Microsoft arregló hoy una vulnerabilidad en un componente de gráficos presentes en Windows, Office y Lync que ha sido atacada públicamente, y es una de las cinco vulnerabilidades parcheadas este mes que se han divulgado públicamente.
Microsoft lanzó una docena de boletines hoy, cinco de ellos clasificados como críticos, incluyendo actualizaciones independientes para Internet Explorer y el nuevo navegador Edge en Windows 10, el segundo mes seguido que Edge ha sido parchado desde que fue liberado.
El boletín de Microsoft de Componentes Gráficos , MS15-097, arregla 11 vulnerabilidades. La máxima prioridad debe ser CVE-2015-2546, un error de corrupción de memoria que conduce a la elevación de privilegios y que se encuentra bajo ataque. Microsoft calificó el fallo como "Importante", probablemente porque dijo el atacante tendría que estar conectado a una máquina Windows vulnerable y ejecutar código; no dio más detalles sobre los ataques o cuando se dio a conocer la vulnerabilidad. Se informó por el investigador de FireEye, Wang Yu.
"Un atacante que aprovechara la vulnerabilidad podría ejecutar código arbitrario en modo kernel", dijo Microsoft en su aviso.
Una segunda vulnerabilidad de ejecución de código remoto de desbordamiento de búfer aparece en el boletín, CVE-2015-2510, fue calificada como "crítica" y se encontró en Office y la plataforma de comunicaciones Lync.
El boletín también contiene una serie de parches para vulnerabilidades en Windows y la Biblioteca de Windows Adobe Type Manager, arreglando cómo el software se encarga de las fuentes y temas OpenType en el controlador de fuente que podría dar lugar a fallos del sistema o la elevación de privilegios, dijo Microsoft.
MS15-094, por su parte, repara 17 errores en Internet Explorer, la mayoría de los cuales permiten la ejecución remota de código si un usuario visita un sitio web comprometido y hospeda código de ataque con IE.
IE7-EI11 se ven afectados por este boletín y una serie de vulnerabilidades se han arreglado en el navegador, incluyendo errores de divulgación de información, problemas de corrupción de memoria y una escalada de privilegios. Sólo un defecto, CVE-2015-2542, se ha informado de forma pública; que sólo afecta IE 10 y 11 e IE 11 en Windows 10.
Microsoft también reparado el nuevo navegador Edge por segundo mes consecutivo. Edge es el reemplazo de Internet Explorer en equipos con Windows 10, el boletín, MS15-095, da solución a cuatro vulnerabilidades de corrupción de memoria, de las cuales todas se consideran como críticas. La misma vulnerabilidad en Internet Explorer también está presente en Edge, dijo Microsoft.
También se arreglaron vulnerabilidades críticas de Windows Journal en MS15-098; esos bugs abrian la puerta a ataques de ejecución remota de código y si las víctimas eran engañadas para que abrieran un archivo Journal malicioso de un correo electrónico o página web. Cinco vulnerabilidades fueron arregladas en Windows Journal, incluyendo la de bajo riesgo de denegación de servicio.
Microsoft también lanzó un boletín crítico para vulnerabilidades de ejecución remota de código en Office. MS15-099 parcha cuatro errores de corrupción de memoria en el software de Office que se remontan a Office 2007 Service Pack 3, así como una vulnerabilidad de cross-site scripting de suplantación en Microsoft SharePoint Foundation 2013. Ninguno de los errores se han divulgado o han sido explotados públicamente, dijo Microsoft.
El resto de los boletines calificados como "importante" por Microsoft:
MS15-096 parcha una vulnerabilidad de denegación de servicio en Active Directory que requiere acceso local
MS15-100 parcha una vulnerabilidad en Windows Media Center que permite la ejecución remota de código si se abre un enlace Media Center malicioso (.mcl).
MS15-101 parcha vulnerabilidad de elevación de privilegios en el .NET Framework si la víctima se ejecuta una aplicación maliciosa en un sistema vulnerable.
MS15-102 parcha elevación de vulnerabilidades de privilegio en la Gestión de tareas de Windows que suceden cuando Windows no puede validar y hacer cumplir los niveles de suplantación o ciertas interacciones del sistema de archivos.
MS15-103 parcha vulnerabilidad de divulgación de información de Microsoft Exchange Server si se explota a través de Outlook Web Access.
MS15-104 parcha elevación de vulnerabilidades de privilegio en Skype for Business Server y Microsoft Lync Server.
MS15-105 parcha una vulnerabilidad de bypass de seguridad en Windows Hyper-V, donde el código malicioso podría obligar a Hyper-V a aplicar incorrectamente lista configuraciones de control de acceso.
 |
| Imagen: Threatpost |
El boletín de Microsoft de Componentes Gráficos , MS15-097, arregla 11 vulnerabilidades. La máxima prioridad debe ser CVE-2015-2546, un error de corrupción de memoria que conduce a la elevación de privilegios y que se encuentra bajo ataque. Microsoft calificó el fallo como "Importante", probablemente porque dijo el atacante tendría que estar conectado a una máquina Windows vulnerable y ejecutar código; no dio más detalles sobre los ataques o cuando se dio a conocer la vulnerabilidad. Se informó por el investigador de FireEye, Wang Yu.
"Un atacante que aprovechara la vulnerabilidad podría ejecutar código arbitrario en modo kernel", dijo Microsoft en su aviso.
Una segunda vulnerabilidad de ejecución de código remoto de desbordamiento de búfer aparece en el boletín, CVE-2015-2510, fue calificada como "crítica" y se encontró en Office y la plataforma de comunicaciones Lync.
El boletín también contiene una serie de parches para vulnerabilidades en Windows y la Biblioteca de Windows Adobe Type Manager, arreglando cómo el software se encarga de las fuentes y temas OpenType en el controlador de fuente que podría dar lugar a fallos del sistema o la elevación de privilegios, dijo Microsoft.
MS15-094, por su parte, repara 17 errores en Internet Explorer, la mayoría de los cuales permiten la ejecución remota de código si un usuario visita un sitio web comprometido y hospeda código de ataque con IE.
IE7-EI11 se ven afectados por este boletín y una serie de vulnerabilidades se han arreglado en el navegador, incluyendo errores de divulgación de información, problemas de corrupción de memoria y una escalada de privilegios. Sólo un defecto, CVE-2015-2542, se ha informado de forma pública; que sólo afecta IE 10 y 11 e IE 11 en Windows 10.
Microsoft también reparado el nuevo navegador Edge por segundo mes consecutivo. Edge es el reemplazo de Internet Explorer en equipos con Windows 10, el boletín, MS15-095, da solución a cuatro vulnerabilidades de corrupción de memoria, de las cuales todas se consideran como críticas. La misma vulnerabilidad en Internet Explorer también está presente en Edge, dijo Microsoft.
También se arreglaron vulnerabilidades críticas de Windows Journal en MS15-098; esos bugs abrian la puerta a ataques de ejecución remota de código y si las víctimas eran engañadas para que abrieran un archivo Journal malicioso de un correo electrónico o página web. Cinco vulnerabilidades fueron arregladas en Windows Journal, incluyendo la de bajo riesgo de denegación de servicio.
Microsoft también lanzó un boletín crítico para vulnerabilidades de ejecución remota de código en Office. MS15-099 parcha cuatro errores de corrupción de memoria en el software de Office que se remontan a Office 2007 Service Pack 3, así como una vulnerabilidad de cross-site scripting de suplantación en Microsoft SharePoint Foundation 2013. Ninguno de los errores se han divulgado o han sido explotados públicamente, dijo Microsoft.
El resto de los boletines calificados como "importante" por Microsoft:
MS15-096 parcha una vulnerabilidad de denegación de servicio en Active Directory que requiere acceso local
MS15-100 parcha una vulnerabilidad en Windows Media Center que permite la ejecución remota de código si se abre un enlace Media Center malicioso (.mcl).
MS15-101 parcha vulnerabilidad de elevación de privilegios en el .NET Framework si la víctima se ejecuta una aplicación maliciosa en un sistema vulnerable.
MS15-102 parcha elevación de vulnerabilidades de privilegio en la Gestión de tareas de Windows que suceden cuando Windows no puede validar y hacer cumplir los niveles de suplantación o ciertas interacciones del sistema de archivos.
MS15-103 parcha vulnerabilidad de divulgación de información de Microsoft Exchange Server si se explota a través de Outlook Web Access.
MS15-104 parcha elevación de vulnerabilidades de privilegio en Skype for Business Server y Microsoft Lync Server.
MS15-105 parcha una vulnerabilidad de bypass de seguridad en Windows Hyper-V, donde el código malicioso podría obligar a Hyper-V a aplicar incorrectamente lista configuraciones de control de acceso.
