¿Cuál es el objetivo de esta alerta?

Esta alerta le ofrece una descripción general de los nuevos boletines de seguridad publicados el martes, 14 de enero de 2014.  Los nuevos boletines de seguridad se publican mensualmente para hacer frente a vulnerabilidades críticas de los productos.

 Nuevos Boletines de seguridad

Microsoft publica los siguientes 4 (cuatro) boletines de seguridad para vulnerabilidades recientemente descubiertas:  

ID del boletín

Título del boletín

Clasificación de la máxima gravedad

Impacto de la vulnerabilidad

Requisito de reinicio

Software Afectado

MS14-001

Vulnerabilidades en Microsoft Word y Office Web Apps Podría Permitir la Ejecución Remota de Código (2916605)

Importante

Ejecución Remota de Código

Puede requerir reinicio

Microsoft Word 2003, Word 2007, Word 2010, Word 2013, Word 2013 RT, paquete de compatibilidad de Office, Word Viewer, Word Servicios de automatización, Aplicaciones Web de Microsoft 2010 y Microsoft Office 2013 Servidor de aplicaciones Web.

MS14-002

Una vulnerabilidad en el kernel de Windows podría permitir la elevación de privilegios (2914368)

Importante

Elevación de privilegios

Es necesario reiniciar

Windows XP y Windows Server 2003.

MS14-003

Una vulnerabilidad en los controladores de modo kernel Windows podría permitir la elevación de privilegios (2913602)

Importante

Elevación de privilegios

Es necesario reiniciar

Windows 7 y Windows Server 2008 R2.

MS14-004

Una vulnerabilidad en Microsoft Dynamics AX podría permitir la denegación de servicio (2880826)

Importante

Denegación de Servicio

Puede requerir reinicio

Microsoft Dynamics AX 4.0 , Microsoft Dynamics AX 2009, Microsoft Dynamics AX 2012 y Microsoft Dynamics AX 2012 R2.

Los resúmenes para nuevos boletines se pueden encontrar en http://technet.microsoft.com/security/bulletin/MS14-jan 

Boletín de seguridad lanzadas

Microsoft lanzar un boletín de seguridad el 14 de enero de 2014. Aquí hay una descripción de esta compilación boletín de seguridad: 

Boletín de seguridad MS13-081

Vulnerabilidades en los controladores de modo kernel Windows podría permitir la ejecución remota de código (2870008)

Resumen

Microsoft lanzadas este boletín para anunciar la re-ofierta de  la actualización 2862330 y son alentadas a aplicarla con la posible brevedad.

Más información

http://technet.microsoft.com/security/bulletin/ms13-081 

 

Adverténcias Relanzadas en materia de seguridad

Microsoft relanzó adverténcias de seguridad el 14 de enero, 2014. Esta es una visión general de esta compilación:

Security Advisory 2755801

Actualización para vulnerabilidades en Adobe Flash Player en Internet Explorer

Resumen ejecutivo

El 14 de enero de 2014, Microsoft publicó una actualización (2916626) para Internet Explorer 10 en Windows 8, Windows Server 2012 y Windows RT, y para Internet Explorer 11 en Windows 8.1 , Windows Server 2012 R2 y Windows RT 8.1 . La actualización resuelve las vulnerabilidades descritas en Adobe boletín de seguridad APSB14-02. Para obtener más información acerca de esta actualización, incluyendo enlaces de descarga, consulte . Microsoft Knowledge Base Article 2916626 

Recomendaciones

Microsoft recomienda que los clientes soliciten la actualización actual inmediatamente con la administración de actualización de software, o por búsqueda de actualizaciones mediante el servicio. Microsoft Update Desde que la actualización es acumulativa, sólo la actualización actual serán ofrecidas. No es necesario que los clientes instalen las actualizaciones anteriores como un requisito previo para poder instalar la actualización actual.

 

Nota: La actualización de Windows y Windows RT RT 8.1 está disponible a través de Windows Update.

Más información

http://technet.microsoft.com/security/advisory/2755801

 

Herramienta de eliminación de software malintencionado y actualizaciones no so DE seguridad 

  • Microsoft libera una versión actualizada de la Herramienta de eliminación de software malintencionado en Microsoft Windows en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descargas. La información sobre la Herramienta de eliminación de software malicioso en Microsoft Windows está disponible en http://support.microsoft.com/?kbid=890830.
  •  Las actualizaciones de Microsoft no relacionadas con seguridad de alta prioridad que estarán disponibles en Microsoft Update (MU), Windows Update (WU) o Windows Server Update Services (WSUS) se detallan en el artículo de KB encontrado en http://support.microsoft.com/?id=894199.

 

Webcast del boletín Público (INGlÉS)

Microsoft ofrecerá un webcast para atender las preguntas de los clientes sobre estos boletines: 

Título: Información sobre los boletines de seguridad de Microsoft (Nivel 200)

Fecha: miércoles, 15 enero, 2014, 11:00 a.m. , hora del Pacífico (EE.UU. y Canadá)

URL: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032572876 

 

Webcast del boletín Público (ESPAÑOL)

Microsoft ofrecerá un webcast para atender las preguntas de los clientes sobre estos boletines:

 Título: Información sobre los boletines de seguridad de Microsoft (Nivel 200)

Fecha: jueves, 16 enero, 2014, 10:30 a.m. , hora del Pacífico (EE.UU. y Canadá)

URL: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032575623

 

Nuevo boletín de seguridad Detalles técnicos

En las siguientes tablas de software afectado y no afectado, las ediciones de software que no están en la lista han expirado su ciclo de vida de soporte. Para determinar el ciclo de vida de soporte de su producto y edición, visite el sitio Web del Ciclo de vida del soporte de Microsoft en  http://support.microsoft.com/lifecycle/.

 

Identificador de boletín

Boletín de seguridad de Microsoft MS14-001

Título del boletín

Vulnerabilidades en Microsoft Word y Office Web Apps Podría Permitir la Ejecución Remota de Código (2916605)

Resumen ejecutivo

Esta actualización de seguridad resuelve tres vulnerabilidades reportadas en forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un archivo especialmente elaborado se abre en una versión afectada de Microsoft Word u otro afectado software de Microsoft Office. Un atacante que explote con éxito la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual.

 

La actualización de seguridad trata la vulnerabilidad por corregir la manera en que Microsoft Office analiza archivos especialmente diseñado.

Clasificaciones de gravedad y Software Afectado

Esta actualización de seguridad se considera importante para ediciones con soporte de Microsoft Word 2003, Microsoft Word 2007, Microsoft Word 2010, Microsoft Word 2013, Microsoft Word 2013 RT, y para Microsoft Office servicios y aplicaciones Web de ediciones con soporte de Microsoft SharePoint Server 2010, Microsoft Office SharePoint Server 2013, y Servidor de Aplicaciones Web de Microsoft 2013. Esta actualización de seguridad también es importante para ver las versiones compatibles de Microsoft Word Viewer y paquete de compatibilidad de Microsoft Office.

Vectores de ataque

•          En un escenario de ataque correo electrónico, un atacante podría explotar la vulnerabilidad enviando un archivo especialmente elaborado para el usuario, y de convencer al usuario para que abra el archivo en una versión afectada de Microsoft Office.

•          En un escenario de ataque basado en web, un atacante podría alojar un sitio web que contiene un archivo que se utiliza para tratar de explotar estas vulnerabilidades. Por otra parte, sitios web comprometidos y los sitios web que aceptan o alojan contenido proporcionado por el usuario podrían contener contenido especialmente diseñado que puede explotar estas vulnerabilidades.

Factores atenuantes/Mitigaciones

•          Un atacante tendría que convencer a los usuarios a tomar medidas, por lo general al hacer clic en un vínculo de un mensaje de correo electrónico o mensaje instantáneo que lleva a los usuarios a la página web del atacante y, a continuación, convencerlos de que abra el archivo de Office especialmente diseñado.

•          Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían ser menos afectados que los usuarios que operan con derechos de usuario administrativo.

Requisito de reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS13-072, MS13-084, MS13-086, MS13-100.

Todos los detalles

http://technet.microsoft.com/security/bulletin/MS14-001 

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS14-002

Título del boletín

Una vulnerabilidad en el kernel de Windows podría permitir la elevación de privilegios (2914368)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y se ejecuta una aplicación especialmente diseñada.

 

La actualización de seguridad trata la vulnerabilidad por corregir la entrada pasada al NDProxy.sys componentes de kernel es validada.

Clasificaciones de gravedad y Software Afectado

Esta actualización de seguridad se considera importante para todas las ediciones con soporte de Windows XP y Windows Server 2003.

Vectores de ataque

Para explotar esta vulnerabilidad, un atacante tendría primero que inicie sesión en el sistema. Después, un atacante podría ejecutar una aplicación especialmente diseñada para explotar la vulnerabilidad y asumir un control total sobre el sistema afectado.

Factores atenuantes/Mitigaciones

Un atacante debe tener credenciales válidas de inicio y ser capaz de iniciar sesión de forma local para explotar esta vulnerabilidad. La vulnerabilidad no podría ser explotada remotamente o por usuarios anónimos.

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

MS10-099

Todos los detalles

http://technet.microsoft.com/security/bulletin/MS14-002

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS14-003

Título del boletín

Una vulnerabilidad en los controladores de modo kernel Windows podría permitir la elevación de privilegios (2913602)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad reportada en forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un usuario inicia sesión en un sistema y se ejecuta una aplicación especialmente diseñada.

 

La actualización de seguridad trata la vulnerabilidad por corregir la forma en que Windows maneja thread-objetos de propiedad.

Clasificaciones de gravedad y Software Afectado

Esta actualización de seguridad se considera importante para todas las ediciones con soporte de Windows 7 y Windows Server 2008 R2.

Vectores de ataque

Para explotar esta vulnerabilidad, un atacante tendría primero que inicie sesión en el sistema. Un atacante podría ejecutar una aplicación especialmente diseñada para aumentar los privilegios.

Factores atenuantes/Mitigaciones

Un atacante debe tener credenciales válidas de inicio y ser capaz de iniciar sesión de forma local para explotar esta vulnerabilidad.

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

MS13-101

Todos los detalles

http://technet.microsoft.com/security/bulletin/MS14-003 

 

 

Identificador de boletín

Boletín de seguridad de Microsoft MS14-004

Título del boletín

Una vulnerabilidad en Microsoft Dynamics AX podría permitir la denegación de servicio (2880826)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad reportada en forma privada en Microsoft Dynamics AX. La vulnerabilidad podría permitir la denegación de servicio si un atacante envía datos especialmente diseñado para una aplicación Microsoft Dynamics AX Object Server (AOS) ejemplo. Un atacante que explote con éxito esta vulnerabilidad podría causar que el destino AOS ejemplo deje de responder a las peticiones de los clientes.

La actualización de seguridad trata la vulnerabilidad al ayudar a garantizar que Microsoft Dynamics AX controla apropiadamente los datos proporcionados por el usuario.

Clasificaciones de gravedad y Software Afectado

Esta actualización de seguridad se considera importante para todas las ediciones con soporte de Microsoft Dynamics AX 4.0 , Microsoft Dynamics AX 2009, Microsoft Dynamics AX 2012 y Microsoft Dynamics AX 2012 R2.

Vectores de ataque

Un atacante podría enviar datos especialmente diseñado a un servidor afectado Dynamics AX.

Factores atenuantes/Mitigaciones

Para explotar esta vulnerabilidad, un atacante debe ser capaz de autenticar en Microsoft Dynamics AX.

Requisito de reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

Ninguno

Todos los detalles

http://technet.microsoft.com/security/bulletin/MS14-004

 

CON RESPECTO A LA CONSISTENCIA DE LA INFORMACIÓN 

Nos esforzamos por proporcionarle información precisa en contenidos estáticos (este correo) y dinámicos (basados en la Web). Ocasionalmente se actualiza el contenido de seguridad de Microsoft colocado en la Web para reflejar la información más reciente. Si esto resulta en una inconsistencia entre la información en este documento y la información en los contenidos de seguridad basados en la Web de Microsoft, éstos últimos prevalecerán.

Si tiene alguna pregunta sobre esta alerta, póngase en contacto con su Gerente Técnico de la cuenta. 

 

Muchas gracias, 

Microsoft Equipo de seguridad de CSS