Alerta – Publicación del Boletín de Seguridad de Microsoft para septiembre de 2014
¿Cuál es el objetivo de esta alerta?
Esta alerta le ofrece una descripción general de los nuevos boletines de seguridad publicados el 9 de septiembre de 2014. Los nuevos boletines de seguridad se publican mensualmente para hacer frente a vulnerabilidades críticas de los productos.
Nuevos boletines de seguridad
Microsoft publica los siguientes cuatro (4) boletines de seguridad para vulnerabilidades recientemente descubiertas:
MS14-052 |
Actualización de seguridad acumulada para Internet Explorer (2977629) |
Crítica |
Ejecución del código remoto |
Requiere reiniciar |
Internet Explorer en todas las ediciones con soporte de Microsoft Windows. |
MS14-053 |
Una vulnerabilidad en .NET Framework podría permitir la negación de servicio (2990931) |
Importante |
Negación de servicio |
Puede requerir reinicio |
Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 y Microsoft .NET Framework 4.5/4.5.1/4.5.2 en las versiones afectadas de Microsoft Windows. |
MS14-054 |
Una vulnerabilidad en Windows Task Scheduler podría permitir la elevación de privilegios (2988948) |
Importante |
Elevación de privilegio |
Requiere reiniciar |
Microsoft Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. |
MS14-055 |
Las vulnerabilidades en Microsoft Lync Server podría permitir la negación de servicio (2990928) |
Importante |
Negación de servicio |
No es necesario reiniciar |
Microsoft Lync Server 2010 y Microsoft Lync Server 2013. |
Los resúmenes de nuevos boletines se pueden encontrar en https://technet.microsoft.com/library/security/ms14-sep.
Herramienta de Microsoft Windows para remover software malicioso
Microsoft ha liberado una versión actualizada de la Herramienta de eliminación de software malintencionado en Microsoft Windows en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descargas. La información en la Herramienta de Microsoft Windows para remover software malicioso está disponible aquí: https://support.microsoft.com/kb/890830.
Actualizaciones de alta prioridad no relacionadas con la seguridad
Las actualizaciones de alta prioridad de Microsoft no relacionadas con la seguridad que estarán disponibles en Microsoft Update (MU), Windows Update (WU) o Windows Server Update Services (WSUS) se detallan en el siguiente artículo de KB: https://support.microsoft.com/kb/894199.
Avisos de seguridad revisados
Microsoft publicó tres nuevos avisos de seguridad el 9 de septiembre de 2014. He aquí un resumen de estos avisos de seguridad:
Aviso de seguridad 2905247 |
Una configuración insegura del sitio ASP.NET podría permitir la elevación de privilegios |
¿Qué ha cambiado? |
Este aviso fue relanzado para ofrecer la actualización de seguridad en Microsoft Update, además de la opción de descarga sólo en el centro proporcionada cuando se publicó originalmente este aviso.
Además, las actualizaciones de algunas de las versiones de .NET Framework se volvieron a lanzar para solucionar un problema que a veces provocaba que Page.IsPostBack devolviera un valor incorrecto. |
Resumen ejecutivo |
Microsoft anuncia la disponibilidad de una actualización para Microsoft ASP.NET que trata una vulnerabilidad en el estado de vista de ASP.NET que existe cuando se deshabilita la validación del Código de autenticación de máquina (MAC) por medio de la configuración. La vulnerabilidad podría permitir la elevación de privilegios y afecta a Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 y Microsoft .NET Framework 4.5/4.5.1 . |
Recomendaciones |
La mayoría de los clientes tienen activada la actualización automática y no será necesaria ninguna acción, ya que esta actualización de seguridad se descargará e instalará automáticamente. |
Para obtener más información: |
https://technet.microsoft.com/library/security/2905247 |
Aviso de seguridad 2871997 |
Actualícese para mejorar la protección y gestión de credenciales |
¿Qué ha cambiado? |
El 9 de septiembre de 2014, Microsoft lanzó la actualización 2982378 para las ediciones compatibles con Windows 7 y Windows Server 2008 R2. La actualización agrega protección adicional para las credenciales de los usuarios al iniciar sesión en un sistema Windows 7 o Windows Server 2008 R2 al asegurarse que las credenciales se limpien inmediatamente en lugar de esperar hasta que se obtenga el TGT (Ticket que otorga el Ticket) de Kerberos. Para obtener más información acerca de esta actualización, incluyendo los enlaces de descarga, consulte el artículo 2982378 de la Base de conocimiento de Microsoft. |
Resumen ejecutivo |
Microsoft anuncia la disponibilidad de una actualización para ediciones con soporte de Windows 8 para sistemas de 32 bits, Windows 8 para sistemas x64, Windows RT, Windows Server 2012, Windows 7 para sistemas de 32 bits, Windows 7 para sistemas x64, Windows Server 2008 R2 para sistemas x64 y Windows 2008 R2 para sistemas con Itanium que mejora la protección de credenciales y los controles de autenticación de dominio para reducir el robo de credenciales. Esta actualización ofrece una protección adicional para la Autoridad de Seguridad Local (LSA), añade un modo admin restringido para el Proveedor de soporte de la seguridad de credenciales (CredSSP), introduce el soporte para la categoría de usuario con dominios protegidos con cuentas restringidas, y aplica políticas de autenticación más estrictas para máquinas con Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 como clientes. |
Recomendaciones |
Microsoft recomienda que los clientes soliciten la actualización inmediatamente utilizando el software de administración de actualizaciones o verificando las actualizaciones utilizando el servicio Microsoft Update. |
Para obtener más información: |
https://technet.microsoft.com/library/security/2871997 |
Aviso de seguridad 2755801 |
Actualización de vulnerabilidades en Adobe Flash Player en Internet Explorer |
¿Qué ha cambiado? |
Microsoft actualiza este aviso para anunciar la disponibilidad de una nueva actualización de Adobe Flash Player. El 9 de septiembre de 2014, Microsoft publicó una actualización (2987114) para Internet Explorer 10 en Windows 8, Windows Server 2012 y Windows RT, y para Internet Explorer 11 en Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. La actualización resuelve las vulnerabilidades descritas en boletín de seguridad de Adobe APSB14-21. Para obtener más información acerca de esta actualización, incluyendo los enlaces de descarga, consulte el artículo 2987114 de la Base de conocimiento de Microsoft. |
Resumen ejecutivo |
Microsoft anuncia la disponibilidad de una actualización de Adobe Flash Player en Internet Explorer en todas las ediciones con soporte de Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. La actualización soluciona las vulnerabilidades en Adobe Flash Player mediante la actualización de las bibliotecas Adobe Flash afectadas contenidas dentro de Internet Explorer 10 e Internet Explorer 11. |
Recomendaciones |
Microsoft recomienda que los clientes soliciten esta actualización inmediatamente utilizando el software de administración de actualizaciones o verificando las actualizaciones utilizando el servicio Microsoft Update. Ya que la actualización es acumulada, sólo se ofrecerá esta actualización. No es necesario que los clientes instalen las actualizaciones anteriores como un requisito previo para poder instalar esta actualización. |
Para obtener más información: |
https://technet.microsoft.com/library/security/2755801 |
Cronograma del bloqueo del control de activeX obsoleto en internet Explorer
Queremos recordar a los clientes los tiempos para que Internet Explorer comience a bloquear los controles ActiveX obsoletos. A partir del 9 de septiembre de 2014, la función proporcionará a los usuarios las notificaciones cuando las páginas Web intenten cargar las siguientes versiones de los controles ActiveX en Java:
- J2SE 1.4 , todo lo que se indica a continuación (pero sin incluir) la actualización 43
- J2SE 5.0 , todo lo que se indica a continuación (pero sin incluir) la actualización 71
- Java SE 6, todo lo que se indica a continuación (pero sin incluir) la actualización 81
- Java SE 7, todo lo que se indica a continuación (pero sin incluir) la actualización 65
- Java SE 8, todo lo que se indica a continuación (pero sin incluir) la actualización 11
Para obtener los detalles completos incluyendo las respuestas a las preguntas más frecuentes, revise este blog post del Equipo de Internet Explorer: Internet Explorer empieza a bloquear los controles ActiveX
Antes del 9 de septiembre de 2014, es posible que los clientes deseen probar la función para entender cómo funciona y determinar si puede haber algún impacto en su entorno. La información sobre la forma de probar esta nueva funcionalidad se ha agregado al artículo de la Base de conocimiento para esta función:
La información adicional sobre la función de bloqueo del control ActiveX obsoleto en Internet Explorer se proporciona aquí:
Recursos en Español sobre el bloqueo de los controles ActiveX desactualizados:
Webcast del boletín público
Webcast del boletín de seguridad Mensual (Inglés):
Para atender las preguntas de los clientes sobre estos boletines Microsoft transmitirá un Webcast
Miércoles, 10 de septiembre de 2014, a las 11:00 a.m., hora del Pacífico (EE.UU. y Canadá).
El registro para este evento y otros detalles se pueden encontrar en https://technet.microsoft.com/security/bulletin/
Webcast del boletín de seguridad Mensual (Español):
Para atender las preguntas de los clientes sobre estos boletines Microsoft transmitirá un Webcast
Jueves, 11 de septiembre de 2014, a las 10:30 a.m., hora del Atlántico
Regístrese en este link: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032575645
Nuevos detalles técnicos sobre el boletín de seguridad
En las siguientes tablas de software afectado y no afectado, las ediciones de software que no están en la lista han expirado su ciclo de vida de soporte. Para determinar el ciclo de vida de soporte para su producto y edición, visite el sitio Web del Ciclo de vida del soporte de Microsoft: https://support.microsoft.com/lifecycle/.
Título del boletín |
Actualización de seguridad acumulada para Internet Explorer (2977629) |
Resumen ejecutivo |
Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente y 36 vulnerabilidades reportadas en forma privada en Internet Explorer. Las más graves de estas vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página Web especialmente diseñada usando Internet Explorer. Un atacante que explote con éxito esta vulnerabilidad podrá conseguir los mismos derechos del usuario.
La actualización de seguridad trata las vulnerabilidades al modificar la forma en que Internet Explorer maneja objetos en la memoria, y al agregar las validaciones de permisos adicionales para Internet Explorer. |
Clasificaciones de gravedad y software afectado |
Esta actualización de seguridad se considera Crítica para Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) e Internet Explorer 11 (IE 11) en los clientes de Windows afectados, y Moderada en Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) e Internet Explorer 11 (IE 11) de los servidores de Windows afectados. |
Vectores de ataque |
Un atacante podría alojar un sitio Web para tratar de explotar esta vulnerabilidad. Por otra parte, los sitios Web comprometidos y los que aceptan o alojan contenido proporcionado por el usuario podrían contener contenidos especialmente diseñados que pueden explotar esta vulnerabilidad. |
Factores atenuantes |
- Un atacante tendría que convencer a los usuarios para tomar acciones, por lo general al hacer clic en un vínculo de un mensaje de correo electrónico o en un mensaje instantáneo que lleva a los usuarios a la página Web del atacante, o de la apertura de un archivo adjunto enviado por correo electrónico.
- Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos.
- De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren mensajes de correo electrónico HTML en la zona Sitios restringidos.
- De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2 se ejecutan en un modo restringido.
|
Se requiere reinicio |
Esta actualización requiere un reinicio. |
Boletines reemplazados por esta actualización |
MS14-051 |
Todos los detalles |
https://technet.microsoft.com/library/security/ms14-052 |
Título del boletín |
Una vulnerabilidad en .NET Framework podría permitir la negación de servicio (2990931) |
Resumen ejecutivo |
Esta actualización de seguridad resuelve una vulnerabilidad reportada en forma privada en Microsoft .NET Framework. La vulnerabilidad podría permitir la negación de servicio si un atacante envía un pequeño número de peticiones especialmente diseñadas a un sitio Web habilitado por .NET. De forma predeterminada, ASP.NET no está instalado cuando Microsoft .NET Framework sí lo está en cualquier edición de Microsoft Windows. Para verse afectados por la vulnerabilidad, los clientes deben instalar y activar manualmente el registro ASP.NET con IIS.
La actualización de seguridad trata las vulnerabilidades al corregir cómo Microsoft .NET Framework maneja las peticiones especialmente diseñadas. |
Clasificaciones de gravedad y software afectado |
Esta actualización de seguridad se considera Importante para Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 y Microsoft .NET Framework 4.5/4.5.1/4.5.2 en las ediciones afectadas de Microsoft Windows. |
Vectores de ataque |
Un atacante no autenticado podría enviar a un pequeño número de peticiones especialmente diseñadas a un sitio Web habilitado por .NET afectado, lo que provoca una condición de negación de servicio. |
Factores atenuantes |
De forma predeterminada, ASP.NET no está instalado cuando Microsoft .NET Framework sí lo está en cualquier edición de Microsoft Windows. |
Se requiere reinicio |
Esta actualización puede requerir un reinicio. |
Boletines reemplazados por esta actualización |
MS13-004, MS13-052 y MS14-009. |
Todos los detalles |
https://technet.microsoft.com/library/security/ms14-053 |
Título del boletín |
Una vulnerabilidad en Windows Task Scheduler podría permitir la elevación de privilegios (2988948) |
Resumen ejecutivo |
Esta actualización de seguridad resuelve una vulnerabilidad reportada en forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado y ejecuta una aplicación especialmente diseñada. Un atacante debe tener credenciales válidas de inicio y ser capaz de iniciar sesión de forma local para explotar esta vulnerabilidad. La vulnerabilidad no podría ser explotada remotamente o por usuarios anónimos.
La actualización de seguridad trata la vulnerabilidad mediante la corrección de cómo el Programador de tareas realiza las verificaciones de integridad en las tareas. |
Clasificaciones de gravedad y software afectado |
Esta actualización de seguridad se considera Importante para todas las ediciones con soporte de Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. |
Vectores de ataque |
Un atacante tendría primero que iniciar sesión en el sistema. Después, un atacante podría ejecutar una aplicación especialmente diseñada para explotar la vulnerabilidad y asumir un control total sobre un sistema afectado. |
Factores atenuantes |
Un atacante debe tener credenciales válidas de inicio y ser capaz de iniciar sesión de forma local para explotar esta vulnerabilidad. La vulnerabilidad no podría ser explotada remotamente o por usuarios anónimos. |
Se requiere reinicio |
Esta actualización requiere un reinicio. |
Boletines reemplazados por esta actualización |
Ninguno |
Todos los detalles |
https://technet.microsoft.com/library/security/ms14-054 |
Título del boletín |
Las vulnerabilidades en Microsoft Lync Server podrían permitir la negación de servicio (2990928) |
Resumen ejecutivo |
Esta actualización de seguridad resuelve tres vulnerabilidades reportadas en forma privada en Microsoft Lync Server. La más grave de éstas podría permitir la negación de servicio si un atacante envía una solicitud especialmente elaborada para un servidor Lync.
La actualización de seguridad trata las vulnerabilidades al corregir la forma en que Lync Server limpia la entrada de datos por parte del usuario y al corregir la forma en que Lync Server maneja las excepciones y nulifica las referencias. |
Clasificaciones de gravedad y software afectado |
Esta actualización de seguridad se considera Importante para todas las ediciones con soporte de Microsoft Lync Server 2010 y Microsoft Lync Server 2013. |
Vectores de ataque |
- CVE-2014-4068 y CVE-2014-4071: Un atacante ejecuta una solicitud especialmente elaborada en un servidor Lync.
- CVE-2014-4070:
- Un atacante aloja un sitio Web malintencionado utilizando la vulnerabilidad y convence a los usuarios que visiten el sitio.
- El atacante aprovecha los sitios Web comprometidos y/o que alojan los anuncios de otros proveedores.
- Un atacante envía un mensaje de correo electrónico con una URL que enlaza al sitio Web malicioso y convence al usuario que haga clic en el vínculo.
|
Factores atenuantes |
Microsoft no ha identificado las atenuantes para estas vulnerabilidades. |
Se requiere reinicio |
Esta actualización no requiere reinicio. |
Boletines reemplazados por esta actualización |
MS14-032 (Lync Server 2013 solamente) |
Todos los detalles |
https://technet.microsoft.com/library/security/ms14-055 |
Con respecto a la consistencia de la información
Nos esforzamos por proporcionarle información precisa en contenidos estáticos (este correo) y dinámicos (basados en la Web). Ocasionalmente se actualiza el contenido de seguridad de Microsoft colocado en la Web para reflejar la información más reciente. Si esto resulta en una inconsistencia entre la información en este documento y la información en los contenidos de seguridad basados en la Web de Microsoft, éstos últimos prevalecerán.
Si tiene alguna pregunta sobre esta alerta, póngase en contacto con su Gerente de la cuenta.
Gracias,
Equipo de Seguridad CSS de Microsoft |