Microsoft ha publicado 10 actualizaciones de seguridad para corregir 33 vulnerabilidades en sistemas Microsoft Windows, Internet Explorer, Microsoft .NET Framework, Microsoft Lync, Microsoft Office, y Microsoft Windows Essentials. De las actualizaciones publicadas, dos son consideradas como de severidad crítica y se requiere su aplicación inmediata.
Las siguientes son las actualizaciones publicadas por Microsoft.
Severidad Crítica:
- MS13-037 – Actualización crítica de seguridad para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, e Internet Explorer 10 en sistemas cliente Windows. Se considera de severidad Moderada para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, e Internet Explorer 10 en sistemas servidor Windows. La actualización resuelve once vulnerabilidades en Internet Explorer. Las vulnerabilidades más graves podrían permitir la ejecución remota de código si un usuario visita usando Internet Explorer, una página web especialmente diseñada. Un atacante que aprovechara la más grave de estas vulnerabilidades podría obtener los mismos derechos de usuario que los del usuario actual. Los usuarios con cuentas configuradas con derechos mínimos en el sistema correrían un riesgo menor que aquellos que cuenten con cuentas con derechos administrativos.
- MS13-038 – Actualización crítica de seguridad para Internet Explorer 8 en sistemas cliente Windows; se considera de severidad Moderada para Internet Explorer 8 en los sistemas servidor Windows. Resuelve una vulnerabilidad en Internet Explorer que podría permitir la ejecución remota de código si un usuario visita usando Internet Explorer, una página web especialmente diseñada. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que los del usuario actual. Los usuarios con cuentas configuradas con derechos mínimos en el sistema correrían un riesgo menor que aquellos que cuenten con cuentas con derechos administrativos.
Severidad Importante:
- MS13-039 – Actualización de seguridad para las ediciones compatibles de Windows 8 y Windows Server 2012. Resuelve una vulnerabilidad en Microsoft Windows que podría permitir la denegación de servicio si un atacante envía un paquete HTTP especialmente diseñado a un sistema cliente o servidor Windows afectado.
- MS13-040 – Actualización de seguridad para Microsoft .NET Framework 2.0 Service Pack 2 , Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 y Microsoft .NET Framework 4.5 en ediciones afectadas de Microsoft Windows. Resuelve dos vulnerabilidades .NET Framework. La más grave de ellas podría permitir la suplantación de identidad si una aplicación .NET recibe un archivo XML especialmente diseñado. Un atacante que consiguiera aprovechar la vulnerabilidad podría modificar el contenido de un archivo XML sin invalidar la firma del archivo y acceder a las funciones del endpoint, como si fuera un usuario autenticado.
- MS13-041 – Actualización de seguridad para las ediciones compatibles de Microsoft Communicator 2007 R2, Microsoft Lync 2010, Microsoft Lync 2010 Attendee y Microsoft Lync Server 2013. Resuelve una vulnerabilidad en Microsoft Lync que podría permitir la ejecución remota de código si un atacante comparte contenido especialmente diseñado, como un archivo o programa, una presentación en Lync o Communicator, y convence a un usuario para ver o compartir el contenido presentable. El atacante no podría obligar a los usuarios a ver o compartir el archivo o programa controlado por el atacante, sino que tendría que persuadirlos para hacerlo, por ejemplo, mediante una invitación en Communicator o Lync para ver o compartir el contenido presentable.
- MS13-042 – Actualización de seguridad para las ediciones compatibles de Microsoft Publisher 2003, Microsoft Publisher 2007 y Microsoft Publisher 2010. Resuelve once vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Publisher especialmente diseñado con una versión afectada de Microsoft Publisher. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que los del usuario actual. Los usuarios cuyas cuentas estén configuradas con derechos mínimos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativo.
- MS13-043 – Actualización de seguridad para Microsoft Word 2003 y Microsoft Word Viewer. Resuelve una vulnerabilidad que podría permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado o previsualiza un mensaje de correo electrónico especialmente diseñado, con una versión afectada del software de Microsoft Office. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que los del usuario actual. Los usuarios cuyas cuentas estén configuradas con derechos mínimos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativo.
- MS13-044 – Actualización de seguridad para todas las ediciones compatibles de Microsoft Visio 2003, Microsoft Visio 2007 y Microsoft Visio 2010. Resuelve una vulnerabilidad en Microsoft Office, que podría permitir la divulgación de información si un usuario abre un archivo de Visio especialmente diseñado. La vulnerabilidad no permitiría a los atacantes ejecutar código o elevar sus derechos de usuario, pero podría ser utilizado para producir información que podría utilizarse para tratar de comprometer más la seguridad del sistema afectado.
- MS13-045 – Actualización de seguridad para Windows Writer cuando está instalado en todas las ediciones compatibles de Microsoft Windows. Resuelve una vulnerabilidad en Windows Essentials que podría permitir la divulgación de información si un usuario abre Windows Writer utilizando una URL especialmente diseñada. El atacante que aprovechara esta vulnerabilidad podría anular la configuración de proxy de Windows Writer y sobrescribir los archivos accesibles al usuario en el sistema de destino. En caso de un ataque basado en web, un sitio web podría contener un enlace especialmente diseñado para aprovechar esta vulnerabilidad. El atacante tendría que persuadir a los usuarios a visitar el sitio web y hacer click en dicho enlace.
- MS13-046 – Actualización de seguridad para todas las ediciones compatibles de Windows XP, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 y Windows RT. Resuelve tres vulnerabilidades en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. El atacante debe tener credenciales de inicio de sesión válidas y ser capaz de iniciar sesión localmente para explotar las vulnerabilidades.
Para más información consulte el Resumen del Boletín de Seguridad de Microsoft de Mayo 2013.
Microsoft publica también una versión actualizada de la Herramienta de Eliminación de Software Malintencionado de Microsoft Windows para eliminar software malintencionado específico en equipos que ejecutan Windows 8, Windows Server 2012, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 y Windows XP. Después de la descarga de la herramienta, ésta se ejecuta una vez para comprobar si el equipo está infectado por algún software malintencionado frecuente (como Blaster, Sasser o Mydoom) y ayuda a eliminar las infecciones encontradas.
Las actualizaciones de seguridad publicadas por Microsoft pueden ser aplicadas vía Windows Update o directamente desde cada página web de la actualización. Es recomendable aplicar de inmediato las actualizaciones de severidad crítica. Los administradores de sistemas de las organizaciones deben realizar antes alguna prueba del impacto de la actualización en aplicaciones internas y en la continuidad de la red.