoft-3

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en “Soluciones de seguridad para préstamos de libros utilizando la huella digital”

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
https://inbiosys.wordpress.com/

E-mail: inbiosys@gmail.com
PBX: (57)(4) 583 13 31
Celular: 312 782 60 21

INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 81 No. 43 – 72 Oficina 1109
Medellín Colombia

Para contactarnos por favor llenar el siguiente formulario


INBIOSYS - Ingeniería y Sistemas Biométricos

Anuncios

0 Responses to “Seguridad Informática. Microsoft publica el primer boletín de seguridad mensual sin Windows XP”



  1. Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




mayo 2014
L M X J V S D
« Abr   Jun »
 1234
567891011
12131415161718
19202122232425
262728293031  

Escribe tu dirección de correo electrónico para suscribirte a este blog, y recibir notificaciones de nuevos mensajes por correo.

Únete a otros 56 seguidores

Categorías

Actualizaciones de Twitter


A %d blogueros les gusta esto: