Siguiendo
su ciclo habitual de actualizaciones Microsoft
ha publicado ocho boletines de seguridad (MS13-059 a MS13-066),
correspondientes al mes de agosto, en
los que ofrece solución a un total de 23 vulnerabilidades. Tres de estos
boletines son de importancia crítica, mientras que el resto han sido calificados
como importantes.
Entre los productos afectados por
algunas de estas vulnerabilidades se encuentran Internet Explorer, Microsoft Exchange Server y Windows en todas sus
versiones. En un análisis pormenorizado:
MS13-059
(Crítico): El boletín más abultado de la remesa de este mes corrige 11
vulnerabilidades en las versiones con soporte de Internet Explorer, es decir,
de la 6 a
la 10. La mayoría relacionadas con el acceso incorrecto a un objeto en memoria
que podría permitir la ejecución remota
de código arbitrario. Se ve especialmente afectada la versión 9 del
navegador, vulnerable a 10 de los 11 fallos.
MS13-060
(Crítico): Afecta a Windows XP y Server 2003. La vulnerabilidad con
identificador CVE-2013-3181 se encuentra en el procesador Uniscribe, que puede
procesar incorrectamente ciertos tipos de fuente, lo que puede provocar una
corrupción de la memoria y permitir la
ejecución de código arbitrario de forma remota.
MS13-061
(Crítico): Tres vulnerabilidades que afectan a las versiones 2003, 2007 y
2013 de Microsoft Exchange Server a través de su componente Oracle Outside In. Dos
de ellas (CVE-2013-2393 y CVE-2013-3776) afectan a todas las versiones a través
de la presentación de documentos WebReady. La tercera (CVE-2013-3781), a través
de Data Loss Prevention y solo a la versión 2013. Todas permiten la ejecución
remota de código si un usuario visualiza un fichero especialmente diseñado a
través de Outlook Web Access (OWA), pero en las dos primeras solo podría hacerlo
en el contexto de la cuenta LocalService.
MS13-062
(Importante): Cubre una vulnerabilidad (CVE-2013-3175) que permite la
elevación de privilegios en cualquiera de los sistemas Windows con soporte. El
fallo reside en la forma en la que Windows maneja las peticiones RPC
asíncronas, con lo que un atacante local podría usar una petición RPC
malformada para elevar sus privilegios.
MS13-063
(Importante): Tres fallos en el kernel de Windows (CVE-2013-3196 a CVE-2013-3198) en el
manejo de las direcciones de memoria en NT Virtual DOS Machine que pueden
causar su corrupción y permitir la
elevación de privilegios. También se trata un error en la implementación de
ASLR (CVE-2013-2556) que puede permitir la carga de una DLL en un espacio de
memoria no aleatorio, saltando así la restricción de seguridad.
MS13-064
(Importante): Denegación de servicio a través del servicio Windows NAT
debido a un fallo en el manejo de paquetes ICMP con identificador
CVE-2013-3175. Afecta solo a la versión Server 2012 de Windows.
MS13-065
(Importante): Corrige una vulnerabilidad (CVE 2013-3183) en sistemas
Windows posteriores a XP y Server 2003. Se trata de un fallo en el manejo de la
memoria por la pila TCP/IP al procesar paquetes ICMPv6 especialmente
manipulados; que puede causar que el sistema deje de responder hasta que sea
reiniciado, lo que provoca condiciones
de denegación de servicio.
MS13-066
(Importante): Un fallo (CVE-2013-3185) en el componente Active Directory
Federation Services de varias versiones de los sistemas de servidor Windows
puede permitir la revelación de datos de
las cuentas que almacena. Con esta información, un atacante podría provocar
además una denegación de servicio al causar el bloqueo de la cuenta de servicio
por sucesivos intentos de autenticación fallidos, siempre que esté configurada
dicha política. Esta vulnerabilidad no está presente en los sistemas que tengan
la configuración de AD FS por defecto, aunque se recomienda instalar la
solución.
Adicionalmente, Microsoft ha
publicado y actualizado varios avisos de seguridad. La actualización 2862973
restringe la instalación de certificados que usen MD5 como algoritmo
criptográfico. Los certificados afectados son aquellos que estén bajo el
Microsoft Root Certificate Program y sean utilizados para la firma de código,
la autenticación de servidores y timestamping. Estas actualizaciones se
publican para su descarga y prueba desde el sitio de Microsoft, y serán
distribuidas a través de Windows Update en febrero de 2014.
Por otro lado, la actualización
2861855 añade medidas del programa defense-in-depth al sistema Network Level
Authentication (NLA) para el protocolo de escritorio remoto (RDP). Además, se
han actualizado los boletines anteriores MS13-054, MS13-057 y MS13-052 con
cambios en los parches que deben ser instalados aun si se aplicaron en su
momento.
Microsoft también ha publicado
una actualización para su herramienta "Microsoft
Windows Malicious Software Removal Tool" como viene siendo habitual en
estos ciclos de actualizaciones.
Las actualizaciones pueden ser descargadas desde Windows Update, o
directamente en las direcciones proporcionadas en cada boletín de seguridad. Como
es habitual, se recomienda actualizar los sistemas con la mayor brevedad
posible.
Más información:
Resumen del boletín de seguridad
de Microsoft de agosto 2013
Leaving Las
Vegas
Francisco López
No hay comentarios:
Publicar un comentario