Como en las demás ocasiones, tenemos las actualizaciones, a través de este enlace:
Esta actualización de seguridad resuelve catorce vulnerabilidades de las
que se ha informado de forma privada en Internet Explorer. La más grave
de estas vulnerabilidades podría permitir la ejecución remota de código
si un usuario, mediante Internet Explorer, visita una página web
especialmente diseñada. Un intruso que aprovechara estas
vulnerabilidades podría conseguir el mismo nivel de derechos de usuario
que el usuario actual. Los clientes cuyas cuentas estén configuradas con
menos derechos de usuario en el sistema correrían un riesgo menor que
los que cuenten con derechos de usuario administrativos.
MS14-057 Vulnerabilidades en .NET Framework podrían permitir la ejecución remota de código (3000414)
Esta
actualización de seguridad resuelve tres vulnerabilidades de las que se
ha informado de forma privada en Microsoft .NET Framework. La más grave
de estas vulnerabilidades podría permitir la ejecución remota de código
si un atacante envía un URI especialmente diseñado que contenga
caracteres internacionales a una aplicación web .NET. En aplicaciones
.NET 4.0, la funcionalidad vulnerable (iriParsing) está deshabilitada de
forma predeterminada; para que la vulnerabilidad se pueda aprovechar,
una aplicación debe habilitar esta funcionalidad explícitamente. En
aplicaciones .NET 4.5, iriParsing está habilitado de forma
predeterminada y no se puede deshabilitar.
Esta actualización de seguridad resuelve dos vulnerabilidades de las que
se ha informado de forma privada en Microsoft Windows. La más grave de
estas vulnerabilidades podría permitir la ejecución remota de código si
un atacante convence a un usuario para que abra un documento
especialmente diseñado o para que visite un sitio web que no es de
confianza y que contenga fuentes TrueType insertadas. Sin embargo, el
atacante no podría en ningún caso obligar a los usuarios a realizar
estas acciones. En su lugar, el atacante tendría que convencer a los
usuarios de que lo hagan, normalmente haciendo que hagan clic en un
vínculo en un mensaje de correo electrónico o de Instant Messenger.
Esta actualización de seguridad resuelve una vulnerabilidad de la que se
ha informado de forma pública en ASP.NET MVC. La vulnerabilidad podría
permitir la omisión de la característica de seguridad si un atacante
convence a un usuario para que haga clic en un vínculo especialmente
diseñado o visite una página web que incluye contenido especialmente
diseñado para aprovechar la vulnerabilidad. En un escenario de ataque
web, el atacante podría hospedar un sitio web especialmente diseñado
para aprovechar la vulnerabilidad mediante un explorador web y convencer
a un usuario para que visite el sitio web. El atacante también podría
aprovechar sitios web vulnerables y sitios web que aceptan o reciben
contenido o anuncios proporcionados por el usuario. Estos sitios web
podrían incluir contenido malintencionado a través del cual se podría
aprovechar la vulnerabilidad. No obstante, el atacante no podría en
ningún caso obligar a los usuarios a ver el contenido controlado por el
atacante. En su lugar, tendría que convencerlos para que realizaran
alguna acción, normalmente incitándoles a que hagan clic en un vínculo
de un mensaje de correo electrónico o de Instant Messenger que los lleve
al sitio web del atacante o a que abran datos adjuntos enviados por
correo electrónico.
MS14-060 - Una vulnerabilidad en Windows OLE podría permitir la ejecución remota de código (3000869)
Esta actualización de seguridad crítica resuelve una vulnerabilidad de
la que se ha informado de forma privada en Microsoft Windows. La
vulnerabilidad podría permitir la ejecución remota de código si un
usuario abre un archivo de Microsoft Office que contiene un objeto OLE
especialmente diseñado. Un atacante que consiguiera aprovechar esta
vulnerabilidad podría ejecutar código arbitrario en el contexto del
usuario actual. Si el usuario actual inicia sesión con derechos de
administrador, el atacante podría instalar programas; ver, cambiar o
eliminar datos; o crear cuentas nuevas con todos los derechos de
usuario. Los clientes cuyas cuentas estén configuradas con menos
derechos de usuario en el sistema correrían un riesgo menor que los que
cuenten con derechos de usuario administrativos.
Esta actualización de seguridad resuelve una vulnerabilidad de la que se
ha informado de forma privada en Microsoft Office. La vulnerabilidad
podría permitir la ejecución remota de código si un atacante convence a
un usuario para que abra un archivo de Microsoft Word especialmente
diseñado. Un atacante que aprovechara la vulnerabilidad podría conseguir
el mismo nivel de derechos de usuario que el usuario actual. Si el
usuario actual inicia sesión con derechos de administrador, el atacante
podría instalar programas; ver, cambiar o eliminar datos; o crear
cuentas nuevas con todos los derechos de usuario. Los clientes cuyas
cuentas estén configuradas con menos derechos de usuario en el sistema
correrían un riesgo menor que los que cuenten con derechos de usuario
administrativos.
Esta actualización de seguridad resuelve una vulnerabilidad que se ha
divulgado públicamente en Microsoft Windows. La vulnerabilidad podría
permitir la elevación de privilegios si un atacante envía una solicitud
de control entrada/salida (IOCTL) especialmente diseñada al servicio de
Message Queue Server. Si se aprovecha esta vulnerabilidad, se podría
obtener acceso completo al sistema afectado. De forma predeterminada, el
componente Message Queue Server no se instala en ninguna edición de
sistema operativo afectada y sólo lo puede habilitar un usuario con
privilegios administrativos. Sólo los clientes que habiliten manualmente
el componente Message Queue Server pueden ser vulnerables a este
problema.
Esta actualización de seguridad crítica resuelve una vulnerabilidad de
la que se ha informado de forma privada en Microsoft Windows. Existe una
vulnerabilidad de elevación de privilegios en la forma en que el
controlador del sistema FASTFAT de Windows interactúa con las
particiones de disco FAT32. Un atacante que consiguiera aprovechar esta
vulnerabilidad podría ejecutar código arbitrario con privilegios
elevados.
No hay comentarios:
Publicar un comentario