Avisos 26 de August, 2013

Butlletins Microsoft Agost 2013

Microsoft ha publicat les seves actualitzacions mensuals corresponents al mes d'agost, que inclouen vuit butlletins de seguretat, tres d'ells crítics.
Impacte
 
Execució remota de codi, elevació de privilegis, denegació de servei i fuita d'informació.
 
 
Productes afectats
 
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 amb SP2 per sistemes amb Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemes de 32 bits Service Pack 2
Windows Server 2008 per sistemes x64 Service Pack 2
Windows Server 2008 per sistemes amb Itanium Service Pack 2
Windows 7 per sistemes de 32 bits Service Pack 1
Windows 7 per sistemes x64 Service Pack 1
Windows Server 2008 R2 per sistemes x64 Service Pack 1
Windows Server 2008 R2 per sistemes amb Itanium Service Pack 1
Windows 8 per sistemes de 32 i 64 bits
Windows Server 2012
Windows RT
Windows Server 2008 per sistemes de 32 bits Service Pack 2 (instal•lació Server Core)
Windows Server 2008 per sistemes x64 Service Pack 2 (instal•lació Server Core)
Windows Server 2008 R2 per sistemes x64 Service Pack 1 (instal•lació Server Core)
Windows Server 2012 (instal•lació Server Core)
Internet Explorer 6, 7, 8, 9 i 10
 
Solució
 
Les actualitzacions publicades poden descarregar-se mitjançant el servei Windows Update, o consultant els corresponents butlletins de Microsoft, on s'inclouen les adreces de descàrrega directa de cada pegat.
  
Detall
 
Butlletins Crítics:
 
MS13-059: actualització de seguretat per Internet Explorer que resol onze vulnerabilitats. La més greu de les vulnerabilitats podria permetre l'execució remota de codi si un usuari, mitjançant Internet Explorer, visita una pàgina web especialment dissenyada. A més, un atacant podria obtenir el mateix nivell de drets d'usuari que l'usuari actual aprofitant aquesta vulnerabilitat més greu. 
      o CVE-2013-3184
      o CVE-2013-3186
      o CVE-2013-3187
      o CVE-2013-3188
      o CVE-2013-3189
      o CVE-2013-3190
      o CVE-2013-3191
      o CVE-2013-3192
      o CVE-2013-3193
      o CVE-2013-3194
      o CVE-2013-3199
 
MS13-060: actualització de seguretat que resol una vulnerabilitat en el processador d'scripts Unicode inclòs a Microsoft Windows. La vulnerabilitat podria permetre l'execució remota de codi si un usuari consulta un document o una pàgina web especialment dissenyats amb una aplicació que admeti fonts OpenType incrustades. A més, un atacant podria obtenir el mateix nivell de drets d'usuari que l'usuari actual aprofitant aquesta vulnerabilitat més greu. 
      o CVE-2013-3181
 
MS13-061: actualització de seguretat que resol tres vulnerabilitats a Microsoft Exchange Server. Les vulnerabilitats podrien permetre l'execució remota de codi en el context de seguretat del servei de transcodificació al servidor Exchange si un usuari obté una vista prèvia d'un arxiu especialment dissenyat mitjançant l'Outlook Web App (OWA). 
      o CVE-2013-2393
      o CVE-2013-3776
      o CVE-2013-3781
 
Butlletins Importants: 
 
MS13-062: actualització de seguretat que resol una vulnerabilitat a Microsoft Windows. La vulnerabilitat podria permetre l'elevació de privilegis si un atacant envia una sol•licitud RPC especialment dissenyada. 
      o CVE-2013-3175
 
MS13-063: actualització de seguretat que resol quatre vulnerabilitats a Microsoft Windows. Les vulnerabilitats més greus podrien permetre l'elevació de privilegis si un atacant inicia sessió localment i executa una aplicació especialment dissenyada. Per aprofitar aquesta vulnerabilitat, un atacant ha de tenir credencials d'inici de sessió vàlides i ser capaç d'aprofitar aquestes vulnerabilitats. Els usuaris anònims o els usuaris remots no poden aprofitar aquestes vulnerabilitats. 
      o CVE-2013-2556
      o CVE-2013-3196
      o CVE-2013-3197
      o CVE-2013-3198
 
MS13-064: actualització de seguretat que resol una vulnerabilitat a Microsoft Windows. La vulnerabilitat podria permetre la denegació de servei si un atacant envia un paquet ICMP especialment dissenyat a un servidor que executi el servei Controlador de Windows NAT. 
      o CVE-2013-3182
 
MS13-065: actualització de seguretat que resol una vulnerabilitat a Microsoft Windows. La vulnerabilitat podria permetre la denegació de servei si un atacant envia un paquet ICMP especialment dissenyat al sistema destí. 
      o CVE-2013-3183
 
MS13-066: actualització de seguretat que resol una vulnerabilitat als Serveis de federació d'Active Directory (AD FS). La vulnerabilitat podria divulgar informació pertanyent a un compte usat per AD FS. Un atacant podria intentar inicis de sessió des de fora de la xarxa corporativa, el que provocaria el bloqueig del compte de servei utilitzat per AD FS si s'ha configurat una directiva de bloqueig. Això donaria com a resultat la denegació de servei de totes les aplicacions que es basin en la instància d'AD FS. 
      o CVE-2013-3185
 
 
Referències
 
Resum del butlletí de seguretat de Microsoft d'agost de 2013
Butlletí MS13-059
Butlletí MS13-060
Butlletí MS13-061
Butlletí MS13-062
Butlletí MS13-063
Butlletí MS13-064
Butlletí MS13-065
Butlletí MS13-066
Publicat a: Avisos