MICROSOFT PARCHES DE 47 VULNERABILIDADES

Las actualizaciones solucionan problemas en Microsoft Windows, Office, Office Service y Aplicaciones Web, Exchange, su navegadores Internet Explorer y Edge y el reproductor de Flash.

Entre los errores corregidos el martes 13 de Septiembre es una vulnerabilidad de 10 años de edad, CVE-2.016-0137, que existía en los desvíos, el motor de enganche de Microsoft Office. El fallo, dado a conocer durante el verano y discutido en profundidad a Sombrero Negro, afectó a un puñado de plataformas antivirus que utilizan código de enganche. Los piratas informáticos de vulnerabilidad permitido saltarse explotar mitigaciones presentes en estas aplicaciones de terceros Windows y. Investigadores de enSilo, que descubrió el error, dan a conocer que Microsoft hace nueve meses, antes de Sombrero Negro. En el momento los investigadores advirtieron que cientos de miles de usuarios podrían verse afectados por la vulnerabilidad.

Udi Yavo, enSilo co-fundador y CTO destacaron hoy que a pesar de ser parcheado, ya que la vulnerabilidad afecta a un motor incrustado en productos, parches podría ser un proceso arduo. "En la empresa - con desvíos integrado en miles de productos, incluyendo Microsoft Office - parches podría tardar hasta tres semanas, si no más," dijo Yavo, "Por encima de todo, parches de esta vulnerabilidad en particular es aún más complicado porque fijándolo requiere una recopilación de cada producto de forma individual ".

La firma lanzó una herramienta en Github, Encontrar un desvío, diseñado para ayudar a los equipos de seguridad para determinar qué software puede ser afectado por el fallo. actualizaciones de Internet Explorer y el borde del martes, tanto MS16-104 y MS16105 respectivamente, son acumulativos. La actualización de IE se considera crítica para los que siguen corriendo IE 9 o 11 en máquinas Windows; si se explota, una vulnerabilidad podría permitir que un atacante tomar el control de un sistema afectado, suponiendo que un usuario se registra con derechos de administrador. Microsoft está advirtiendo que una vulnerabilidad que afecta a IE, CVE-2.016 a 3351, descubierto por el investigador de seguridad francesa Kafeine y Brooks Li, de Trend Micro, no ha sido expuesto públicamente, pero está siendo explotada en la naturaleza.

De acuerdo con un post publicado martes por la tarde por Kafeine en el blog de Proofpoint, el día cero estaba siendo explotado por AdGholas, un grupo que utiliza la esteganografía para llevar a cabo una campaña de publicidad maliciosa reciente, y GooNky, otro grupo. La actualización de borde, también se considera crítica, las corrige una vulnerabilidad similar que podría permitir a un atacante obtener los mismos derechos que el usuario actual.

Tres vulnerabilidades críticas en Exchange Server, MS16-108, miedo Bobby Kuzma, CISSP, ingeniero de sistemas de Core Security, por lo tanto, dijo el martes que se encogió cuando él los leyó. Los errores podrían permitir la ejecución remota de código en Oracle Outside In bibliotecas integradas en el servidor de aplicaciones de calendario electrónico. Un atacante podría aprovechar esta cuestión mediante el envío de datos adjuntos especialmente diseñados, como una solicitud de invitación a la reunión, a una víctima. El problema afecta a Exchange 2007, 2010, 2013, y la más reciente iteración, 2016. MS16-106, otra actualización crítica, afecta a un componente de gráficos en Windows, GDI, y se basa en un parche desde el mes pasado, MS16-098, y una parche desde el año pasado, MS15-097. La actualización corrige la forma en que el controlador en modo kernel trata los objetos en memoria.

La actualización también corrige otra vulnerabilidad crítica - éste en la automatización OLE, un mecanismo de comunicación utilizado en su motor de scripting VBScript. Si un atacante tiene un usuario que ejecuta un sistema afectado a visitar un sitio malicioso, pudieran llevar a cabo la ejecución remota de código. Los usuarios tienen que aplicar el parche de automatización y la actualización acumulativa con el fin de proteger, Microsoft advierte. actualización del martes también corrige una vulnerabilidad en Microsoft Silverlight que considera importante. Si un atacante tiene una víctima para navegar a un sitio web que contiene una aplicación de Silverlight especialmente diseñado, que podrían aprovechar una vulnerabilidad en el marco de aplicación y llevar a cabo la ejecución remota de código.

La actualización del boletín de flash refleja el uno empujado por Adobe a principios de esta tarde y resuelve las vulnerabilidades de software en Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 y Windows 10. El boletín será probablemente la actualización de parches el martes pasado que incorpora correcciones para flash Player de Adobe.

La actualización también será de Microsoft el pasado, al menos en su iteración actual, de 7, 8.1, Windows Server 2008 y Server 2012 hasta el próximo mes, cuando éste pase a un solo paquete de continuación. La compañía anunció en agosto que comenzaría a agrupar juntas en un solo parches de actualización para los sistemas operativos, junto con parches de .NET Framework a partir de octubre. Nathan Mercer de Microsoft confirmó en el momento en que las actualizaciones para el servicio Pila y Adobe Flash, no se incluirán en futuros paquetes de continuación. El paso a cambios acumulativos sobre todo se está haciendo por conveniencia y para reducir la fragmentación en la actualización pero los expertos ya han llamado la técnica en cuestión, criticando aplicaciones de misión crítica legado que los podrían romper las empresas.


Fecha actualización el 2016-9-14. Fecha publicación el . Categoría: Microsoft. Autor: Mapa del sitio
microsoft