Home / Unlabelled / Microsoft publica 10 boletines de seguridad y soluciona 36 vulnerabilidades incluidos cinco 0-days

Microsoft publica 10 boletines de seguridad y soluciona 36 vulnerabilidades incluidos cinco 0-days

Este martes Microsoft ha publicado 14 boletines de seguridad (del MS16-118 al MS16-127) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico"mientras que cuatro son "importantes" y un último "moderado". En total se han solucionado 36 vulnerabilidades (algunas de ellas en varios productos), cinco de ellas están consideradas como 0-days y se están explotando en la actualidad. Además se han corregido otras 13 vulnerabilidades adicionales en Flash Player.

Las vulnerabilidades consideradas como 0-days, que se están utilizando en ataques en la actualidad, afectan a Internet Explorer (CVE-2016-3298) con un fallo que podría permitir obtener información del sistema mediante la comprobación de archivos en el disco. Otro 0-day (con CVE-2016-7189) afecta a Edge y reside en el motor de scripting del navegador. Con CVE-2016-3393 otra vulnerabilidad que se está utilizando en la actualidad afecta a Microsoft Windows Graphics Component (boletín MS16-120) por la forma en que Windows GDI trata objetos en memoria y podría permitir a los atacantes tomar el control del sistema.

Otras dos vulnerabilidades 0-day afectan a Office (MS16-121) por el tratamiento de archivos RTF y a la API Microsoft Internet Messaging (MS16-126) y afecta a Vista, Windows 7 y Windows 2008.


Los boletines publicados son los siguientes:

      
"Microsoft is aware of limited attacks that use
this vulnerability in conjunction with other
vulnerabilities to gain code execution."
  • MS16-122: Boletín "crítico" que resuelve una vulnerabilidad (CVE-2016-0142) en Microsoft Windows que podría permitir la ejecución remota de código si Microsoft Video Control falla al tratar adecuadamente objetos en memoria.
          
  • MS16-123: Boletín de carácter "importante" destinado a corregir cinco vulnerabilidades en los controladores modo kernel de Microsoft Windows, la más grave podría permitir la elevación de privilegios si un usuario ejecuta una aplicación específicamente creada (CVE-2016-3266, CVE-2016-3341, CVE-2016-3376, CVE-2016-7185y CVE-2016-7191).
          
  • MS16-124: Actualización considerada "importante" destinada a corregir cuatro vulnerabilidades de elevación de privilegios si un atacante acceder a información sensible del registro (CVE-2016-0070, CVE-2016-0073, CVE-2016-0075y CVE-2016-0079).
         
  • MS16-125: Boletín considerado "importante" que resuelve una vulnerabilidad en el servicio Windows Diagnostics Hub Standard Collector Service que podría permitir la elevación de privilegios en sistemas Windows (CVE-2016-7188).
         
  • MS16-126: Destinado a corregir una vulnerabilidad de gravedad "moderada", pero que se está explotando en la actualidad, que podría permitir obtener información sensible cuando la API Microsoft Internet Messaging maneja inadecuadamente objetos en memoria (CVE-2016-3298). Afecta a Windows Vista, Windows 7 y Windows 2008.
         
  • MS16-127: Como ya es habitual, Microsoft publica un boletín para resolver las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico. Se trata de un boletín "crítico" que en esta ocasión soluciona 13 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows 8.1 y Windows 10; correspondientes al boletín APSB16-32de Adobe (y que comentaremos con más detalle en una próxima una-al-día). 


Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:

Microsoft Security Bulletin Summary for October 2016
https://technet.microsoft.com/library/security/ms16-oct

Microsoft Security Bulletin MS16-118 - Critical
Cumulative Security Update for Internet Explorer (3192887)
https://technet.microsoft.com/library/security/MS16-118

Microsoft Security Bulletin MS16-119 - Critical
Cumulative Security Update for Microsoft Edge (3192890)
https://technet.microsoft.com/library/security/MS16-119

Microsoft Security Bulletin MS16-120 - Critical
Security Update for Microsoft Graphics Component (3192884)
https://technet.microsoft.com/library/security/MS16-120

Microsoft Security Bulletin MS16-121 - Important
Security Update for Microsoft Office (3194063)
https://technet.microsoft.com/library/security/MS16-121

Microsoft Security Bulletin MS16-122 - Critical
Security Update for Microsoft Video Control (3195360)
https://technet.microsoft.com/library/security/MS16-122

Microsoft Security Bulletin MS16-123 - Important
Security Update for Windows Kernel-Mode Drivers (3192892)
https://technet.microsoft.com/library/security/MS16-123

Microsoft Security Bulletin MS16-124 - Important
Security Update for Windows Registry (3193227)
https://technet.microsoft.com/library/security/MS16-124

Microsoft Security Bulletin MS16-125 - Important
Security Update for Diagnostics Hub (3193229)
https://technet.microsoft.com/library/security/MS16-125

Microsoft Security Bulletin MS16-126 - Moderate
Security Update for Microsoft Internet Messaging API (3196067)
https://technet.microsoft.com/library/security/MS16-126

Microsoft Security Bulletin MS16-127 - Critical
Security Update for Adobe Flash Player (3194343)
https://technet.microsoft.com/library/security/MS16-127

Antonio Ropero
[email protected]
Twitter: @aropero




Via: unaaldia.hispasec.com
Microsoft publica 10 boletines de seguridad y soluciona 36 vulnerabilidades incluidos cinco 0-days Microsoft publica 10 boletines de seguridad y soluciona 36 vulnerabilidades incluidos cinco 0-days Reviewed by Zion3R on 19:13 Rating: 5

Tags