Boletines de seguridad de Microsoft - Mayo 2014

Estas son:

Vulnerabilidades en Microsoft SharePoint Server podrían permitir la ejecución remota de código (2952166)
Esta actualización de seguridad resuelve varias vulnerabilidades de las que se ha informado de forma privada en el software de servidor y productividad de Microsoft Office. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante autenticado envía contenido de página especialmente diseñado a un servidor de SharePoint de destino.

Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (2961037)
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Office que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

Una vulnerabilidad en un control común de Microsoft podría permitir la omisión de característica de seguridad (2961033)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en la biblioteca de controles comunes MSCOMCTL. La vulnerabilidad podría permitir la omisión de la característica de seguridad si un usuario consulta una página web especialmente diseñado en un explorador web que pueda ejecutar componentes COM, como Internet Explorer. En un escenario de ataque de exploración web, un atacante que aprovechara esta vulnerabilidad podría omitir la característica de seguridad de selección aleatoria del diseño del espacio de direcciones (ASLR), que contribuye a proteger a los usuarios de una amplia gama de vulnerabilidades. La omisión de la característica de seguridad en sí misma no permite la ejecución de código arbitrario. No obstante, un atacante podría usar esta vulnerabilidad de omisión de ASLR conjuntamente con otra vulnerabilidad, como la de ejecución remota de código, que pudiera aprovechar la omisión de ASLR para ejecutar código arbitrario.

Una vulnerabilidad en las preferencias de directiva de grupo podría permitir la elevación de privilegios (2962486)
Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si las preferencias de directiva de grupo de Active Directory se usan para distribuir contraseñas por el dominio, una práctica que podría permitir que un atacante recuperara y descifrara la contraseña almacenada con las preferencias de directiva de grupo.

Una vulnerabilidad en .NET Framework podría permitir la elevación de privilegios (2958732)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft .NET Framework. La vulnerabilidad podría permitir la elevación de privilegios si un usuario no autenticado envía datos especialmente diseñados a una estación de trabajo o a un servidor afectado que use .NET Remoting. .NET Remoting no se usa ampliamente en las aplicaciones, solo las personalizadas que se hayan diseñado específicamente para usar .NET Remoting expondrían un sistema a la vulnerabilidad.

Una vulnerabilidad en el controlador del shell de Windows podría permitir la elevación de privilegios (2962488)
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante ejecuta una aplicación especialmente diseñada que use ShellExecute. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.

Una vulnerabilidad en iSCSI podría permitir la denegación de servicio (2962485)
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la denegación de servicio si un atacante envía grandes cantidades de paquetes iSCSI especialmente diseñados a través de la red de destino. Esta vulnerabilidad solo afecta a los servidores para los que se ha habilitado el rol de destino iSCSI.

Actualización de seguridad para Internet Explorer (2962482)
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

No hay comentarios: