Avisos 13 de November, 2013

Butlletins Microsoft Novembre 2013

Microsoft ha publicat les seves actualitzacions mensuals corresponents al mes de novembre, que inclouen vuit butlletins de seguretat, tres d'ells crítics.

Impacte
 
Execució remota de codi, elevació de privilegis, denegació de servei i fuita d'informació.
 
Productes afectats
 
Windows Internet Explorer 6, 7, 8, 9, 10 i 11
Windows XP Service Pack 3 
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows 8 for 32-bit Systems
Windows 8 for x64-based Systems
Windows 8.1 for 32-bit Systems
Windows 8.1 for x64-based Systems
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)
Microsoft Office 2003 Service Pack 3
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 1 (32-bit editions)
Microsoft Office 2010 Service Pack 2 (32-bit editions)
Microsoft Office 2010 Service Pack 1 (64-bit editions)
Microsoft Office 2010 Service Pack 2 (64-bit editions)
Microsoft Office 2013 (32-bit editions)
Microsoft Office 2013 (64-bit editions)
Microsoft Office 2013 RT
 
Solució
 
Les actualitzacions publicades poden descarregar-se mitjançant el servei Windows Update, o consultant els corresponents butlletins de Microsoft, on s'inclouen les adreces de descàrrega directa de cada pegat.
 
Detall 
 
Butlletins Crítics:
MS13-088: Aquesta actualització de seguretat resol 10 vulnerabilitats identificades a Internet Explorer. La més greu de les vulnerabilitats podria permetre l'execució remota de codi si un usuari, mitjançant Internet Explorer, visita una pàgina web especialment dissenyada. Un atacant que aprofités la més greu d'aquestes vulnerabilitats podria aconseguir el mateix nivell de drets d'usuari que l'usuari actual. Els usuaris els comptes dels quals estiguin configurats amb menys drets d'usuari en el sistema correrien un risc menor que els que comptin amb drets d'usuari administratius. 
      o CVE-2013-3891
      o CVE-2013-3908
      o CVE-2013-3909
      o CVE-2013-3910
      o CVE-2013-3911
      o CVE-2013-3912
      o CVE-2013-3914
      o CVE-2013-3915
      o CVE-2013-3916
      o CVE-2013-3917
 
MS13-089: Aquesta actualització de seguretat resol una vulnerabilitat identificada a Microsoft Windows. La vulnerabilitat podria permetre l'execució remota de codi si un usuari consulta o obre un arxiu de Windows Write especialment dissenyat en WordPad. Un atacant que aprofités aquesta vulnerabilitat podria aconseguir el mateix nivell de drets d'usuari que l'usuari actual. Els usuaris els comptes dels quals estiguin configurats amb menys drets d'usuari en el sistema correrien un risc menor que els que comptin amb drets d'usuari administratius.
      o CVE-2013-3940
 
MS13-090: Aquesta actualització de seguretat resol una vulnerabilitat identificada a Microsoft Windows que s'està aprofitant actualment. La vulnerabilitat es troba en el control ActiveX de classe Informationcardsigninhelper. La vulnerabilitat podria permetre l'execució remota de codi si un usuari visita una pàgina web especialment dissenyada mitjançant Internet Explorer que executi el control ActiveX. Els usuaris els comptes dels quals estiguin configurats amb menys drets d'usuari en el sistema correrien un risc menor que els que comptin amb drets d'usuari administratius. 
      o CVE-2013-3918
 
Butlletins Importants: 
MS13-091: Aquesta actualització de seguretat resol tres vulnerabilitats identificades a Microsoft Office. Les vulnerabilitats podrien permetre l'execució remota de codi si s'obre un document de WordPerfect especialment dissenyat en una versió afectada del programari de Microsoft Office. Un atacant que aprofités les vulnerabilitats més greus podria aconseguir el mateix nivell de drets d'usuari que l'usuari actual. Els usuaris els comptes dels quals estiguin configurats amb menys drets d'usuari en el sistema correrien un risc menor que els que comptin amb drets d'usuari administratius. 
      o CVE-2013-0082
      o CVE-2013-1324
      o CVE-2013-1325
 
MS13-092: Aquesta actualització de seguretat resol una vulnerabilitat identificada a Microsoft Windows. La vulnerabilitat podria permetre l'elevació de privilegis si un atacant passa un paràmetre de funció especialment dissenyat en una hipertrucada des d'una màquina virtual en execució existent a l'hipervisor. La vulnerabilitat també podria permetre la denegació de servei per al host de Hyper-V si l'atacant passa un paràmetre de funció especialment dissenyat en una hipertrucada des d'una màquina virtual en execució existent a l'hipervisor. 
      o CVE-2013-3898
 
MS13-093: Aquesta actualització de seguretat resol una vulnerabilitat identificada a Microsoft Windows. La vulnerabilitat podria permetre la divulgació d'informació si un atacant inicia sessió en un sistema afectat com a usuari local i executa una aplicació en el sistema que estigui dissenyada perquè l'atacant pugui obtenir informació d'un compte amb privilegis majors. Per aprofitar aquesta vulnerabilitat, l'atacant ha de tenir credencials d'inici de sessió vàlides i ser capaç d'iniciar una sessió local. 
      o CVE-2013-3887
 
MS13-094: Aquesta actualització de seguretat resol una vulnerabilitat identificada a Microsoft Outlook. La vulnerabilitat podria permetre la divulgació d'informació si un usuari obre o obté una vista prèvia d'un missatge de correu electrònic especialment dissenyat mitjançant una versió afectada de Microsoft Outlook. Un atacant que aprofités aquesta vulnerabilitat podria obtenir informació del sistema, com l'adreça IP i els ports TCP oberts, tant del sistema objectiu com d'altres sistemes que comparteixin la xarxa amb ell. 
      o CVE-2013-3905
 
MS13-095: Aquesta actualització de seguretat resol una vulnerabilitat identificada a Microsoft Windows. La vulnerabilitat podria permetre la denegació de servei quan un servei web afectat processés un certificat X.509 especialment dissenyat. 
      o CVE-2013-3869
 
Referències
 
Resum del butlletí de seguretat de Microsoft de Novembre de 2013
Butlletí MS13-088
Butlletí MS13-089
Butlletí MS13-090
Butlletí MS13-091
Butlletí MS13-092
Butlletí MS13-093
Butlletí MS13-094
Butlletí MS13-095
Publicat a: Avisos