Hola, les escribe Roberto Arbeláez.

 

Microsoft publica los siguientes ocho nuevos boletines de seguridad para vulnerabilidades recientemente descubiertas:

 

ID del boletín

Título del boletín

Clasificación de gravedad máxima

Impacto de la vulnerabilidad

Requisito de reinicio

Software afectado

MS11-075

La vulnerabilidad en la Accesibilidad activa de Microsoft podría permitir la ejecución remota de código (2623699)

Importante

Ejecución remota de código

Requiere reinicio

Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

MS11-076

La vulnerabilidad en Windows Media Center podría permitir la ejecución remota de código (2604926)

Importante

Ejecución remota de código

Puede requerir reinicio

Microsoft Windows Vista, Windows 7 y Windows Media Center TV Pack para Windows Vista.

MS11-077

Las vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la ejecución remota de código (2567053)

Importante

Ejecución remota de código

Requiere reinicio

Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

MS11-078

La vulnerabilidad en .NET Framework y Microsoft Silverlight podría permitir la ejecución remota de código (2604930)

Crítico

Ejecución remota de código

Puede requerir reinicio

Microsoft .NET Framework en Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2;

Microsoft Silverlight 4.

MS11-079

Las vulnerabilidades en Microsoft Forefront Unified Access Gateway podrían permitir la ejecución remota de código (2544641)

Importante

Ejecución remota de código

Puede requerir reinicio

Microsoft Forefront Unified Access Gateway 2010.

MS11-080

La vulnerabilidad en el controlador de función auxiliar podría permitir la elevación de privilegios (2592799)

Importante

Elevación de privilegios

Requiere reinicio

Microsoft Windows XP y Windows Server 2003.

MS11-081

Actualización de seguridad acumulativa para Internet Explorer (2586448)

Crítico

Ejecución remota de código

Requiere reinicio

Internet Explorer en Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

MS11-082

Las vulnerabilidades en el servidor de integración de anfitriones podrían permitir la denegación de servicio (2607670)

Importante

Denegación de servicio

Puede requerir reinicio

Microsoft Host Integration Server 2004, Host Integration Server 2006, Host Integration Server 2009 y Host Integration Server 2010.

La lista del software afectado de la tabla de resumen es un abstracto. Para ver la lista completa de componentes afectados, por favor visite el boletín del vínculo que se proporciona, y revise la sección "Software afectado".

 

Los resúmenes de los boletines nuevos se pueden encontrar en http://technet.microsoft.com/security/bulletin/ms11-oct.

 

Herramienta de eliminación de software malintencionado de Microsoft Windows

Microsoft lanzará una versión actualizada de la Herramienta de eliminación de software malintencionado de Microsoft Windows en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descarga. La información sobre la Herramienta de eliminación de software malintencionado de Microsoft Windows está disponible en http://support.microsoft.com/?kbid=890830.

 

Actualizaciones de alta prioridad no relacionadas con la seguridad

Las liberaciones de Microsoft de actualizaciones de alta prioridad no relacionadas con la seguridad que estarán disponibles en Microsoft Update (MU), Windows Update (WU), o Windows Server Update Services (WSUS) se detallarán en el artículo de la KB que se encuentra en http://support.microsoft.com/?id=894199.

 

Webcast del boletín público

Microsoft ofrecerá un Webcast para responder a todas las preguntas de los clientes sobre estos boletines:

Título: Información sobre los Boletines de seguridad de octubre de Microsoft (Nivel 200)

Fecha: Jueves 13 de octubre del 2011, 10:00 A.M. UTC – 05 (Bogotá, Lima, Quito)

URL: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032490364&Culture=es-AR  

Detalles técnicos del nuevo boletín de seguridad

 

En las siguientes tablas del software afectado y no afectado, las ediciones de software que no se incluyen en la lista superaron su ciclo de vida de soporte. Para determinar el ciclo de vida de soporte de su producto y edición, visite el sitio Web Ciclo de vida de soporte de Microsoft en http://support.microsoft.com/lifecycle/.

 

Identificador de boletín

Boletín de seguridad de Microsoft MS11-075

Título del boletín

La vulnerabilidad en la Accesibilidad activa de Microsoft podría permitir la ejecución remota de código (2623699)

Resumen ejecutivo

Esta actualización de seguridad atiende una vulnerabilidad que se informó de forma privada en el componente Accesibilidad activa de Microsoft. La vulnerabilidad podría permitir la ejecución remota de código en caso de que el atacante convenciera al usuario de abrir un archivo legítimo que se encuentra en el mismo directorio de red que el archivo de biblioteca (DLL) del vínculo dinámico especialmente diseñado. Entonces, mientras abre el archivo legítimo, el componente Accesibilidad activa de Microsoft podría intentar cargar el archivo DLL y ejecutar cualquier código que contenga.

 

La actualización de seguridad atiende la vulnerabilidad al corregir la manera en que el componente Accesibilidad activa de Microsoft carga las bibliotecas externas.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Importante en el caso de todas las liberaciones con soporte de Microsoft Windows.

Vectores de ataque

·         Un archivo DLL diseñado malintencionadamente.

·         Un recurso compartido de archivo o ubicación WebDAV creados malintencionadamente.

Factores de mitigación

·         Para que el ataque sea exitoso, el usuario debe visitar una ubicación de sistema de archivo remoto no confiable o recurso compartido WebDAV y abrir un documento desde esta ubicación el cuál posteriormente carga una aplicación vulnerable.

·         SMB por lo general está deshabilitado en el firewall de perímetro.

·         La explotación sólo consigue los mismos derechos de usuario que los de la cuenta registrada.

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados con esta actualización

Ninguno

Detalles completos

http://technet.microsoft.com/security/bulletin/MS11-075

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS11-076

Título del boletín

La vulnerabilidad en Windows Media Center podría permitir la ejecución remota de código (2604926)

Resumen ejecutivo

Esta actualización de seguridad atiende una vulnerabilidad que se reveló de forma pública en Windows Media Center. La vulnerabilidad podría permitir la ejecución remota de código en caso de que el atacante convenciera al usuario de abrir un archivo legítimo que se encuentra en el mismo directorio de red que el archivo de biblioteca (DLL) del vínculo dinámico especialmente diseñado. Entonces, mientras abre el archivo legítimo, Windows Media Center podría intentar cargar el archivo DLL y ejecutar cualquier código que contenga.

 

La actualización de seguridad atiende la vulnerabilidad al corregir la manera en que Windows Media Center carga las bibliotecas externas.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Importante en el caso de todas las ediciones con soporte de Windows Vista y Windows 7; y Windows Media Center TV Pack para Windows Vista.

Vectores de ataque

·         Un archivo DLL diseñado malintencionadamente.

·         Un recurso compartido de archivo o ubicación WebDAV creados malintencionadamente.

Factores de mitigación

·         Para que el ataque sea exitoso, el usuario debe visitar una ubicación de sistema de archivo remoto no confiable o recurso compartido WebDAV y abrir un archivo legítimo.

·         SMB por lo general está deshabilitado en el firewall de perímetro.

·         La explotación sólo consigue los mismos derechos de usuario que los de la cuenta registrada.

Requisito de reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados con esta actualización

Ninguno

Detalles completos

http://technet.microsoft.com/security/bulletin/MS11-076

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS11-077

Título del boletín

Las vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la ejecución remota de código (2567053)

Resumen ejecutivo

Esta actualización de seguridad resuelve cuatro vulnerabilidades informadas de forma privada en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código en caso de que un usuario abriera un archivo de fuente (como un archivo .fon) especialmente diseñado en un recurso compartido de red, una ubicación UNC o WebDAV, o un archivo adjunto de un correo electrónico.

 

La actualización de seguridad atiende las vulnerabilidades al corregir la forma en que los controladores en modo kernel de Windows validan la entrada que pasa desde el modo de usuario, manejan el tipo de fuente TrueType, asignan el tamaño de búfer adecuado antes de escribir en la memoria, y administran los objetos del controlador en modo kernel.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Importante en el caso de todas las liberaciones con soporte de Microsoft Windows.

Vectores de ataque

Para CVE-2011-2003

·         Un archivo de fuente especialmente diseñado.
(como un archivo .fon)

Para CVE-2011-2011 y CVE-2011-1985

·         Una aplicación diseñada malintencionadamente.

·         Una secuencia de comandos diseñada malintencionadamente.

Para CVE-2011-2002

·         Archivos de fuente TrueType especialmente diseñados alojados en un archivo de red o en un recurso compartido WebDAV.

Factores de mitigación

Para CVE-2011-2003

·         El usuario debe visitar una ubicación de sistema de archivo remoto no confiable o recurso compartido WebDAV y abrir un archivo de fuente especialmente diseñado, o abrir el archivo como un archivo adjunto de correo electrónico.

·         SMB por lo general está deshabilitado en el firewall de perímetro.

Para CVE-2011-2011 y CVE-2011-1985

·         El atacante debe contar con credenciales válidas de inicio de sesión y poder iniciar sesión localmente para explotar esta vulnerabilidad.

Para CVE-2011-2002

·         Se tendrá que persuadir a los usuarios para que no visiten los sitios Web maliciosos.

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados con esta actualización

MS11-054

Detalles completos

http://technet.microsoft.com/security/bulletin/MS11-077

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS11-078

Título del boletín

La vulnerabilidad en .NET Framework y Microsoft Silverlight podría permitir la ejecución remota de código (2604930)

Resumen ejecutivo

Esta actualización de seguridad atiende una vulnerabilidad que se informó de forma privada en Microsoft .NET Framework y Microsoft Silverlight. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente en caso de que el usuario viera una página Web especialmente diseñada utilizando un explorador Web que puede ejecutar Aplicaciones de explorador XAML (XBAPs) o Silverlight. La vulnerabilidad también podría permitir la ejecución remota de código en un sistema de servidor que ejecuta IIS, en caso de que ese servidor permitiera el procesamiento de páginas ASP.NET y el atacante consiguiera cargar una página ASP.NET especialmente diseñada en ese servidor y posteriormente ejecutara la página, como podría ser el caso en un escenario de alojamiento Web. Windows. NET también podría utilizar esta vulnerabilidad para eludir las restricciones de la Seguridad de acceso a código (CAS).

 

La actualización de seguridad atiende la vulnerabilidad al corregir la manera en que .NET Framework restringe la herencia dentro de las clases.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Crítica en el caso de Microsoft .NET Framework 1.0 Service Pack 3, Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5.1 y Microsoft .NET Framework 4 en todas las ediciones con soporte de Microsoft Windows; y Microsoft Silverlight 4.

Vectores de ataque

·         Un sitio Web que contiene una aplicación de explorador XAML diseñada especialmente.

·         Una aplicación de explorador XAML diseñada especialmente.

·         Un entorno de alojamiento Web permite que los usuarios carguen aplicaciones ASP.NET personalizadas.

Factores de mitigación

·         Se tendrá que persuadir a los usuarios para que no visiten los sitios Web maliciosos.

·         Por predeterminación, IE en Windows 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido.

·         La explotación sólo consigue los mismos derechos de usuario que los de la cuenta del usuario local o de ASP.NET. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos impactados que los usuarios que operan con derechos de usuario administrativo.

·         En un escenario de alojamiento Web, el atacante debe tener permiso para cargar arbitraria páginas ASP.NET arbitrarias en un sitio Web y ASP.NET debe estar instalado en ese servidor Web.

Requisito de reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados con esta actualización

MS09-061, MS10-060 y MS10-070

Detalles completos

http://technet.microsoft.com/security/bulletin/MS11-078

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS11-079

Título del boletín

Las vulnerabilidades en Microsoft Forefront Unified Access Gateway podrían permitir la ejecución remota de código (2544641)

Resumen ejecutivo

Esta actualización de seguridad atiende cinco vulnerabilidades que se informaron de forma privada en Microsoft Forefront Unified Access Gateway (UAG). La más grave de estas vulnerabilidades podría permitir la ejecución remota de código en caso de que el usuario visitara un sitio Web afectado utilizando una dirección URL diseñada especialmente. Sin embargo, el atacante no tendría forma de obligar al usuario a visitar dicho sitio Web.

 

La actualización de seguridad atiende las vulnerabilidades al modificar la forma en que UAG maneja las solicitudes especialmente diseñadas, al modificar el archivo MicrosoftClient.JAR y agregar el manejo de excepciones en torno al valor nulo del servidor Web de UAG.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Importante en el caso de todas las versiones con soporte de Microsoft Forefront Unified Access Gateway 2010.

Vectores de ataque

·         Una página Web diseñada malintencionadamente.

·         Un vínculo diseñado malintencionadamente en un mensaje de correo electrónico o en un sitio Web.

·         Una secuencia de comandos diseñada malintencionadamente.

·         Paquetes de red diseñados malintencionadamente para CVE-2011-2012.

Factores de mitigación

Para CVE-2011-1969

·         Se tendrá que persuadir a los usuarios para que no visiten los sitios Web maliciosos.

·         La explotación sólo consigue los mismos derechos de usuario que los de la cuenta registrada.

Para CVE-2011-1895, CVE-2011-1896 y CVE-2011-1897

·         Se tendría que persuadir a los usuarios para que abrieran una dirección URL especialmente diseñada desde una página Web, correo electrónico o IM.

·         Microsoft no ha identificado mitigación alguna para CVE-2011-2012.

Requisito de reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados con esta actualización

Ninguno

Detalles completos

http://technet.microsoft.com/security/bulletin/MS11-079

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS11-080

Título del boletín

La vulnerabilidad en el controlador de función auxiliar podría permitir la elevación de privilegios (2592799)

Resumen ejecutivo

Esta actualización de seguridad atiende una vulnerabilidad que se informó de forma privada en el Controlador de función auxiliar (AFD) de Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios en caso de que el atacante iniciara sesión en el sistema de un usuario y ejecutara una aplicación diseñada especialmente.

 

La actualización de seguridad atiende la vulnerabilidad al corregir la manera en que el Controlador de función auxiliar (AFD) valida la entrada antes de pasar la entrada desde el modo de usuario al kernel de Windows.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Importante en el caso de todas las ediciones con soporte de Windows XP y Windows Server 2003.

Vectores de ataque

·         Una aplicación diseñada malintencionadamente.

·         Una secuencia de comandos diseñada malintencionadamente.

Factores de mitigación

·         El atacante debe contar con credenciales válidas de inicio de sesión y poder iniciar sesión localmente para explotar la vulnerabilidad.

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados con esta actualización

MS11-046

Detalles completos

http://technet.microsoft.com/security/bulletin/MS11-080

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS11-081

Título del boletín

Actualización de seguridad acumulativa para Internet Explorer (2586448)

Resumen ejecutivo

Esta actualización de seguridad atiende ocho vulnerabilidades que se informaron de forma privada en Internet Explorer. Las vulnerabilidades más graves podrían permitir la ejecución remota de código en caso de que un usuario vea una página Web diseñada especialmente utilizando Internet Explorer.

 

La actualización atiende las vulnerabilidades al modificar la forma en que Internet Explorer maneja los objetos en la memoria y la forma en que Internet Explorer asigna y accede a la memoria.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Crítica en el caso de Internet Explorer en los clientes Windows, y como Moderada en el caso de Internet Explorer en los servidores Windows.

Vectores de ataque

·         Una página Web diseñada malintencionadamente.

·         Un correo electrónico HTML diseñado malintencionadamente.

·         Una secuencia de comandos diseñada malintencionadamente.

Factores de mitigación

·         Se tendrá que persuadir a los usuarios para que no visiten los sitios Web maliciosos.

·         Por predeterminación, todas las versiones de Outlook, Outlook Express y Windows Mail abren mensajes de correo electrónico HTML en la zona Sitios restringidos.

·         Por predeterminación, IE en Windows 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido.

·         El atacante que explote con éxito cualquiera de estas vulnerabilidades podrá conseguir los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos impactados que los usuarios que operan con derechos de usuario administrativo.

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados con esta actualización

MS11-057

Detalles completos

http://technet.microsoft.com/security/bulletin/MS11-081

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS11-082

Título del boletín

Las vulnerabilidades en el servidor de integración de anfitriones podrían permitir la denegación de servicio (2607670)

Resumen ejecutivo

Esta actualización de seguridad atiende dos vulnerabilidades que se informaron de forma pública en el Servidor de integración de anfitriones. Las vulnerabilidades podrían permitir la denegación de servicio en caso de que un atacante remoto enviara paquetes de red especialmente diseñados a un Servidor de integración de anfitriones que se escucha en el puerto 1478 UDP o en los puertos 1477 y 1478 TCP.

 

La actualización de seguridad atiende las vulnerabilidades al modificar la forma en que el Servidor de integración de anfitriones maneja los paquetes UDP y TCP especialmente diseñados.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Importante en el caso de todas las ediciones con soporte de Microsoft Host Integration Server 2004, Microsoft Host Integration Server 2006, Microsoft Host Integration Server 2009 y Microsoft Host Integration Server 2010.

Vectores de ataque

·         Se envían paquetes de red diseñados malintencionadamente a un Servidor de integración de anfitriones que se escucha en el puerto 1478 UDP o en los puertos 1477 y 1478 TCP.

Factores de mitigación

·         Las mejores prácticas del firewall y las configuraciones estándar del firewall predeterminado pueden ayudar a proteger la red contra los ataques que se originan fuera del perímetro de la empresa.

·         Las mejores prácticas recomiendan que los sistemas conectados a Internet tengan un número mínimo de puertos expuestos. En este caso, los puertos del Servidor de integración de anfitriones se debe bloquear para Internet.

Requisito de reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados con esta actualización

Ninguno

Detalles completos

http://technet.microsoft.com/security/bulletin/MS11-082

 

Como siempre, si tiene problemas al bajar o instalar una de las actualizaciones, o problemas después de instalar una actualización, tiene derecho a recibir soporte gratuito de seguridad Microsoft. el soporte lo pueden obtener aqui:

–Para usuario final: http://www.microsoft.com/latam/protect/support/default.mspx

–Para usuario corporativo: http://support.microsoft.com/default.aspx?ln=ES-LA

–Teléfonos de las líneas de soporte en Latinoamérica: http://support.microsoft.com/gp/contactusen/?ln=es-la

es importante que tenga en cuenta que el soporte gratuito de seguridad también aplica para cualquier caso de seguridad y de malware (virus, troyanos, gusanos, etc.) sin importar que marca de antivirus use. Así que si ha sido afectado (o sospecha que han sido afectado) por un ataque de seguridad o por malware, no vacile en contactarnos. Nuestros ingenieros de soporte harán la investigación respectiva para determinar si el caso es o no un problema de seguridad y/o de malware, y en caso afirmativo, le darán pronta solución al problema.

También quiero aprovechar para exterder una invitación para que nos sigan en twitter en los siguientes alias:

@LATAMSRC Información OFICIAL de Microsoft sobre alertas de seguridad, advisories, y boletines. Bajo volumen de twits (cuando se emitan alertas). En español.

@rarbelaez Información general de Seguridad. Alto volumen de twits. En español e inglés.

Saludos,

Roberto Arbeláez

Security Program Manager for Latin America

CSS Security

Microsoft Corp.