Avisos 12 de September, 2013

Butlletins Microsoft Setembre 2013

Microsoft ha publicat les seves actualitzacions mensuals corresponents al mes de Setembre, que inclouen tretze butlletins de seguretat, quatre d'ells crítics.
 
Impacte
 
Execució remota de codi, elevació de privilegis, denegació de servei i fuita d'informació.
 
Productes afectats
 
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 amb SP2 per sistemes Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemes de 32 bits Service Pack 2
Windows Server 2008 per sistemes x64 Service Pack 2
Windows Server 2008 per sistemes Itanium Service Pack 2
Windows 7 per sistemes de 32 bits Service Pack 1
Windows 7 per sistemes x64 Service Pack 1
Windows Server 2008 R2 per sistemes x64 Service Pack 1
Windows Server 2008 R2 per sistemes Itanium Service Pack 1
Windows 8 per sistemes de 32 bits
Windows 8 per sistemes de 64 bits
Windows Server 2012
Windows RT
Windows Server 2008 per sistemes de 32 bits Service Pack 2 (instal•lació Server Core)
Windows Server 2008 per sistemes x64 Service Pack 2 (instal•lació Server Core)
Windows Server 2008 R2 per sistemes x64 Service Pack 1 (instal•lació Server Core)
Windows Server 2012 (instal•lació Server Core)
Internet Explorer 6, 7, 8, 9 i 10
Microsoft Office 2003 Service Pack 3
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 per sistemes de 32 bits Service Pack 1 i Service Pack 2
Microsoft Office 2010 per sistemes de 64 bits Service Pack 1 i Service Pack 2
Microsoft Office 2013 (32-bit editions)
Microsoft Office 2013 (64-bit editions)
Microsoft Office 2013 RT
Microsoft Office for Mac 2011
Microsoft Office Compatibility Pack Service Pack 3
Microsoft Word Viewer
Microsoft Excel Viewer
Microsoft SharePoint Portal Server 2003 Service Pack 3
Microsoft SharePoint Server 2007 per sistemes de 32 bits Service Pack 3
Microsoft SharePoint Server 2007 per sistemes de 64 bits Service Pack 3
Microsoft SharePoint Server 2010 Service Pack 1 i Service Pack 2
Microsoft SharePoint Server 2013
Microsoft Office Web Apps 2010 Service Pack 1 i Service Pack 2
Microsoft FrontPage 2003 Service Pack 3
 
Solució
 
Les actualitzacions publicades poden descarregar-se mitjançant el servei Windows Update, o consultant els corresponents butlletins de Microsoft, on s'inclouen les adreces de descàrrega directa de cada pegat.
 
Detall
 
Butlletins Crítics:
MS13-067: actualització de seguretat per Microsoft SharePoint Server que resol deu vulnerabilitats. La més greu podria permetre l'execució remota de codi en el context d'un compte de servei W3WP si un atacant envia contingut especialment dissenyat al servidor afectat. 
o CVE-2013-0081
o CVE-2013-1315
o CVE-2013-1330
o CVE-2013-3179
o CVE-2013-3180
o CVE-2013-3847
o CVE-2013-3848
o CVE-2013-3849
o CVE-2013-3857
o CVE-2013-3858
 
MS13-068: actualització de seguretat per Microsoft Outlook que resol una vulnerabilitat. La vulnerabilitat podria permetre l'execució remota de codi si un usuari obre o obté una vista prèvia d'un missatge de correu electrònic especialment dissenyat mitjançant una edició afectada de Microsoft Outlook. A més, un atacant podria obtenir el mateix nivell de drets d'usuari que l'usuari actual aprofitant aquesta vulnerabilitat més greu. 
o CVE-2013-3870
 
MS13-069: actualització de seguretat per Internet Explorer que resol deu vulnerabilitats. La més greu podria permetre l'execució remota de codi si un usuari, mitjançant Internet Explorer, visita una pàgina web especialment dissenyada. Si un atacant aprofita la vulnerabilitat més greu podria aconseguir el mateix nivell de drets d'usuari que l'usuari actual. Els usuaris que tinguin els comptes configurats amb menys drets d'usuari en el sistema correrien un risc menor que els que compten amb drets d'usuari administratius. 
o CVE-2013-3201
o CVE-2013-3202
o CVE-2013-3203
o CVE-2013-3204
o CVE-2013-3205
o CVE-2013-3206
o CVE-2013-3207
o CVE-2013-3208
o CVE-2013-3209
o CVE-2013-3845
MS13-070: actualització de seguretat per Microsoft Windows que resol una vulnerabilitat. La vulnerabilitat podria permetre l'execució remota de codi si un usuari obre un arxiu que conté un objecte OLE especialment dissenyat. Un atacant que aprofités aquesta vulnerabilitat podria aconseguir el mateix nivell de drets d'usuari que l'usuari actual. Els usuaris que tinguin els comptes configurats amb menys drets d'usuari en el sistema correrien un risc menor que els que compten amb drets d'usuari administratius. 
o CVE-2013-3863
 
Butlletins Importants:
 
MS13-071: actualització de seguretat que resol una vulnerabilitat a Microsoft Windows. La vulnerabilitat podria permetre l'execució remota de codi si un usuari aplica un tema de Windows especialment dissenyat en el seu sistema. 
o CVE-2013-0810
 
MS13-072: actualització de seguretat que resol tretze vulnerabilitats a Microsoft Office. Les vulnerabilitats més greus podrien permetre l'execució remota de codi si s'obre un arxiu especialment dissenyat en una versió afectada del programari de Microsoft Office. Un atacant que aprofiti les vulnerabilitats més greus podria aconseguir el mateix nivell de drets d'usuari que l'usuari actual. Els usuaris de comptes configurats amb menys drets d'usuari en el sistema correrien un risc menor que els que compten amb drets d'usuari administratius. 
o CVE-2013-3847
o CVE-2013-3848
o CVE-2013-3849
o CVE-2013-3850
o CVE-2013-3851
o CVE-2013-3852
o CVE-2013-3853
o CVE-2013-3854
o CVE-2013-3855
o CVE-2013-3856
o CVE-2013-3857
o CVE-2013-3858
o CVE-2013-3160
 
MS13-73: actualització de seguretat que resol tres vulnerabilitats a Microsoft Excel. Les vulnerabilitats més greus podrien permetre l'execució remota de codi si un usuari obre un arxiu d'Office especialment dissenyat amb una versió afectada de Microsoft o un altre programari de Microsoft Office. Un atacant que aprofités les vulnerabilitats més greus podria aconseguir el mateix nivell de drets d'usuari que l'usuari actual. Els usuaris amb comptes configurats amb menys drets d'usuari en el sistema correrien un risc menor que els que compten amb drets d'usuari administratius. 
o CVE-2013-1315
o CVE-2013-3158
o CVE-2013-3159
 
MS13-74: actualització de seguretat que resol tres vulnerabilitats a Microsoft Access. Les vulnerabilitats podrien permetre l'execució remota de codi si un usuari obre un arxiu d'Access especialment dissenyat amb una versió afectada de Microsoft Access. Un atacant que aprofitara les vulnerabilitats podria aconseguir el mateix nivell de drets d'usuari que l'usuari actual. Els usuaris amb comptes configurats amb menys drets d'usuari en el sistema correrien un risc menor que els que compten amb drets d'usuari administratius. 
o CVE-2013-3155
o CVE-2013-3156
o CVE-2013-3157
 
MS13-75: actualització de seguretat que resol una vulnerabilitat a Microsoft Office IME (chino). La vulnerabilitat podria permetre l'elevació de privilegis si un atacant que ha iniciat la sessió inicia Internet Explorer des de la barra d'eines en Microsoft Pinyin IME per xinès simplificat. Un atacant que aconseguís aprofitar aquesta vulnerabilitat podria executar codi arbitrari en mode nucli. D'aquesta manera, un intrús podria instal•lar programes, veure, canviar o eliminar dades, o crear comptes nous amb tots els drets administratius. Només les implementacions de Microsoft Pinyin IME 2010 estan afectades per aquesta vulnerabilitat. Altres versions d'IME de xinès simplificat i altres implementacions d'IME no estan afectades. 
o CVE-2013-3859
 
MS13-76: actualització de seguretat que resol set vulnerabilitats en els controladors mode kernel. Les vulnerabilitats podrien permetre l'elevació de privilegis si un atacant inicia sessió en el sistema i executa una aplicació especialment dissenyada. Per aprofitar aquesta vulnerabilitat, un atacant ha de tindre unes credencials d'inici de sessió vàlides i ser capaç d'aprofitar aquestes vulnerabilitats. 
o CVE-2013-1341
o CVE-2013-1342
o CVE-2013-1343
o CVE-2013-1344
o CVE-2013-3864
o CVE-2013-3865
o CVE-2013-3866
 
MS13-77: actualització de seguretat que resol una vulnerabilitat en el Administrador de control de serveis de Windows. La vulnerabilitat podria permetre l'elevació de privilegis si un atacant convenç a un usuari autenticat per a que executi una aplicació especialment dissenyada. Per aprofitar aquesta vulnerabilitat, l'atacant ha de tindre credencials d'inici de sessió vàlides i poder iniciar sessió localment o convèncer un usuari perquè s'executi l'aplicació especialment dissenyada de l'atacant. 
o CVE-2013-3862
 
MS13-78: actualització de seguretat que resol una vulnerabilitat en FrontPage. La vulnerabilitat podria permetre la divulgació d'informació si un usuari obre un document de FrontPage especialment dissenyat. La vulnerabilitat no es pot aprofitar automàticament, per a que es realitzi l'atac, s'ha de convèncer a un usuari per a que obri el document especialment dissenyat. 
o CVE-2013-3137
 
MS13-79: actualització de seguretat que resol una vulnerabilitat en Active Directory. La vulnerabilitat podria permetre la denegació de servei si un atacant envia una consulta especialment dissenyada al servei de protocol lleuger d'accés a directoris (LDAP). 
o CVE-2013-3868
 
Referències
 
Resum del butlletí de seguretat de Microsoft de Setembre de 2013
Butlletí MS13-067
Butlletí MS13-068
Butlletí MS13-069
Butlletí MS13-070
Butlletí MS13-071
Butlletí MS13-072
Butlletí MS13-073
Butlletí MS13-074
Butlletí MS13-075
Butlletí MS13-076
Butlletí MS13-077
Butlletí MS13-078
Butlletí MS13-079
 
Publicat a: Avisos