Microsoft ha publicado 7 actualizaciones de seguridad para corregir 34 vulnerabilidades en sistemas Microsoft Windows, Microsoft .NET Framework, Microsoft Silverlight, Microsoft Office, Microsoft Visual Studio, Microsoft Lync, Internet Explorer, y Microsoft Security Software. De las actualizaciones publicadas, 6 son consideradas como de severidad crítica y se requiere su aplicación inmediata.
Las siguientes son las actualizaciones publicadas por Microsoft.
Severidad Crítica:
- MS13-052 – Actualización crítica de seguridad para Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, y Microsoft .NET Framework 4.5 en las ediciones afectadas de Microsoft Windows. Se considera de severidad Importante para Microsoft .NET Framework 1.0 Service Pack 3, Microsoft .NET Framework 1.1 Service Pack 1, y .NET Framework 3.5 Service Pack 1. La actualización también se considera Importante para las ediciones afectadas de Microsoft Silverlight 5. Resuelve 7 vulnerabilidades en Microsoft. NET Framework y Microsoft Silverlight. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si una aplicación de confianza utiliza un patrón particular de código. Un atacante que aproveche esta vulnerabilidad podría obtener los mismos derechos de usuario que los del usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con derechos mínimos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativo.
- MS13-053 – Actualización crítica de seguridad para todas las versiones compatibles de Microsoft Windows. Resuelve 8 vulnerabilidades en Microsoft Windows. La vulnerabilidad más grave podría permitir la ejecución remota de código si un usuario ve contenido compartido que incorpora archivos de fuentes TrueType. El atacante que aproveche esta vulnerabilidad podría lograr el control completo del sistema afectado.
- MS13-054 – Actualización crítica de seguridad para todas las versiones compatibles de Microsoft Windows y ediciones afectadas de Microsoft Lync 2010 y Microsoft Lync 2013. Se considera de severidad Importante para las versiones afectadas de Microsoft Office y ediciones compatibles de Microsoft Visual Studio. NET 2003. Resuelve una vulnerabilidad en Microsoft Windows, Microsoft Office, Microsoft Lync y Microsoft Visual Studio. La vulnerabilidad podría permitir la ejecución remota de código si un usuario ve contenido compartido que incorpora archivos de fuentes TrueType.
- MS13-055 – Actualización crítica de seguridad para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, e Internet Explorer 10 en sistemas cliente Windows; y de severidad Moderada para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, e Internet Explorer 10 en sistemas servidor Windows. Resuelve 17 vulnerabilidades en Internet Explorer. Las vulnerabilidades más graves podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada, usando Internet Explorer. El atacante que aproveche la más grave de estas vulnerabilidades podría obtener los mismos derechos de usuario que los del usuario actual. Los usuarios cuyas cuentas estén configuradas con derechos mínimos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativo.
- MS13-056 – Actualización crítica de seguridad para todas las ediciones compatibles de Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 (excepto las ediciones basadas en Itanium), Windows 7, Windows Server 2008 R2 (excepto las ediciones basadas en Itanium), Windows 8 y Windows Server 2012. Resuelve una vulnerabilidad en Microsoft Windows que podría permitir la ejecución remota de código si un usuario abre un archivo de imagen especialmente diseñado. El atacante que aproveche esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el del usuario local. Los usuarios cuyas cuentas estén configuradas con derechos mínimos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativo.
- MS13-057 – Actualización crítica de seguridad para todas las versiones compatibles de Windows, excepto las ediciones basadas en Itanium compatibles de sistemas servidor de Windows. Resuelve una vulnerabilidad en Microsoft Windows que podría permitir la ejecución remota de código si un usuario abre un archivo multimedia especialmente diseñado. El atacante que aproveche esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el del usuario local. Los usuarios cuyas cuentas estén configuradas con derechos mínimos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativo.
Severidad Importante:
- MS13-058 – Actualización de seguridad para Windows Defender para Windows 7 y Windows Server 2008 R2. Resuelve una vulnerabilidad en Windows Defender para Windows 7 y en Windows Defender cuando se instala en Windows Server 2008 R2. La vulnerabilidad podría permitir la elevación de privilegios debido a los nombres de las rutas utilizadas por Windows Defender. El atacante que aproveche esta vulnerabilidad podría ejecutar código arbitrario y tomar el control completo del sistema afectado. El atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos totales de usuario. El atacante debe tener credenciales válidas de inicio de sesión para aprovechar esta vulnerabilidad. La vulnerabilidad no puede ser explotada por usuarios anónimos.
Microsoft publica también una versión actualizada de la Herramienta de Eliminación de Software Malintencionado de Microsoft Windows para eliminar software malintencionado específico en equipos que ejecutan Windows 8, Windows Server 2012, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 y Windows XP. Después de la descarga de la herramienta, ésta se ejecuta una vez para comprobar si el equipo está infectado por algún software malintencionado frecuente (como Blaster, Sasser o Mydoom) y ayuda a eliminar las infecciones encontradas.
Las actualizaciones de seguridad publicadas por Microsoft pueden ser aplicadas vía Windows Update o directamente desde cada página web de la actualización. Es recomendable aplicar de inmediato las actualizaciones de severidad crítica. Los administradores de sistemas de las organizaciones deben realizar antes alguna prueba del impacto de la actualización en aplicaciones internas y en la continuidad de la red. [Resumen del Boletín de Seguridad de Microsoft de Julio 2013.]