Boletín de seguridad de Microsoft MS16-120: crítico
Actualización de seguridad para el componente de gráficos de Microsoft (3192884)
Publicado: 11 de octubre de 2016 | Actualizado: 13 de diciembre de 2016
Versión: 2.0
Resumen ejecutivo
Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Windows, Microsoft Office, Skype Empresarial, Silverlight y Microsoft Lync. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visita un sitio web especialmente diseñado o abre un documento especialmente diseñado. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.
Esta actualización de seguridad es crítica para:
- Todas las versiones admitidas de Microsoft Windows
Esta actualización de seguridad es importante para:
- Ediciones afectadas de Microsoft Office 2007 y Microsoft Office 2010
- Ediciones afectadas de Skype Empresarial 2016, Microsoft Lync 2013 y Microsoft Lync 2010
- Ediciones afectadas de Microsoft .NET Framework
- Ediciones afectadas de Silverlight
La actualización de seguridad soluciona las vulnerabilidades mediante la corrección del modo en que la biblioteca de fuentes de Windows controla las fuentes incrustadas.
Para obtener más información, consulte la sección Clasificación de gravedad de vulnerabilidad y software afectado.
Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3192884.
Clasificaciones de gravedad de software y vulnerabilidad afectadas
Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
Las clasificaciones de gravedad indicadas para cada software afectado asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad e impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de octubre.
Microsoft Windows
| Sistema operativo | Vulnerabilidad true de divulgación de información de análisis de fuentes de tipo: CVE-2016-3209 | Vulnerabilidad de divulgación de información de GDI+: CVE-2016-3262 | Vulnerabilidad de divulgación de información de GDI+: CVE-2016-3263 | Vulnerabilidad de elevación de privilegios de Win32k: CVE-2016-3270 | Vulnerabilidad de RCE del componente gráficos de Windows: CVE-2016-3393 | Vulnerabilidad de ejecución remota de código de GDI+ : CVE-2016-3396 | True Type Font Parsing Elevation of Privilegey Vulnerability - CVE-2016-7182 | Novedades reemplazado* |
|---|---|---|---|---|---|---|---|---|
| Windows Vista | ||||||||
| Windows Vista Service Pack 2 (3191203) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3177725 en MS16-098 |
| Windows Vista x64 Edition Service Pack 2 (3191203) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3177725 en MS16-098 |
| Windows Server 2008 | ||||||||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3191203) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3177725 en MS16-098 |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (3191203) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3177725 en MS16-098 |
| Windows Server 2008 para sistemas basados en Itanium Service Pack 2 (3191203) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3177725 en MS16-098 |
| Windows 7 | ||||||||
| Windows 7 para sistemas de 32 bits Service Pack 1 (3192391) Solo seguridad[3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3175024 en MS16-111 |
| Paquete acumulativo mensual de Windows 7 para sistemas de 32 bits Service Pack 1 (3185330) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3175024 en MS16-111 |
| Windows 7 para sistemas basados en x64 Service Pack 1 (3192391) Solo seguridad[3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3175024 en MS16-111 |
| Paquete acumulativo mensual de Windows 7 para sistemas basados en x64 Service Pack 1 (3185330) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3175024 en MS16-111 |
| Windows Server 2008 R2 | ||||||||
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (3192391) Solo seguridad[3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3175024 en MS16-111 |
| Paquete acumulativo mensual de Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (3185330) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3175024 en MS16-111 |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 (3192391) Solo seguridad[3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3175024 en MS16-111 |
| Paquete acumulativo mensual de Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 (3185330) Mensual[3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3175024 en MS16-111 |
| Windows 8.1 | ||||||||
| Windows 8.1 para sistemas de 32 bits (3192392) Solo seguridad[3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
| Paquete acumulativo mensual de Windows 8.1 para sistemas de 32 bits (3185331) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
| Windows 8.1 para sistemas basados en x64 (3192392) Solo seguridad[3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
| Paquete acumulativo mensual de Windows 8.1 para sistemas basados en x64 (3185331) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
| Windows Server 2012 y Windows Server 2012 R2 | ||||||||
| Solo seguridad de Windows Server 2012 (3192393) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
| Paquete acumulativo mensual de Windows Server 2012 (3185332) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
| Solo seguridad de Windows Server 2012 R2 (3192392) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
| Paquete acumulativo mensual de Windows Server 2012 R2 (3185331) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
| Windows RT 8.1 | ||||||||
| Paquete acumulativo mensual de Windows RT 8.1[1](3185331) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
| Windows 10 | ||||||||
| Windows 10 para sistemas de 32 bits[2](3192440) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185611 |
| Windows 10 para sistemas basados en x64[2](3192440) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185611 |
| Windows 10 versión 1511 para sistemas de 32 bits[2](3192441) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185614 |
| Windows 10 versión 1511 para sistemas basados en x64[2](3192441) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185614 |
| Windows 10 versión 1607 para sistemas de 32 bits[2](3194798) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3189866 |
| Windows 10 versión 1607 para sistemas basados en x64[2](3194798) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3189866 |
| Opción de instalación Server Core | ||||||||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core) (3191203) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3177725 en MS16-098 |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (instalación server Core) (3191203) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3177725 en MS16-098 |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core) (3192391) Solo seguridad[3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3175024 en MS16-111 |
| Paquete acumulativo mensual de Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core) (3185330) Paquete acumulativo mensual[3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3175024 en MS16-111 |
| Solo seguridad de Windows Server 2012 (instalación server Core) (3192393) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
| Paquete acumulativo mensual de Windows Server 2012 (instalación de Server Core) (3185332) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
| Solo seguridad de Windows Server 2012 R2 (instalación server Core) (3192392) [3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
| Paquete acumulativo mensual de Windows Server 2012 R2 (instalación server Core) (3185331) resumen mensual[3] | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Elevación importante de privilegios | Ejecución crítica de código remoto | Ejecución crítica de código remoto | Elevación importante de privilegios | 3185319 en MS16-104 |
[1]Esta actualización solo está disponible a través de Windows Update.
[2]Las actualizaciones de Windows 10 son acumulativas. La versión de seguridad mensual incluye todas las correcciones de seguridad para las vulnerabilidades que afectan a Windows 10, además de las actualizaciones que no son de seguridad. Las actualizaciones están disponibles a través del catálogo de Microsoft Update.
[3]A partir de la versión de octubre de 2016, Microsoft está cambiando el modelo de mantenimiento de actualizaciones para Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 y Windows Server 2012 R2. Para obtener más información, consulte este artículo de Microsoft TechNet.
Nota Las vulnerabilidades descritas en este boletín afectan a Windows Server 2016 Technical Preview 5. Para protegerse frente a las vulnerabilidades, Microsoft recomienda que los clientes que ejecutan este sistema operativo apliquen la actualización actual, que está disponible en Windows Update.
*La columna Novedades Reemplazado muestra solo la actualización más reciente en cualquier cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al Catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (se proporciona información reemplazada de actualizaciones en la pestaña PackageDetails ).
Microsoft .NET Framework: versión solo de seguridad[3]
| Sistema operativo | Componente | Vulnerabilidad de divulgación de información de .NET: CVE-2016-3209 | Novedades reemplazado |
|---|---|---|---|
| Windows Vista Microsoft .NET Framework Novedades para 3.0, 4.5.2 y 4.6 para Vista y Server 2008 (KB3188736) [4] | |||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3188726) | Divulgación de información importante | 3142041 en MS16-039 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3189039) | Divulgación de información importante | 3099869 en MS15-128 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.6[1](3189040) | Divulgación de información importante | 3099874 en MS15-128 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3188726) | Divulgación de información importante | 3142041 en MS16-039 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3189039) | Divulgación de información importante | 3099869 en MS15-128 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.6[1](3189040) | Divulgación de información importante | 3099874 en MS15-128 |
| Windows Server 2008 Microsoft .NET Framework Novedades para 3.0, 4.5.2 y 4.6 para Vista y Server 2008 (KB3188736)[4] | |||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3188726) | Divulgación de información importante | 3142041 en MS16-039 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3189039) | Divulgación de información importante | 3099869 en MS15-128 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 4.6[1](3189040) | Divulgación de información importante | 3099874 en MS15-128 |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3188726) | Divulgación de información importante | 3142041 en MS16-039 |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3189039) | Divulgación de información importante | 3099869 en MS15-128 |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 | Microsoft .NET Framework 4.6[1](3189040) | Divulgación de información importante | 3099874 en MS15-128 |
| Windows 7 | |||
| Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 (3188730) | Divulgación de información importante | 3142042 en MS16-039 |
| Windows 7 para sistemas basados en x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3188730) | Divulgación de información importante | 3142042 en MS16-039 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3188730) | Divulgación de información importante | 3142042 en MS16-039 |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 (3188730) | Divulgación de información importante | 3142042 en MS16-039 |
| Windows 8.1 | |||
| Windows 8.1 para sistemas de 32 bits | Microsoft .NET Framework 3.5 (3188732) | Divulgación de información importante | 3142045 en MS16-039 |
| Windows 8.1 para sistemas basados en x64 | Microsoft .NET Framework 3.5 (3188732) | Divulgación de información importante | 3142045 en MS16-039 |
| Windows Server 2012 y Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3188731) | Divulgación de información importante | 3142043 en MS16-039 |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3188732) | Divulgación de información importante | 3142045 en MS16-039 |
| Windows 10 | |||
| Windows 10 para sistemas de 32 bits[2](3192440) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3163912 |
| Windows 10 para sistemas basados en x64[2](3192440) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3163912 |
| Windows 10 versión 1511 para sistemas de 32 bits[2](3192441) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3185614 |
| Windows 10 versión 1511 para sistemas basados en x64[2](3192441) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3185614 |
| Windows 10 versión 1607 para sistemas de 32 bits[2](3194798) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3189866 |
| Windows 10 versión 1607 para sistemas basados en x64[2](3194798) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3189866 |
| Opción de instalación Server Core | |||
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core) | Microsoft .NET Framework 3.5.1 (3188730) | Divulgación de información importante | 3142042 en MS16-039 |
| Windows Server 2012 (instalación de Server Core) | Microsoft .NET Framework 3.5 (3188731) | Divulgación de información importante | 3142043 en MS16-039 |
| Windows Server 2012 R2 (instalación de Server Core) | Microsoft .NET Framework 3.5 (3188732) | Divulgación de información importante | 3142045 en MS16-039 |
[1]Para obtener información sobre los cambios en la compatibilidad con .NET Framework 4.x, vea Anuncios de soporte técnico de Internet Explorer y .NET Framework 4.x.
[2]Las actualizaciones de Windows 10 son acumulativas. La versión de seguridad mensual incluye todas las correcciones de seguridad para las vulnerabilidades que afectan a Windows 10, además de las actualizaciones que no son de seguridad. Las actualizaciones están disponibles a través del catálogo de Microsoft Update.
[3]A partir de la versión de octubre de 2016, Microsoft está cambiando el modelo de mantenimiento de actualizaciones para Microsoft .NET Framework. Para obtener más información, consulte esta entrada de blog de Microsoft .NET.
[4]Hay un KB primario para Vista y Server2008. La KB principal es la base de conocimiento de la oferta, pero las KB enumeradas en la tabla serán lo que está visible en Agregar quitar programas.
Nota La vulnerabilidad descrita en este boletín afecta a Windows Server 2016 Technical Preview 4 y Windows Server 2016 Technical Preview 5. Hay disponible una actualización para Windows Server 2016 Technical Preview 5 a través de Windows Update. Sin embargo, no hay ninguna actualización disponible para Windows Server 2016 Technical Preview 4. Para protegerse frente a la vulnerabilidad, Microsoft recomienda que los clientes que ejecutan Windows Server 2016 Technical Preview 4 actualicen a Windows Server 2016 Technical Preview 5.
Microsoft .NET Framework: versión de acumulación mensual[3]
| Sistema operativo | Componente | Vulnerabilidad de divulgación de información de .NET: CVE-2016-3209 | Novedades reemplazado |
|---|---|---|---|
| Windows Vista Microsoft .NET Framework Novedades para 3.0, 4.5.2 y 4.6 para Vista y Server 2008 (KB3188744) [4] | |||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3188735) | Divulgación de información importante | 3142041 en MS16-039 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3189051) | Divulgación de información importante | Todas las actualizaciones publicadas anteriormente[5] |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.6[1](3189052) | Divulgación de información importante | Todas las actualizaciones publicadas anteriormente[5] |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3188735) | Divulgación de información importante | 3142041 en MS16-039 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3189051) | Divulgación de información importante | Todas las actualizaciones publicadas anteriormente[5] |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.6[1](3189052) | Divulgación de información importante | Todas las actualizaciones publicadas anteriormente[5] |
| Windows Server 2008Microsoft .NET Framework Novedades para 3.0, 4.5.2 y 4.6 para Vista y Server 2008 (KB3188744)[4] | |||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3188735) | Divulgación de información importante | 3142041 en MS16-039 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3189051) | Divulgación de información importante | Todas las actualizaciones publicadas anteriormente[5] |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 4.6[1](3189052) | Divulgación de información importante | Todas las actualizaciones publicadas anteriormente[5] |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3188735) | Divulgación de información importante | 3142041 en MS16-039 |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3189051) | Divulgación de información importante | Todas las actualizaciones publicadas anteriormente[5] |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 | Microsoft .NET Framework 4.6[1](3189052) | Divulgación de información importante | Todas las actualizaciones publicadas anteriormente[5] |
| Windows 7 | |||
| Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 (3188740) | Divulgación de información importante | 3142042 en MS16-039 |
| Windows 7 para sistemas basados en x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3188740) | Divulgación de información importante | 3142042 en MS16-039 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3188740) | Divulgación de información importante | 3142042 en MS16-039 |
| Windows 8.1 | |||
| Windows 8.1 para sistemas de 32 bits | Microsoft .NET Framework 3.5 (3188743) | Divulgación de información importante | 3142045 en MS16-039 |
| Windows 8.1 para sistemas basados en x64 | Microsoft .NET Framework 3.5 (3188743) | Divulgación de información importante | 3142045 en MS16-039 |
| Windows Server 2012 y Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3188741) | Divulgación de información importante | 3142043 en MS16-039 |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3188743) | Divulgación de información importante | 3142045 en MS16-039 |
| Windows 10 | |||
| Windows 10 para sistemas de 32 bits[2](3192440) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3163912 |
| Windows 10 para sistemas basados en x64[2](3192440) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3163912 |
| Windows 10 versión 1511 para sistemas de 32 bits[2](3192441) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3185614 |
| Windows 10 versión 1511 para sistemas basados en x64[2](3192441) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3185614 |
| Windows 10 versión 1607 para sistemas de 32 bits[2](3194798) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3189866 |
| Windows 10 versión 1607 para sistemas basados en x64[2](3194798) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3189866 |
| Opción de instalación Server Core | |||
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core) | Microsoft .NET Framework 3.5.1 (3188740) | Divulgación de información importante | 3142042 en MS16-039 |
| Windows Server 2012 (instalación de Server Core) | Microsoft .NET Framework 3.5 (3188741) | Divulgación de información importante | 3142043 en MS16-039 |
| Windows Server 2012 R2 (instalación de Server Core) | Microsoft .NET Framework 3.5 (3188743) | Divulgación de información importante | 3142045 en MS16-039 |
[1]Para obtener información sobre los cambios en la compatibilidad con .NET Framework 4.x, vea Anuncios de soporte técnico de Internet Explorer y .NET Framework 4.x.
[2]Las actualizaciones de Windows 10 son acumulativas. La versión de seguridad mensual incluye todas las correcciones de seguridad para las vulnerabilidades que afectan a Windows 10, además de las actualizaciones que no son de seguridad. Las actualizaciones están disponibles a través del catálogo de Microsoft Update.
[3]A partir de la versión de octubre de 2016, Microsoft está cambiando el modelo de mantenimiento de actualizaciones para Microsoft .NET Framework. Para obtener más información, consulte esta entrada de blog de Microsoft .NET.
[4]Hay un KB primario para Vista y Server2008. La KB principal es la base de conocimiento de la oferta, pero las KB enumeradas en la tabla serán lo que está visible en Agregar quitar programas.
[5]. Microsoft .NET Framework 4.5.2 y 4.6 son revisiones de acumulación e incluyen todas las actualizaciones anteriores, así como las actualizaciones de este mes. Consulte esta página para obtener más información.
Nota La vulnerabilidad descrita en este boletín afecta a Windows Server 2016 Technical Preview 4 y Windows Server 2016 Technical Preview 5. Hay disponible una actualización para Windows Server 2016 Technical Preview 5 a través de Windows Update. Sin embargo, no hay ninguna actualización disponible para Windows Server 2016 Technical Preview 4. Para protegerse frente a la vulnerabilidad, Microsoft recomienda que los clientes que ejecutan Windows Server 2016 Technical Preview 4 actualicen a Windows Server 2016 Technical Preview 5.
Microsoft Office
| Sistema operativo | Vulnerabilidad true de divulgación de información de análisis de fuentes de tipo: CVE-2016-3209 | Vulnerabilidad de divulgación de información de GDI+: CVE-2016-3262 | Vulnerabilidad de divulgación de información de GDI+: CVE-2016-3263 | Vulnerabilidad de ejecución remota de código de GDI+ : CVE-2016-3396 | True Type Font Parsing Elevation of Privilegey Vulnerability - CVE-2016-7182 | Novedades reemplazado* |
|---|---|---|---|---|---|---|
| Microsoft Office 2007 | ||||||
| Microsoft Office 2007 Service Pack 3 (3118301) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3115109 en MS16-097 |
| Microsoft Office 2010 | ||||||
| Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (3118317) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3115131 en MS16-097 |
| Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (3118317) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3115131 en MS16-097 |
| Otro software de Office | ||||||
| Microsoft Word Viewer (3118394) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3115481 en MS16-097 |
*La columna Novedades Reemplazado muestra solo la actualización más reciente en cualquier cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al Catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (se proporciona información reemplazada de actualizaciones en la pestaña Detalles del paquete).
Plataformas y software de comunicaciones de Microsoft
| Sistema operativo | Vulnerabilidad true de divulgación de información de análisis de fuentes de tipo: CVE-2016-3209 | Vulnerabilidad de divulgación de información de GDI+: CVE-2016-3262 | Vulnerabilidad de divulgación de información de GDI+: CVE-2016-3263 | Vulnerabilidad de ejecución remota de código de GDI+ : CVE-2016-3396 | True Type Font Parsing Elevation of Privilegey Vulnerability - CVE-2016-7182 | Novedades reemplazado* |
|---|---|---|---|---|---|---|
| Skype Empresarial 2016 | ||||||
| Skype Empresarial 2016 (ediciones de 32 bits) (3118327) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3115408 en MS16-097 |
| Skype Empresarial Basic 2016 (ediciones de 32 bits) (3118327) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3115408 en MS16-097 |
| Skype Empresarial 2016 (ediciones de 64 bits) (3118327) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3115408 en MS16-097 |
| Skype Empresarial Basic 2016 (ediciones de 64 bits) (3118327) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3115408 en MS16-097 |
| Microsoft Lync 2013 | ||||||
| Microsoft Lync 2013 Service Pack 1 (32 bits)[1](Skype Empresarial) (3118348) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3115431 en MS16-097 |
| Microsoft Lync Basic 2013 Service Pack 1 (32 bits)[1](Skype Empresarial Basic) (3118348) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3115431 en MS16-097 |
| Microsoft Lync 2013 Service Pack 1 (64 bits)[1](Skype Empresarial) (3118348) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3115431 en MS16-097 |
| Microsoft Lync Basic 2013 Service Pack 1 (64 bits)[1](Skype Empresarial Basic) (3118348) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3115431 en MS16-097 |
| Microsoft Lync 2010 | ||||||
| Microsoft Lync 2010 (32 bits) (3188397) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3174301 en MS16-097 |
| Microsoft Lync 2010 (64 bits) (3188397) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3174301 en MS16-097 |
| Asistente de Microsoft Lync 2010[2](instalación de nivel de usuario) (3188399) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3174302 en MS16-097 |
| Asistente de Microsoft Lync 2010 (instalación de nivel de administrador) (3188400) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3174304 en MS16-097 |
| Consola de Microsoft Live Meeting 2007 | ||||||
| Consola de Microsoft Live Meeting 2007[3](3189647) | Divulgación de información importante | Divulgación de información importante | Divulgación de información importante | Importante ejecución remota de código | Elevación importante de privilegios | 3174305 en MS16-097 |
[1]Antes de instalar esta actualización, debe tener instalada la actualización 2965218 y 3039779 la actualización de seguridad. Consulte las preguntas más frecuentes sobre la actualización para obtener más información.
[2]Esta actualización está disponible en el Centro de descarga de Microsoft.
[3]También hay disponible una actualización del complemento de conferencia para Microsoft Office Outlook. Para obtener más información y vínculos de descarga, vea Descargar el complemento de conferencia para Microsoft Office Outlook.
*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).
Herramientas de desarrollo y software de Microsoft
| Software | Vulnerabilidad true de divulgación de información de análisis de fuentes de tipo: CVE-2016-3209 | *Novedades reemplazado ** |
|---|---|---|
| Microsoft Silverlight 5 cuando se instala en Mac\ (3193713) | Importante\ Divulgación de información | 3182373 en MS16-109 |
| Microsoft Silverlight 5 Developer Runtime cuando se instala en Mac\ (3193713) | Importante\ Divulgación de información | 3182373 en MS16-109 |
| Microsoft Silverlight 5 cuando se instala en todas las versiones compatibles de los clientes de Microsoft Windows\ (3193713) | Importante\ Divulgación de información | 3182373 en MS16-109 |
| Microsoft Silverlight 5 Developer Runtime cuando se instala en todas las versiones compatibles de los clientes de Microsoft Windows\ (3193713) | Importante\ Divulgación de información | 3182373 en MS16-109 |
| Microsoft Silverlight 5 cuando se instala en todas las versiones compatibles de servidores de Microsoft Windows\ (3193713) | Importante\ Divulgación de información | 3182373 en MS16-109 |
| Microsoft Silverlight 5 Developer Runtime cuando se instala en todas las versiones compatibles de los servidores de Microsoft Windows\ (3193713) | Importante\ Divulgación de información | 3182373 en MS16-109 |
*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).
Preguntas más frecuentes sobre la actualización
Hay varios paquetes de actualización disponibles para algunos de los software afectados. ¿Es necesario instalar todas las actualizaciones enumeradas en la tabla Software afectado para el software?
Sí. Los clientes deben aplicar todas las actualizaciones que se ofrecen para el software instalado en sus sistemas. Si se aplican varias actualizaciones, se pueden instalar en cualquier orden.
¿Es necesario instalar estas actualizaciones de seguridad en una secuencia determinada?
No. Se pueden aplicar varias actualizaciones para un sistema determinado en cualquier secuencia.
Estoy ejecutando Office 2010, que aparece como software afectado. ¿Por qué no se me ofrece la actualización?
La actualización no es aplicable a Office 2010 en Windows Vista y versiones posteriores de Windows porque el código vulnerable no está presente.
Estoy ofreciendo esta actualización para el software que no se indica específicamente como afectado en la tabla Clasificación de gravedad de vulnerabilidad y software afectado. ¿Por qué se me ofrece esta actualización?
Cuando las actualizaciones abordan el código vulnerable que existe en un componente que se comparte entre varios productos de Microsoft Office o que se comparten entre varias versiones del mismo producto de Microsoft Office, la actualización se considera aplicable a todos los productos y versiones admitidos que contienen el componente vulnerable.
Por ejemplo, cuando una actualización se aplica a los productos de Microsoft Office 2007, solo Microsoft Office 2007 puede aparecer específicamente en la tabla Software afectado. Sin embargo, la actualización podría aplicarse a Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer o cualquier otro producto de Microsoft Office 2007 que no aparezca específicamente en la tabla Software afectado. Además, cuando una actualización se aplica a los productos de Microsoft Office 2010, solo Microsoft Office 2010 puede aparecer específicamente en la tabla Software afectado. Sin embargo, la actualización podría aplicarse a Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer o cualquier otro producto de Microsoft Office 2010 que no aparezca específicamente en la tabla Software afectado.
Para obtener más información sobre este comportamiento y las acciones recomendadas, consulte el artículo de Microsoft Knowledge Base 830335. Para obtener una lista de los productos de Microsoft Office a los que se puede aplicar una actualización, consulte el artículo de Microsoft Knowledge Base asociado a la actualización específica.
¿Hay algún requisito previo para cualquiera de las actualizaciones que se ofrecen en este boletín para las ediciones afectadas de Microsoft Lync 2013 (Skype Empresarial)?
Sí. Los clientes que ejecutan ediciones afectadas de Microsoft Lync 2013 (Skype Empresarial) deben instalar primero la actualización de 2965218 para Office 2013 publicada en abril de 2015 y, a continuación, la actualización de seguridad de 3039779 publicada en mayo de 2015. Para obtener más información sobre estas dos actualizaciones de requisitos previos, consulte:
¿Hay actualizaciones relacionadas que no sean de seguridad que los clientes deben instalar junto con la actualización de seguridad de microsoft Live Meeting Console?
Sí, además de publicar una actualización de seguridad para microsoft Live Meeting Console, Microsoft ha publicado las siguientes actualizaciones que no son de seguridad para el complemento de conferencias OCS para Outlook. Si procede, Microsoft recomienda que los clientes instalen estas actualizaciones para mantener actualizados sus sistemas:
- Complemento de conferencias OCS para Outlook (3189648)
- Complemento de conferencias OCS para Outlook (3189648)
Consulte el artículo de Microsoft Knowledge Base 3189648 para obtener más información.
¿Por qué la actualización asistente de Lync 2010 (instalación de nivel de usuario) solo está disponible en el Centro de descarga de Microsoft?
Microsoft publica la actualización de Lync 2010 Attendee (instalación de nivel de usuario) solo en el Centro de descarga de Microsoft. Dado que la instalación de nivel de usuario del Asistente de Lync 2010 se controla a través de una sesión de Lync, los métodos de distribución como la actualización automática no son adecuados para este tipo de escenario de instalación.
Información de vulnerabilidad
Vulnerabilidad de RCE del componente gráficos de Windows: CVE-2016-3393
Existe una vulnerabilidad de ejecución remota de código debido a la forma en que el componente GDI de Windows controla los objetos en la memoria. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control del sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.
Hay varias maneras en que un atacante podría aprovechar esta vulnerabilidad:
- En un escenario de ataque basado en web, un atacante podría hospedar un sitio web diseñado especialmente diseñado para aprovechar esta vulnerabilidad y, a continuación, convencer a un usuario de ver el sitio web. Un atacante no tendría forma de forzar a los usuarios a ver el contenido controlado por el atacante. En su lugar, un atacante tendría que convencer a los usuarios de tomar medidas, normalmente obteniendo que hagan clic en un vínculo en un mensaje de correo electrónico o en un mensaje de Instant Messenger que lleve a los usuarios al sitio web del atacante, o abriendo un archivo adjunto enviado a través del correo electrónico.
- En un escenario de ataque de uso compartido de archivos, un atacante podría proporcionar un archivo de documento especialmente diseñado para aprovechar esta vulnerabilidad y, a continuación, convencer a un usuario de abrir el archivo de documento.
La actualización de seguridad soluciona la vulnerabilidad mediante la corrección del modo en que GDI de Windows controla los objetos en la memoria.
La tabla siguiente contiene un vínculo a la entrada estándar de la vulnerabilidad en la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de ejecución remota de código de GDI+ | CVE-2016-3393 | No | Sí |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Vulnerabilidad de ejecución remota de código de GDI+ : CVE-2016-3396
Existe una vulnerabilidad de ejecución remota de código cuando la biblioteca de fuentes de Windows controla incorrectamente las fuentes insertadas especialmente diseñadas. Un atacante que aprovecha correctamente esta vulnerabilidad podría tomar el control del sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.
Hay varias maneras en que un atacante podría aprovechar la vulnerabilidad:
- En un escenario de ataque basado en web, un atacante podría hospedar un sitio web diseñado especialmente diseñado para aprovechar la vulnerabilidad y, a continuación, convencer a los usuarios de ver el sitio web. Un atacante no tendría forma de forzar a los usuarios a ver el contenido controlado por el atacante. En su lugar, un atacante tendría que convencer a los usuarios de tomar medidas, normalmente obteniendo que hagan clic en un vínculo en un correo electrónico o mensaje de Instant Messenger que lleve a los usuarios al sitio web del atacante, o abriendo un archivo adjunto enviado a través del correo electrónico.
- En un escenario de ataque de uso compartido de archivos, un atacante podría proporcionar un archivo de documento especialmente diseñado para aprovechar la vulnerabilidad y, a continuación, convencer a los usuarios de abrir el archivo de documento. La actualización de seguridad soluciona la vulnerabilidad mediante la corrección del modo en que la biblioteca de fuentes de Windows controla las fuentes incrustadas.
En la tabla Clasificación de gravedad de software y vulnerabilidad afectada para Microsoft Office, el panel de vista previa es un vector de ataque para CVE-2016-3396. La actualización de seguridad soluciona la vulnerabilidad mediante la corrección del modo en que la biblioteca de fuentes de Windows controla las fuentes incrustadas.
La tabla siguiente contiene un vínculo a la entrada estándar de la vulnerabilidad en la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de ejecución remota de código de GDI+ | CVE-2016-3396 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Varias vulnerabilidades de divulgación de información de GDI+
Existen varias vulnerabilidades de divulgación de información en la forma en que la interfaz de dispositivo gráfico (GDI) de Windows controla los objetos en la memoria, lo que permite a un atacante recuperar información de un sistema de destino. Un atacante que aprovechara correctamente estas vulnerabilidades podría usar la información recuperada para eludir la selección aleatoria del diseño del espacio de direcciones (ASLR) en Windows, lo que ayuda a protegerse contra una amplia clase de vulnerabilidades. Por sí mismo, las divulgaciones de información no permiten la ejecución arbitraria del código; Sin embargo, podrían permitir que se ejecute código arbitrario si el atacante usa uno en combinación con otra vulnerabilidad, como una vulnerabilidad de ejecución remota de código, que puede aprovechar la elusión de ASLR.
Para aprovechar estas vulnerabilidades, un atacante tendría que iniciar sesión en un sistema afectado y ejecutar una aplicación especialmente diseñada.
La actualización de seguridad aborda las vulnerabilidades y ayuda a proteger la integridad de la característica de seguridad de ASLR mediante la corrección de cómo GDI controla las direcciones de memoria.
En la tabla siguiente se incluyen vínculos a la entrada estándar de las vulnerabilidades de la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de divulgación de información de GDI+ | CVE-2016-3209 | No | No |
| Vulnerabilidad de divulgación de información de GDI+ | CVE-2016-3262 | No | No |
| Vulnerabilidad de divulgación de información de GDI+ | CVE-2016-3263 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para estas vulnerabilidades.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para estas vulnerabilidades.
True Type Font Parsing Elevation of Privilegey Vulnerability - CVE-2016-7182
Existe una vulnerabilidad de elevación de privilegios cuando el componente de gráficos de Windows controla incorrectamente los objetos en la memoria. Un atacante que aprovecha correctamente esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos.
La actualización aborda la vulnerabilidad mediante la corrección de la forma en que el componente de gráficos de Microsoft controla los objetos en la memoria, lo que impide la elevación no deseada del modo de usuario.
La tabla siguiente contiene vínculos a la entrada estándar de la vulnerabilidad en la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| True Type Font Parsing Elevation of Privilege Vulnerability | CVE-2016-7182 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Vulnerabilidad de elevación de privilegios de Win32k: CVE-2016-3270
Existe una vulnerabilidad de elevación de privilegios en Windows cuando el kernel de Windows no puede controlar correctamente los objetos en la memoria. Un atacante que aprovechara correctamente esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos.
Para aprovechar esta vulnerabilidad, un atacante primero tendría que iniciar sesión en el sistema. Después, un atacante podría ejecutar una aplicación especialmente diseñada que podría aprovechar la vulnerabilidad y tomar el control de un sistema afectado.
La actualización soluciona esta vulnerabilidad mediante la corrección del modo en que el kernel de Windows controla los objetos en la memoria.
La tabla siguiente contiene vínculos a la entrada estándar de la vulnerabilidad en la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de elevación de privilegios win32K | CVE-2016-3270 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Implementación de actualizaciones de seguridad
Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.
Agradecimientos
Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
V1.0 (11 de octubre de 2016): Boletín publicado.
V1.1 (8 de noviembre de 2016): revise el boletín para anunciar un cambio de detección para solucionar un problema en la sustitución, específicamente en entornos de WSUS en los que varias actualizaciones aplicables a Windows 7 SP1 y Windows Server 2008 R2 SP1 se marcaron incorrectamente como reemplazadas. Solo se trata de un cambio de detección. No se han producido cambios en los archivos de actualización. Los clientes que ya han instalado correctamente la actualización no necesitan realizar ninguna acción.
V2.0 (13 de diciembre de 2016): el boletín revisado para anunciar las siguientes actualizaciones se han vuelto a publicar con un cambio de detección que soluciona un problema de sustitución que ciertos clientes experimentaron al intentar instalar las actualizaciones solo de seguridad de octubre.
- Solo actualización de seguridad 3192391 para todas las versiones compatibles de Windows 7 y Windows Server 2008 R2. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 3192391.
- Solo seguridad actualiza 3192393 para Windows Server 2012. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 3192393.
- Solo actualización de seguridad 3192392 para Windows 8.1 y Windows Server 2012 R2. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 3192392.
Solo se trata de cambios de detección. No se han producido cambios en los archivos de actualización. Los clientes que ya han instalado correctamente cualquiera de estas actualizaciones no necesitan realizar ninguna acción. Para obtener más información, consulte el artículo de Microsoft Knowledge Base para la actualización correspondiente.
Página generada 2017-02-08 09:03-08:00.