Lanzamiento de actualización de seguridad de Microsoft de julio de 2018
¿Cuál es el propósito de esta alerta?
Esta alerta le proporciona información general sobre nuevas actualizaciones de seguridad publicadas el martes, 10 de julio de 2018. Cada mes, Microsoft publica actualizaciones de seguridad para solucionar vulnerabilidades de seguridad en los productos de Microsoft.
Descripción de la actualización de seguridad
El 10 de julio de 2018, Microsoft publicó nuevas actualizaciones de seguridad que afectan a los siguientes productos de Microsoft:
| Familia de productos | Gravedad máxima | Impacto máximo |
Artículos de KB relacionados o páginas web de soporte técnico |
| Windows 10 y Windows Server 2016 (sin incluir Microsoft Edge) | Importante | Elevación de privilegios |
Windows 10, versión 1803: 4338819; Windows 10 v1709: 4338825; Windows 10 v1703: 4338826; Windows 10 v1607: 4338814; Windows 10: 4338829; y Windows Server 2016: 4338814 |
| Microsoft Edge | Crítica | Ejecución del código remoto |
Microsoft Edge: 4338819, 4338825, 4338826, 4338829, 4338814 |
| Windows 8.1 y Windows Server 2012 R2 | Importante | Elevación de privilegios |
Paquete acumulativo mensual para Windows 8.1 y Windows Server 2012 R2: 4338815 Actualización de solo seguridad para Windows 8.1 y Windows Server 2012 R2: 4338824 |
| Windows Server 2012 | Importante | Elevación de privilegios |
Paquete acumulativo mensual para Windows Server 2012: 4338830 Windows Server 2012 (solo seguridad): 4338820 |
| Windows RT 8.1 | Importante | Elevación de privilegios |
Windows RT 8.1: 4284815 Nota: Las actualizaciones de Windows RT 8.1 solo están disponibles a través de Windows Update. |
| Windows 7 y Windows Server 2008 R2 | Importante | Elevación de privilegios |
Paquete acumulativo mensual para Windows 7 y Windows Server 2008 R2: 4338818 Actualización de solo seguridad para Windows 7 y Windows Server 2008 R2: 4338823 |
| Windows Server 2008 | Importante | Elevación de privilegios |
Las actualizaciones para Windows Server 2008 no se ofrecen de manera acumulativa ni en paquetes. En los siguientes artículos se hace referencia a una versión de Windows Server 2008: 4293756, 4339854, 4291391,4339291, 4295656, 4339503, 4340583 |
| Internet Explorer | Crítica | Ejecución del código remoto |
Paquete acumulativo para Internet Explorer 9 IE: 4339093;Paquete acumulativo mensual para Internet Explorer 10: 4338830;Paquete acumulativo para Internet Explorer 10: 4339093;Paquete acumulativo mensual para Internet Explorer 11: 4338815 y 4338818;Paquete acumulativo para Internet Explorer 11 IE: 4339093;Actualización de seguridad para Internet Explorer 11: 4338819, 4338825, 4338826, 4338829 y 4338814 |
| Software relacionado con Microsoft Office | Importante | Ejecución del código remoto |
El número de artículos de KB relacionados con Microsoft Office para cada lanzamiento de actualizaciones de seguridad mensual varía en función del número de CVE y del número de componentes afectados. Este mes, hay más de 20 artículos de Knowledge Base relacionados con las actualizaciones de Office; demasiados para hacer un resumen. Revise el contenido de la Guía de actualizaciones de seguridad para obtener detalles sobre los artículos. |
| Software relacionado con Microsoft SharePoint | Importante | Ejecución del código remoto |
Software relacionado con Microsoft SharePoint: 4022235, 4022228 y 4022243 |
| Skype Empresarial, Microsoft Lync | Importante | Ejecución del código remoto |
Skype Empresarial: 4022221 Microsoft Lync: 4022225 |
| .NET, .NET Core, ASP.NET, ASP.NET Core | Importante | Ejecución del código remoto |
El número de artículos de soporte técnico relacionados con .NET Framework para cada publicación de actualizaciones de seguridad variará en función del número de CVE y de componentes afectados. Este más, hay más de 20 artículos de soporte técnico relacionados con las actualizaciones de .NET Framework; demasiados para hacer un resumen. .NET Core es una plataforma de desarrollo de uso general que mantienen Microsoft y la comunidad de .NET en GitHub. |
| Microsoft Visual Studio | Importante | Ejecución del código remoto |
Microsoft Visual Studio: 4336919, 4336946, 4336986y 4336999 |
| Biblioteca de criptografía JavaScript de Microsoft Research | Importante | Derivación de la característica de seguridad |
La biblioteca de criptografía JavaScript de MSR se desarrolló para usarse con los servicios en la nube de manera compatible con HTML5 y con cara al futuro. La biblioteca está en constante desarrollo. Para obtener actualizaciones, consulte el Centro de descarga. |
| Adaptador Inalámbrico de pantalla de Microsoft | Importante | Ejecución del código remoto |
Consulte Adaptador Inalámbrico de pantalla de Microsoft para obtener información sobre software y controladores. |
| PowerShell Editor Services, extensión de PowerShell para código de Visual Studio | Crítica | Ejecución del código remoto |
Basado en .NET Framework, PowerShell es un lenguaje shells y scripting de línea de comandos y código abierto basado en tareas. Consulte GitHub para obtener actualizaciones de la extensión de PowerShell para código de Visual Studio y PowerShell Editor Services. |
| Personalizaciones web para AD FS | Importante | Suplantación de identidad |
AD FS proporciona varias opciones para que los administradores personalicen y adapten la experiencia de usuario final de modo que satisfaga las necesidades corporativas. Consulte Personalización de inicio de sesión del usuario de AD FS. Consulte GitHub para obtener el repositorio de personalización web de AD FS. |
| ChakraCore | Crítica | Ejecución del código remoto |
ChakraCore es el núcleo de Chakra, el motor de JavaScript de alto rendimiento que impulsa Microsoft Edge y aplicaciones de Windows escritas en HTML/CSS/JS. Encontrará más información en https://github.com/Microsoft/ChakraCore/wiki. |
| Adobe Flash Player | Crítica | Ejecución del código remoto |
Artículo de KB sobre Adobe Flash Player: 4338832 Aviso sobre Adobe Flash Player: ADV180017 |
Descripción de las vulnerabilidades de seguridad
A continuación se proporciona un resumen en el que se muestra el número de vulnerabilidades tratadas en esta versión, desglosado por producto o componente y por impacto.
| Detalles de la vulnerabilidad (1) |
RCE |
EOP |
ID |
SFB |
DOS |
SPF |
TMP |
Divulgación pública |
Vulnerabilidad conocida |
CVSS máx. |
| Windows 10 1803 |
0 |
2 |
0 |
2 |
3 |
0 |
0 |
1 |
0 |
8,8 |
| Windows 10 1709 |
0 |
2 |
0 |
2 |
4 |
0 |
0 |
1 |
0 |
8,8 |
| Windows 10 1703 |
0 |
2 |
0 |
2 |
4 |
0 |
0 |
1 |
0 |
8,8 |
| Windows 8.1 y Server 2012 R2 |
0 |
3 |
1 |
1 |
4 |
0 |
0 |
2 |
0 |
8,8 |
| Windows Server 2012 |
0 |
3 |
0 |
1 |
4 |
0 |
0 |
2 |
0 |
8,8 |
| Windows 7 y Server 2008 R2 |
0 |
3 |
0 |
1 |
4 |
0 |
0 |
1 |
0 |
8,8 |
| Windows Server 2008 |
0 |
3 |
0 |
1 |
3 |
0 |
0 |
1 |
0 |
7,8 |
| Internet Explorer |
5 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
7,5 |
| Microsoft Edge |
13 |
0 |
4 |
1 |
0 |
1 |
0 |
1 |
0 |
4,3 |
| Software relacionado con Microsoft Office |
2 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
0 |
N/D (2) |
| Software relacionado con Microsoft SharePoint |
1 |
2 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| Skype Empresarial y para Lync |
1 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| .NET y ASP.NET |
2 |
1 |
0 |
2 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| Visual Studio |
1 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
0 |
N/D (2) |
| JavaScript de Microsoft ResearchBiblioteca de criptografía |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| Adaptador Inalámbrico de pantalla de Microsoft |
3 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| Servicios de PowerShell Editor,PowerShell Ext. para código de Visual Studio |
2 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| Personalizaciones web para AD FS |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
N/D (2) |
| ChakraCore |
11 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| Adobe Flash Player |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| RCE = Ejecución de código remoto | EOP = Elevación de privilegios | ID = Divulgación de informaciónSFB = Franqueo de características de seguridad | DOS = Denegación de servicio | SPF = Suplantación de identidad | TMP = Manipulación | ||||||||||
(1) Es posible que las vulnerabilidades que aparecen en varios componentes se representen más de una vez en la tabla.
(2) En el momento de la publicación, las puntuaciones CVE solo estaban disponibles para Windows, Internet Explorer y Microsoft Edge.
Guía de actualizaciones de seguridad
La Guía de actualizaciones de seguridad es nuestro recurso recomendado para obtener información sobre actualizaciones de seguridad. Puede personalizar sus vistas y crear hojas de cálculo del software afectado, así como descargar datos a través de una API de RESTful. Le recordamos que la Guía de actualizaciones de seguridad ya ha sustituido a las páginas web de los boletines de seguridad habituales.
Portal de la Guía de actualizaciones de seguridad: https://aka.ms/securityupdateguide
Página web de preguntas más frecuentes (P+F) sobre la Guía de actualizaciones de seguridad: https://technet.microsoft.com/es-es/security/mt791750
Detalles de la vulnerabilidad
A continuación, encontrará los resúmenes de algunas de las vulnerabilidades de seguridad de esta versión. Estas vulnerabilidades se han seleccionado entre el conjunto global de vulnerabilidades existentes en la versión por alguno de los motivos siguientes: 1) Hemos recibido consultas relacionadas con la vulnerabilidad; 2) la vulnerabilidad se ha puesto de relieve en la prensa especializada; o 3) la vulnerabilidad puede resultar más perjudicial que otras de la misma versión. Dado que no proporcionamos resúmenes para todas las vulnerabilidades de la versión, debería consultar el contenido de la Guía de actualizaciones de seguridad
para buscar la información que no esté contenida en estos resúmenes.
| CVE-2018-8304 | Vulnerabilidad de denegación de servicio Windows DNSAPI |
| Resumen ejecutivo | Existe una vulnerabilidad de denegación de servicio en el sistema de nombres de dominio (DNS) de Windows (DNSAPI.dll) cuando dicho software no logra controlar correctamente las respuestas de DNS. Un atacante que explotara con éxito la vulnerabilidad podría hacer que un sistema dejara de responder. Tenga en cuenta que la condición de denegación de servicio no permitiría al atacante ejecutar código ni elevar los privilegios de usuario. Sin embargo, una condición de denegación de servicio podría impedir a los usuarios autorizados usar los recursos del sistema.La actualización aborda la vulnerabilidad al modificar la forma en que DNSAPI.dll de Windows control las respuestas de DNS. |
| Vectores de ataque | Para aprovechar la vulnerabilidad, el atacante usaría un servidor DNS malintencionado para enviar respuestas de DNS dañadas al objetivo. |
| Factores mitigadores | Microsoft no ha identificado ningún factor mitigador para esta vulnerabilidad. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Windows 10, Windows 8.1, Windows RT 8.1, Windows 7, Windows Server v1709, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 y Windows Server 2008. |
| Impacto | Denegación de servicio |
| Gravedad | Importante |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 4: no se ve afectado |
| Evaluación de vulnerabilidad, heredada: | 2: vulnerabilidad menos probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8304 |
| CVE-2018-8279 | Vulnerabilidad de daño de la memoria de Microsoft Edge |
| Resumen ejecutivo | Existe una vulnerabilidad de ejecución de código remoto cuando Microsoft Edge accede a los objetos de la memoria de manera incorrecta. La vulnerabilidad podría dañar la memoria de tal manera que un atacante pudiera ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inició sesión con privilegios administrativos, un atacante podría tomar el control de un sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario.La actualización de seguridad resuelve la vulnerabilidad modificando la forma en la que Microsoft Edge controla los objetos de la memoria. |
| Vectores de ataque | Un atacante podría hospedar una página web especialmente diseñada para aprovechar la vulnerabilidad a través de Microsoft Edge y, a continuación, convencer a un usuario para que visite el sitio web. El atacante podría incluso aprovecharse de los sitios web en peligro y de los que aceptan u hospedan anuncios o contenido proporcionado por el usuario añadiendo contenido especialmente diseñado para aprovechar la vulnerabilidad. |
| Factores mitigadores | Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el contenido controlado por él. Lo que tendría que hacer sería convencer a los usuarios para que realizaran alguna acción, normalmente llamando su atención por correo electrónico o mensaje instantáneo, o haciéndoles abrir el archivo adjunto de un correo electrónico.Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Configurar las cuentas de usuario con menos permisos reduciría el riesgo. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Microsoft Edge en Windows 10 |
| Impacto | Ejecución del código remoto |
| Gravedad | Crítica |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 1: vulnerabilidad más probable |
| Evaluación de vulnerabilidad, heredada: | 4: no se ve afectado |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8279 |
| CVE-2018-8281 | Vulnerabilidad de ejecución de código remoto de Microsoft Office |
| Resumen ejecutivo | Existe una vulnerabilidad de ejecución de código remoto en el software de Microsoft Office cuando dicho software no logra controlar correctamente los objetos en la memoria. Un atacante que aprovechara la vulnerabilidad con éxito podría ejecutar un código arbitrario en el contexto del usuario actual. Si el usuario actual inició sesión con privilegios administrativos, un atacante podría tomar el control del sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario.La actualización de seguridad resuelve la vulnerabilidad al corregir la manera en que Microsoft Office controla los objetos en la memoria. |
| Vectores de ataque | La explotación de la vulnerabilidad requiere que un usuario abra un archivo especialmente diseñado con una versión afectada de Microsoft Office. En un escenario de ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad al enviar al usuario el archivo especialmente diseñado y convenciéndolo para que lo abriera. En un escenario de ataque web, un atacante podría hospedar un sitio web (o sacar provecho de un sitio web en peligro que acepta u hospeda contenido proporcionado por el usuario) que contiene un archivo especialmente diseñado para aprovechar la vulnerabilidad. |
| Factores mitigadores | Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el contenido controlado por él. Lo que tendría que hacer sería convencer a los usuarios para que realizaran alguna acción, normalmente llamando su atención por correo electrónico o mensaje instantáneo, o haciéndoles abrir el archivo adjunto de un correo electrónico.Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Configurar las cuentas de usuario con menos permisos reduciría el riesgo. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Hacer clic y ejecutar (C2R) de Microsoft Office 2016, Office 2016 para Mac, Paquete de compatibilidad de Office, Visor de Word, Visor de Excel y Visor de PowerPoint. |
| Impacto | Ejecución del código remoto |
| Gravedad | Importante |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 2: vulnerabilidad menos probable |
| Evaluación de vulnerabilidad, heredada: | 2: vulnerabilidad menos probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8281 |
| CVE-2018-8311 | Vulnerabilidad de ejecución de código remoto de Skype Empresarial y Lync |
| Resumen ejecutivo | Existe una vulnerabilidad de ejecución de código remoto cuando los clientes de Skype Empresarial y Microsoft Lync no corrigen correctamente contenido especialmente diseñado. La vulnerabilidad podría dañar la memoria de tal manera que podría permitir que un atacante ejecutara código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inició sesión con privilegios administrativos, el atacante podría tomar el control de un sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario.La actualización de seguridad aborda la vulnerabilidad al modificar la forma en que los clientes de Skype Empresarial y Lync corrigen el contenido. |
| Vectores de ataque | Un atacante podría hospedar una página web especialmente diseñada para aprovechar la vulnerabilidad a través de Microsoft Edge y, a continuación, convencer a un usuario para que visite el sitio web. Asimismo, el atacante podría aprovecharse de los sitios web en peligro, o que aceptan u hospedan anuncios o contenidos proporcionados por el usuario, agregando contenido especialmente diseñado para aprovechar la vulnerabilidad. |
| Factores mitigadores | Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el contenido controlado por él. Lo que tendría que hacer sería convencer a los usuarios para que realizaran alguna acción, normalmente llamando su atención por correo electrónico o mensaje instantáneo, o haciéndoles abrir el archivo adjunto de un correo electrónico.Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Configurar las cuentas de usuario con menos permisos reduciría el riesgo. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Microsoft Lync 2013 y Skype Empresarial 2016 |
| Impacto | Ejecución del código remoto |
| Gravedad | Importante |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 2: vulnerabilidad menos probable |
| Evaluación de vulnerabilidad, heredada: | 2: vulnerabilidad menos probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8311 |
| CVE-2018-8300 | Vulnerabilidad de ejecución de código remoto de Microsoft SharePoint |
| Resumen ejecutivo | Existe una vulnerabilidad de ejecución de código remoto en Microsoft SharePoint cuando el software no logra comprobar el marcado de origen de un paquete de aplicaciones. Un atacante que aprovechara la vulnerabilidad con éxito podría ejecutar código arbitrario en el contexto del grupo de aplicaciones SharePoint actual y la cuenta de la granja de servidores de SharePoint.La actualización de seguridad aborda la vulnerabilidad al corregir la forma en que SharePoint comprueba el marcado de origen de los paquetes de aplicaciones. |
| Vectores de ataque | La explotación de esta vulnerabilidad requiere que un usuario cargue un paquete de aplicaciones SharePoint especialmente diseñadas en versiones afectadas de SharePoint. |
| Factores mitigadores | Microsoft no ha identificado ningún factor mitigador para esta vulnerabilidad. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Microsoft SharePoint Enterprise Server 2016 y SharePoint Foundation 2013 Service |
| Impacto | Ejecución del código remoto |
| Gravedad | Importante |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 2: vulnerabilidad menos probable |
| Evaluación de vulnerabilidad, heredada: | 2: vulnerabilidad menos probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8300 |
Respecto a la coherencia de la información
Procuramos proporcionarle información precisa a través de contenido estático (este correo) y dinámico (basado en web). El contenido de seguridad de Microsoft publicado en la Web se actualiza con frecuencia para incluir la información más reciente. Si esto provoca incoherencias entre la información de aquí y la información del contenido de seguridad basado en web de Microsoft, la información autorizada es esta última.
Si tiene alguna pregunta respecto a esta alerta, póngase en contacto con su administrador técnico de cuentas (TAM) o director de prestación de servicios (SDM).
Saludos!
Microsoft CSS Security Team