Hola, les escribe Roberto Arbeláez

Microsoft liberó los siguientes cuatro nuevos boletines de seguridad para vulnerabilidades recientemente descubiertas:

 

ID del boletín

Título del boletín

Clasificación de gravedad máxima

Impacto de la vulnerabilidad

Requisito de reinicio

Software afectado

MS11-083

La vulnerabilidad en TCP/IP podría permitir la ejecución remota de código (2588516)

Crítico

Ejecución remota de código

Requiere reinicio

Microsoft Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

MS11-084

La vulnerabilidad en los controladores en modo Kernel de Windows podría permitir la denegación de servicio (2617657)

Moderado

Denegación de servicio

Requiere reinicio

Microsoft Windows 7 y Windows Server 2008 R2.

MS11-085

La vulnerabilidad en Windows Mail y Windows Meeting Space podría permitir la ejecución remota de código (2620704)

Importante

Ejecución remota de código

Puede requerir reinicio

Microsoft Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

MS11-086

La vulnerabilidad en Active Directory podría permitir la elevación de privilegios (2630837)

Importante

Elevación de privilegios

Requiere reinicio

Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

* La lista del software afectado de la tabla de resumen es un abstracto. Para ver la lista completa de los componentes afectados por favor haga clic en el vínculo del resumen del boletín que se proporciona a continuación y revise la sección "Software afectado".

 

Los resúmenes de los boletines nuevos se pueden encontrar en http://technet.microsoft.com/security/bulletin/ms11-nov.

 

Herramienta de eliminación de software malintencionado de Microsoft Windows

Microsoft lanzará una versión actualizada de la Herramienta de eliminación de software malintencionado de Microsoft Windows en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descarga. La información sobre la Herramienta de eliminación de software malintencionado de Microsoft Windows está disponible en http://support.microsoft.com/?kbid=890830.

 

Actualizaciones de alta prioridad no relacionadas con la seguridad

Las liberaciones de Microsoft de actualizaciones de alta prioridad no relacionadas con la seguridad que estarán disponibles en Microsoft Update (MU), Windows Update (WU), o Windows Server Update Services (WSUS) se detallarán en el artículo de la KB que se encuentra en http://support.microsoft.com/?id=894199.

 

Revisiones del boletín de seguridad

 

Estos dos boletines de seguridad se revisaron el 08 de noviembre del 2011:

 

MS11-037 - La vulnerabilidad en MHTML podría permitir la divulgación de información (2544893)

 

Descripción general: Microsoft liberó este boletín para volver a ofrecer la actualización sobre todas las ediciones con soporte de Windows XP y Windows Server 2003. La oferta nueva de esta actualización proporciona sistemas que ejecutan Windows XP o Windows Server 2003 con la misma protección acumulativa que se proporciona mediante esta actualización para el resto de los sistemas operativos afectados. Se ofrecerá automáticamente la versión nueva de esta actualización a los sistemas que ejecutan ediciones con soporte de Windows XP y Windows Server 2003.

 

Recomendaciones: Los clientes que utilizan Windows XP o Windows Server 2003, incluyendo aquellos que ya instalaron con éxito la actualización que se ofreció originalmente el 14 de junio del 2011, deben instalar la actualización que se volvió a ofrecer. Consulte la sección Preguntas más frecuentes que se encuentra en el boletín para obtener detalles.

 

Vínculo al boletín: http://technet.microsoft.com/security/bulletin/MS11-037 

 

MS11-071 La vulnerabilidad en los componentes de Windows podría permitir la ejecución remota de código (2570947)

 

Descripción general: Microsoft volvió a liberar este boletín para anunciar la disponibilidad de una actualización para Windows 7 insertado. Ningún otro paquete de actualización se ve afectado por esta liberación.

 

Recomendaciones: Consulte la sección Preguntas más frecuentes que se encuentra en el boletín para obtener más detalles.

 

Vínculo al boletín: http://technet.microsoft.com/security/bulletin/MS11-071

 

Webcast del boletín público

 

Microsoft ofrecerá un Webcast para responder a todas las preguntas de los clientes sobre estos boletines:

Título: Información acerca de los Boletines de seguridad de noviembre de Microsoft (Nivel 200)

Fecha: Jueves 10 de noviembre del 2011, 10:00 A.M. UTC -05 (Bogotá, Lima, Quito)

URL: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032490366&Culture=es-AR

Detalles técnicos del nuevo boletín de seguridad

 

En las siguientes tablas del software afectado y no afectado, las ediciones de software que no se incluyen en la lista superaron su ciclo de vida de soporte. Para determinar el ciclo de vida de soporte de su producto y edición, visite el sitio Web Ciclo de vida de soporte de Microsoft en http://support.microsoft.com/lifecycle/.

 

Identificador de boletín

Boletín de seguridad de Microsoft MS11-083

Título del boletín

La vulnerabilidad en TCP/IP podría permitir la ejecución remota de código (2588516)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad que se informó de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código en caso de que el atacante enviara un flujo continuo de paquetes UDP especialmente diseñados a un puerto cerrado en un sistema objetivo. La actualización de seguridad atiende la vulnerabilidad al modificar la manera en que la pila TCP/IP de Windows rastrea los paquetes UDTP dentro de la memoria.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Crítica en el caso de todas las ediciones con soporte de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2003 R2.

Vectores de ataque

El atacante podría explotar esta vulnerabilidad al enviar un flujo continuo de paquetes UDP especialmente diseñados a un puerto cerrado en un sistema objetivo.

Factores de mitigación

No se identificaron mitigaciones para esta vulnerabilidad.

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados con esta actualización

MS11-064

Detalles completos

http://technet.microsoft.com/security/bulletin/MS11-083  

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS11-084

Título del boletín

La vulnerabilidad en los controladores en modo Kernel de Windows podría permitir la denegación de servicio (2617657)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad que se informó de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio en caso de que el usuario abriera un archivo de fuente TrueType especialmente diseñado como un archivo adjunto de correo electrónico, o navegara a un recurso de red compartido o a una ubicación WebDAV que contenga un archivo de fuente TrueType especialmente diseñado. La actualización de seguridad atiende la vulnerabilidad al garantizar que los controladores en modo Kernel de Windows validan correctamente los índices de matriz al cargar los archivos de fuente TrueType.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Moderada en el caso de todas las ediciones con soporte de Windows 7 y Windows 2008 R2.

Vectores de ataque

El atacante podría alojar una fuente TrueType especialmente diseñada en un recurso de red compartido y cuando el usuario navega al recurso compartido en Windows Explorer, la ruta de control afectada se desencadena a través de los paneles Detalles y Vista previa. La fuente TrueType especialmente diseñada entonces podría explotar la vulnerabilidad y provocar que el sistema dejara de responder.

Factores de mitigación

·         Para que el ataque tenga éxito, el usuario debe visitar una ubicación de sistema de archivo remoto no confiable o recurso compartido WebDAV y abrir un archivo de fuente TrueType especialmente diseñado, o abrir el archivo como un archivo adjunto de correo electrónico. Sin embargo, en todos los casos, el atacante no tendría una forma para obligar a los usuarios a realizar estas acciones.

·         El protocolo de recursos de archivo compartidos Bloque de mensaje de servidor (SMB) con frecuencia está deshabilitado en el firewall del perímetro. Esto limita los vectores potenciales de ataque remoto de esta vulnerabilidad.

Requisito de reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados con esta actualización

MS11-077

Detalles completos

http://technet.microsoft.com/security/bulletin/MS11-084  

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS11-085

Título del boletín

La vulnerabilidad en Windows Mail y Windows Meeting Space podría permitir la ejecución remota de código (2620704)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad que se informó de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código en caso de que el usuario abriera un archivo legítimo (tal como un archivo .eml o .wcinv) que se encuentra en el mismo directorio de red que el archivo de biblioteca de vínculos dinámicos (DLL) especialmente diseñado. Entonces, mientras abre el archivo legítimo, Windows Mail o Windows Meeting Space podrían intentar cargar el archivo DLL y ejecutar cualquier código que contenga. La actualización de seguridad atiende la vulnerabilidad al corregir la manera en que Windows Mail o Windows Meeting Space cargan las bibliotecas externas.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Importante en el caso de todas las ediciones con soporte de Windows Vista; como Moderada en el caso de todas las ediciones con soporte de Windows Server 2008; y como Baja en el caso de todas las ediciones con soporte de Windows 7 y Windows Server 2008 R2.

Vectores de ataque

·         Correo electrónico: El atacante podría convencer al usuario para que abriera un archivo legítimo (tal como un archivo .eml o .wcinv) que se encuentra en el mismo directorio de red que el archivo de biblioteca de vínculos dinámicos (DLL) especialmente diseñado. Entonces, mientras abre el archivo legítimo, Windows Mail o Windows Meeting Space podrían intentar cargar el archivo DLL y ejecutar cualquier código que contenga.

·         Red: En un escenario de ataque a la red, el atacante podría colocar un archivo legítimo (tal como un archivo .eml o .wcinv) y un archivo DLL especialmente diseñado en un recurso de red compartido, un UNC, o una ubicación WebDAV y posteriormente convencer al usuario para que abriera el archivo.

Factores de mitigación

·         En Windows Server 2008, Windows Mail o Windows Meeting Space no están instalados por predeterminación. Windows Mail sólo se instala cuando también se instala la Experiencia de escritorio.

·         El protocolo de recursos de archivo compartidos, Bloque de mensaje de servidor (SMB), con frecuencia está deshabilitado en el firewall del perímetro. Esto limita los vectores potenciales de ataque de este CVE

·         Para que el ataque tenga éxito, el usuario debe visitar una ubicación de sistema de archivo remoto no confiable o recurso compartido WebDAV y abrir un archivo legítimo (tal como un archivo .eml o .wcinv) desde esta ubicación que posteriormente se carga mediante una aplicación vulnerable.

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados con esta actualización

Ninguno

Detalles completos

http://technet.microsoft.com/security/bulletin/MS11-085  

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS11-086

Título del boletín

La vulnerabilidad en Active Directory podría permitir la elevación de privilegios (2630837)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad que se informó de forma privada en Active Directory, el Modo de aplicación Active Directory (ADAM), y el Servicios de directorio ligero de Active Directory (LDS de AD). La vulnerabilidad podría permitir la elevación de privilegios si Active Directory se configura para utilizar LDAP en lugar de SSL (LDAPS) y el atacante adquiere un certificado revocado que está asociado con una cuenta de dominio válida y posteriormente utiliza ese certificado revocado para autenticarse ante el dominio de Active Directory. La actualización de seguridad atiende la vulnerabilidad al modificar la manera en que Active Directory verifica los certificados contra la Lista de revocación de certificados (CRL).

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Importante en el caso de Active Directory, ADAM y LDS de AD cuando se instala en las ediciones con soporte de Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 (excepto Itanium), Windows 7 y Windows Server 2008 R2 (excepto Itanium).

Vectores de ataque

Para explotar esta vulnerabilidad, el atacante tendría que adquirir primero un certificado revocado que estuviera asociado con una cuenta válida en el dominio. El atacante podría explotar entonces esta vulnerabilidad al utilizar este certificado previamente revocado para autenticarse ante el dominio de Active Directory y conseguir acceso a los recursos de red o ejecutar un código de acuerdo con los privilegios del usuario autorizado específico con el que está asociado el certificado.

Factores de mitigación

Por predeterminación, Active Directory no está configurado para utilizar LDAP en lugar de SSL.

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados con esta actualización

MS10-068

Detalles completos

http://technet.microsoft.com/security/bulletin/MS11-086  

Como siempre, si tiene problemas al bajar o instalar una de las actualizaciones, o problemas después de instalar una actualización, tiene derecho a recibir soporte gratuito de seguridad Microsoft. el soporte lo pueden obtener aqui:

–Para usuario final: http://www.microsoft.com/latam/protect/support/default.mspx

–Para usuario corporativo: http://support.microsoft.com/default.aspx?ln=ES-LA

–Teléfonos de las líneas de soporte en Latinoamérica: http://support.microsoft.com/gp/contactusen/?ln=es-la

es importante que tenga en cuenta que el soporte gratuito de seguridad también aplica para cualquier caso de seguridad y de malware (virus, troyanos, gusanos, etc.) sin importar que marca de antivirus use. Así que si ha sido afectado (o sospecha que han sido afectado) por un ataque de seguridad o por malware, no vacile en contactarnos. Nuestros ingenieros de soporte harán la investigación respectiva para determinar si el caso es o no un problema de seguridad y/o de malware, y en caso afirmativo, le darán pronta solución al problema.

También quiero aprovechar para exterder una invitación para que nos sigan en twitter en los siguientes alias:

@LATAMSRC Información OFICIAL de Microsoft sobre alertas de seguridad, advisories, y boletines. Bajo volumen de twits (cuando se emitan alertas). En español.

@rarbelaez Información general de Seguridad. Alto volumen de twits. En español e inglés.

Saludos,

Roberto Arbeláez

Security Program Manager for Latin America

CSS Security

Microsoft Corp.