Avisos 11 de December, 2013

Butlletins Microsoft Desembre 2013

Microsoft ha publicat les seves actualitzacions mensuals corresponents al mes de desembre, que inclouen 11 butlletins de seguretat, 5 d'ells crítics i 6 importants.

Impacte
 
Execució remota de codi, elevació de privilegis i fuita d'informació. 
 
Productes afectats
 
ASP.NET SignalR 1.1.x
ASP.NET SignalR 2.0.x
Internet Explorer 10
Internet Explorer 11
Internet Explorer 6
Internet Explorer 7
Internet Explorer 8
Internet Explorer 9
Microsoft Exchange Server 2007 Service Pack 3
Microsoft Exchange Server 2010 Service Pack 2
Microsoft Exchange Server 2010 Service Pack 3
Microsoft Lync 2010
Microsoft Lync 2013
Microsoft Office 2003
Microsoft Office 2007
Microsoft Office 2010
Microsoft Office 2013 y Microsoft Office 2013 RT
Microsoft Office Web Apps 2013
Microsoft SharePoint Server 2010 Service Pack 1
Microsoft SharePoint Server 2010 Service Pack 2
Microsoft SharePoint Server 2013
Microsoft Visual Studio Team Foundation Server 2013
Windows 7
Windows 8 y Windows 8.1
Windows RT y Windows RT 8
Windows Server 2003
Windows Server 2003 Service Pack 2
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012 y Windows Server 2012 R2
Windows Vista
Windows Vista Service Pack 2
Windows XP
Windows XP Service Pack 3
 
Solució
 
Les actualitzacions publicades poden descarregar-se mitjançant el servei Windows Update, o consultant els corresponents butlletins de Microsoft, on s'inclouen les adreces de descàrrega directa de cada pegat.
 
Detall
 
Butlletins Crítics:
 
MS13-096: Aquesta actualització de seguretat resol una vulnerabilitat identificada a Microsoft Windows, Microsoft Office i Microsoft Lync. La vulnerabilitat podria permetre l 'execució remota de codi si un usuari consulta contingut amb arxius TIFF especialment dissenyats.  
      o CVE-2013-3906
 
MS13-097: Aquesta actualització de seguretat resol 7 vulnerabilitats identificades a Internet Explorer. La més greu de les vulnerabilitats podria permetre l'execució remota de codi si un usuari, mitjançant Internet Explorer, visita una pàgina web especialment dissenyada. Un atacant que aprofités la més greu d'aquestes vulnerabilitats podria aconseguir el mateix nivell de drets d'usuari que l'usuari actual. Els usuaris els comptes dels quals estiguin configurats amb menys drets d'usuari en el sistema corren un risc menor que els que comptin amb drets d'usuari administratius. 
      o CVE-2013-5045
      o CVE-2013-5046
      o CVE-2013-5047
      o CVE-2013-5048
      o CVE-2013-5049
      o CVE-2013-5051
      o CVE-2013-5052
 
MS13-098: Aquesta actualització de seguretat crítica resol una vulnerabilitat identificada a Microsoft Windows. La vulnerabilitat podria permetre l'execució remota de codi si un usuari o una aplicació executa o instal•la un fitxer portable (PE) executable, signat i especialment dissenyat. 
      o CVE-2013-3900
 
MS13-099: Aquesta actualització de seguretat crítica resol una vulnerabilitat identificada a Microsoft Windows. La vulnerabilitat podria permetre l'execució remota de codi si un atacant convenç un usuari perquè visiti un lloc web especialment dissenyat o un lloc web que allotgi contingut especialment dissenyat. Un intrús que aprofités aquesta vulnerabilitat podria aconseguir el mateix nivell de drets d'usuari que l'usuari local. Els usuaris els comptes dels quals estiguin configurats amb menys drets d'usuari en el sistema corren un risc menor que els que comptin amb drets d'usuari administratius. 
      o CVE-2013-5056
 
MS13-105: Aquesta actualització de seguretat resol quatre vulnerabilitats identificades a Microsoft Exchange Server. La més greu d'aquestes vulnerabilitats es troba en les característiques Presentació de documents WebReady i Prevenció de la pèrdua de dades de Microsoft Exchange Server. Aquestes vulnerabilitats podrien permetre l'execució remota de codi en el context de seguretat del compte LocalService si un atacant envia un missatge de correu electrònic que contingui el fitxer especialment dissenyat a un usuari en un servidor d'Exchange afectat. El compte LocalService té privilegis mínims al sistema local i presenta credencials anònimes a la xarxa.
      o CVE-2013-5763
      o CVE-2013-5791
      o CVE-2013-1330
      o CVE-2013-5072
 
Butlletins Importants:
 
MS13-100: Aquesta actualització de seguretat resol diverses vulnerabilitats identificades al programari de servidor de Microsoft Office. Aquestes vulnerabilitats podrien permetre l'execució remota de codi si un atacant autenticat envia contingut de pàgina especialment dissenyat a un servidor de SharePoint. Un atacant que aprofités aquestes vulnerabilitats podria executar codi arbitrari en el context de seguretat del compte de servei W3Wp en el lloc SharePoint atacat. 
      o CVE-2013-5059
 
MS13-101: Aquesta actualització de seguretat resol 5 vulnerabilitats identificades a Microsoft Windows. La més greu d'aquestes vulnerabilitats podria permetre l'elevació de privilegis si un atacant inicia sessió en el sistema d'un usuari i executa una aplicació especialment dissenyada. Per aprofitar aquesta vulnerabilitat, un atacant ha de tenir unes credencials d'inici de sessió vàlides i ser capaç d'iniciar una sessió local.
      o CVE-2013-3899
      o CVE-2013-3902 
      o CVE-2013-3903
      o CVE-2013-3907 
      o CVE-2013-5058
 
MS13-102: Aquesta actualització de seguretat crítica resol una vulnerabilitat identificada a Microsoft Windows. La vulnerabilitat podria permetre l'elevació de privilegis si un atacant suplanta un servidor LRPC i envia un missatge de port LPC especialment dissenyat a un client LRPC. Un atacant que aprofités la vulnerabilitat podria instal•lar programes, veure, canviar o eliminar dades, o crear comptes nous amb drets d'administrador. Per aprofitar aquesta vulnerabilitat, un atacant ha de tenir unes credencials d'inici de sessió vàlides i ser capaç d'iniciar una sessió local. 
      o CVE-2013-3878
 
MS13-103: Aquesta actualització de seguretat resol una vulnerabilitat identificada a ASP.NET SignalR. La vulnerabilitat podria permetre l'elevació de privilegis si un atacant reflecteix codi JavaScript especialment dissenyat a l'explorador d'un servidor destí. 
      o CVE-2013-5042
 
MS13-104: Aquesta actualització de seguretat resol una vulnerabilitat identificada a Microsoft Office que podria permetre la divulgació d'informació si un usuari intenta obrir un arxiu d'Office allotjat en un lloc web maliciós. Un atacant que aprofités aquesta vulnerabilitat podria esbrinar els tokens d'accés usats per autenticar a l'usuari actual en un lloc de SharePoint destí o en un altre lloc de servidor de Microsoft Office. 
      o CVE-2013-5054
 
MS13-106: Aquesta actualització de seguretat resol una vulnerabilitat identificada en un component compartit de Microsoft Office que s'està aprofitant actualment. La vulnerabilitat podria permetre l'omissió de la característica de seguretat si un usuari consulta una pàgina web especialment dissenyada en un navegador web que pugui executar components COM, com Internet Explorer. En un escenari d'atac, un atacant que aprofités aquesta vulnerabilitat podria ometre la característica de seguretat de selecció aleatòria del disseny de l'espai d'adreces (ASLR), que contribueix a protegir els usuaris d'una àmplia gamma de vulnerabilitats. L'omissió de la característica de seguretat en si mateixa no permet l'execució de codi arbitrari. Tanmateix, un atacant podria utilitzar aquesta vulnerabilitat en conjunt amb una altra vulnerabilitat, com la d'execució remota de codi, per a executar codi arbitrari. 
      o CVE-2013-5057
 
Referències
 
Resum del butlletí de seguretat de Microsoft de Desembre de 2013
Butlletí MS13-096
Butlletí MS13-097
Butlletí MS13-098
Butlletí MS13-099
Butlletí MS13-100
Butlletí MS13-101
Butlletí MS13-102
Butlletí MS13-103
Butlletí MS13-104
Butlletí MS13-105
Butlletí MS13-106
Publicat a: Avisos