El pasado martes 12 de Junio del 2012 Microsoft ha publicado 7 boletines de seguridad (del MS12-036 al MS12-042) correspondientes a su ciclo mensual habitual de actualizaciones. Según la clasificación de los boletines que hace la propia Microsoft, tres de los boletines tienen un nivel de gravedad “Crítica“, y los cuatro restantes son Importante. La totalidad de las vulnerabilidades resueltas en este mes son 26.

Microsoft además de los boletines habituales, ha publicado un Documento informativo sobre seguridad (2719615) alertando de vulnerabilidades en Microsoft XML Core Services que podrían permitir la ejecución remota de código.  Por el momento no tienen disponible la corrección de esta vulnerabilidad, aunque han publicado una solución temporal para atenuar este problema. Para ver el resumen ejecutivo sobre este problema búsquelo al final de este post sobre los boletines del mes de Junio.

Los boletínes de clasificación Críticason los siguientes:

MS12-036 Una vulnerabilidad en el RPD podría permitir la ejecución remota de código (2685939)

Esta actualización de seguridad resuelve una vulnerabilidad en el protocolo de Escritorio remoto (RPD =Remote Desktop Protocol). La vulnerabilidad podría permitir la ejecución remota de código si un atacante envía una secuencia de paquetes RDP a un sistema afectado. De forma predeterminada, el protocolo de Escritorio remoto (RDP) no está habilitado en ningún sistema operativo Windows. Los sistemas que no tienen RDP habilitado no están expuestos. La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que el protocolo de Escritorio remoto procesa los paquetes en memoria.

Esta actualización de seguridad se considera Crítica para todas las ediciones compatibles de Windows Server 2003 y Windows Server 2008; crítica para Windows 7 para sistemas de 32 bits Service Pack 1 y Windows 7 para sistemas x64 Service Pack 1; y Crítica para todas las ediciones compatibles de Windows Server 2008 R2. La actualización de seguridad también se considera Moderadapara todas las ediciones compatibles de Windows XP y Windows Vista, y Moderadapara Windows 7 para sistemas de 32 bits y Windows 7 para sistemas x64.

MS12-037 Actualización de seguridad acumulativa para Internet Explorer (2699988) 

Esta actualización de seguridad resuelve 13 vulnerabilidades en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

La actualización corrige las vulnerabilidades al modificar la forma en que Internet Explorer trata los objetos en memoria, el saneamiento HTML mediante toStaticHTML, la forma en que Internet Explorer representa los datos durante determinados procesos y la forma en que Internet Explorer crea e inicializa las cadenas.

Esta actualización de seguridad se considera Crítica para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8 e Internet Explorer 9 en clientes Windows y Moderada para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8 e Internet Explorer 9 en servidores Windows.

MS12-038 Una vulnerabilidad en .NET Framework podría permitir la ejecución remota de código (2706726)

Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft .NET Framework. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones XAML del explorador (XBAP). Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. Esta vulnerabilidad también la podrían usar aplicaciones Windows .NET Framework para omitir las restricciones de seguridad de acceso del código (CAS). En el caso de un ataque de exploración web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante. La actualización de seguridad corrige la vulnerabilidad al modificar la manera en que .NET Framework valida los datos pasados a los punteros de función.

Esta actualización de seguridad se considera Crítica para Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5.1 y Microsoft .NET Framework 4.0 en todas las ediciones compatibles de Microsoft Windows.

Los boletínes de clasificación “Importante” son los siguientes:

MS12-039 Vulnerabilidades en Lync podrían permitir la ejecución remota de código (2707956)

Esta actualización de seguridad resuelve 4 vulnerabilidades en Microsoft Lync. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario consulta contenido compartido que contiene fuentes TrueType (True Type Font) especialmente diseñadas. La actualización de seguridad corrige las vulnerabilidades al modificar la manera en que se tratan los archivos de fuentes TrueType especialmente diseñados, la manera en que Microsoft Lync carga bibliotecas externas y la manera en que la función SafeHTML realiza el saneamiento del contenido HTML.

Esta actualización de seguridad se considera “Importante”  para Microsoft Lync 2010, Microsoft Lync 2010 Attendee, Microsoft Lync 2010 Attendant (32 bits) y Microsoft Lync 2010 Attendant (64 bits).

MS12-040 Una vulnerabilidad en Microsoft Dynamics AX Enterprise Portal podría permitir la elevación de privilegios (2709100)

Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Dynamics AX Enterprise Portal. La vulnerabilidad podría permitir la elevación de privilegios si un usuario hace clic en una dirección URL especialmente diseñada o visita un sitio web especialmente diseñado. En un ataque por correo electrónico, el atacante puede aprovechar la vulnerabilidad si envía un mensaje de correo electrónico con una dirección URL especialmente diseñada al usuario del sitio de Microsoft Dynamics AX Enterprise Portal afectado y lo convence para que haga clic en la dirección URL especialmente diseñada. Los usuarios de Internet Explorer 8 e Internet Explorer 9 que exploran un sitio de Microsoft Dynamics AX Enterprise Portal en la zona Internet están menos expuestos. De forma predeterminada, el filtro XSS en Internet Explorer 8 e Internet Explorer 9 evita este ataque en la zona Internet. No obstante, el filtro XSS en Internet Explorer 8 e Internet Explorer 9 no está habilitado de forma predeterminada en la zona Intranet. La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que Microsoft Dynamics AX 2012 Enterprise Portal valida y sanea entrada del usuario.

Esta actualización de seguridad se considera “Importante”  para todas las ediciones compatibles de Microsoft Dynamics AX 2012 Enterprise Portal.

MS12-041 Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (2709162)

Esta actualización de seguridad resuelve cinco vulnerabilidades en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar estas vulnerabilidades, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar sesión de forma local en el sistema. La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que los controladores en modo kernel de Windows validan la entrada pasada desde el modo usuario y tratan la carga de fuentes TrueType, así como mediante la incorporación de una validación adicional de tiempo de ejecución al mecanismo de creación de subprocesos.

Esta actualización de seguridad se considera “Importante”  para todas las versiones compatibles de Microsoft Windows.

MS12-042 Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (2711167)

Esta actualización de seguridad resuelve 2 vulnerabilidades en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado y ejecuta una aplicación especialmente diseñada que aprovecha la vulnerabilidad. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Los usuarios anónimos o los usuarios remotos no pueden aprovechar esta vulnerabilidad. La actualización de seguridad corrige las vulnerabilidades al corregir la forma en que el Programador de modo de usuario de Windows trata una solicitud específica del sistema y la forma en que Windows administra ROM BIOS.

Esta actualización de seguridad se considera “Importante”  para todas las ediciones de 32 bits de Windows XP y Windows Server 2003; Windows 7 para sistemas x64; y Windows Server 2008 R2 para sistemas x64.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los enlaces en los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.

Dada la gravedad e importancia de las vulnerabilidades se les recomienda a los usuarios de estos sistemas y software afectados la actualización de los mismos a la mayor brevedad posible.

Fuente: Technet Microsoft Security Bulletin

 

El resumen ejecutivo sobre el Documento informativo sobre seguridad (2719615) alertando de vulnerabilidades en Microsoft XML Core Services que podrían permitir la ejecución remota de código dice lo siguiente:

Microsoft tiene constancia de ataques activos que aprovechan una vulnerabilidad en Microsoft XML Core Services 3.0, 4.0, 5.0 y 6.0. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. El atacante no podría obligar a los usuarios a visitar dicho sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante. La vulnerabilidad afecta a todas las versiones compatibles de Microsoft Windows y todas las versiones compatibles de Microsoft Office 2003 y Microsoft Office 2007.

La vulnerabilidad se produce cuando MSXML intenta obtener acceso a un objeto en memoria que no se ha inicializado, lo que puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario que ha iniciado sesión.

Estamos trabajando activamente con los socios de nuestro programa Microsoft Active Protections Program (MAPP) para proporcionar información que pueden usar para ofrecer una mayor protección a los clientes. Para obtener información acerca de las protecciones publicadas por los socios de MAPP, vea Socios de MAPP con protecciones actualizadas.

Una vez terminada la investigación, Microsoft adoptará las medidas apropiadas para proteger a sus clientes. Dichas medidas podrían incluir una actualización de seguridad en nuestra publicación mensual, o bien una actualización de seguridad fuera de ciclo, según las necesidades de los clientes.

Factores atenuantes:

  • En el caso de un ataque a través de web, el atacante tendría que hospedar un sitio web que contuviera una página web especialmente diseñada para aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar dicho sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
  • Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
  • De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad.

Para aplicar la contramedida que mitiga esta vulnerabilidad por el momento, la misma se encuentra disponible en el siguiente enlace: http://support.microsoft.com/kb/2719615.

Una vez que este en el sitio del enlace descargue a su computadora el Microsoft Fix it 50897 o descárguelo directamente desde el enlace siguiente: Microsoft Fix it 50897 para aplicar la solución temporal ejecútelo con derechos administrativos, si por cualquiera razón quiere deshabilitar la solución temporal tiene que descargar el Microsoft Fix it 50898 y ejecutarlo también con derechos administrativos.

Anuncios