• Registrarse
  • Iniciar sesión


  • Resultados 1 al 6 de 6

    Microsoft corrige 11 vulnerabilidades de seguridad

    Microsoft corrige 11 vulnerabilidades de seguridad en sus boletines de seguridad de septiembre . Microsoft , en su ciclo habitual de actualizaciones el segundo martes de cada mes, lanzará mañana martes 14 de septiembre 9 ...

          
    1. #1
      Ex-Colaborador Avatar de Dariosil
      Registrado
      jun 2009
      Ubicación
      Argentina.
      Mensajes
      5.878

      Microsoft corrige 11 vulnerabilidades de seguridad

      Microsoft corrige 11 vulnerabilidades de seguridad en sus boletines de seguridad de septiembre.

      Microsoft, en su ciclo habitual de actualizaciones el segundo martes de cada mes, lanzará mañana martes 14 de septiembre 9 boletines de seguridad que corrigen un total de 11 vulnerabilidades de seguridad. Estas vulnerabilidades afectan a Windows, Internet Information Services (IIS) y Microsoft Office.

      De estos nueve boletines, cuatro han sido considerados por el gigante de Redmond como críticos, y cinco con severidad importante.
      Podemos ver todos los detalles del software afectado en el siguiente enlace:


      - Avance boletín de seguridad de Microsoft septiembre 2010


      Ya que la explotación de estos agujeros de seguridad puede implicar la ejecución de código remoto o la elevación de privilegios, recomendamos aplicar estas actualizaciones de seguridad cuanto antes.


      “Software privativo significa que priva a los usuarios de su libertad“

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de AnYong
      Registrado
      ene 2008
      Ubicación
      Argentina
      Mensajes
      103

      Re: Microsoft corrige 11 vulnerabilidades de seguridad

      Muchas gracias por la info.

      A mantenerse actualizado como siempre.

    3. #3
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención Re: Microsoft corrige 11 vulnerabilidades de seguridad

      Microsoft ha publicado nueve boletines de seguridad (del MS10-061 al MS10-069) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cuatro de los boletines presentan un nivel de gravedad "crítico", mientras que los cinco restantes son clasificados como "importantes". En total se han resuelto 11 vulnerabilidades.

      Los boletines "críticos" son:

      * MS10-061: Actualización para corregir una vulnerabilidad en el servicio de administrador de trabajos de impresión de Windows. Este problema podría permitir la ejecución remota de código si un usuario envía una solicitud de impresora especialmente manipulada a un sistema afectado con una interfaz de administración de trabajos de impresión expuesta a través de RPC. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

      * MS10-062: Se trata de una actualización destinada a solucionar una vulnerabilidad en el codec MPEG-4 que podría permitir la ejecución remota de código si un usuario abre un archivo multimedia específicamente diseñado. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

      * MS10-063: Actualización para corregir una vulnerabilidad en el procesador de scripts Unicode, de forma que podría permitir la ejecución remota de código si un usuario consulta un documento (o una página web) especialmente diseñado con una aplicación que admita fuentes OpenType incrustadas. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

      * MS10-064: Boletín destinado a corregir una vulnerabilidad en Microsoft Outlook en las configuraciones en las que se conecta a un servidor de Exchange en el modo en línea. Este problema podría permitir la ejecución remota de código si un usuario abre u obtiene una vista preliminar de un mensaje de correo electrónico específicamente manipulado. Afecta a Microsoft Outlook 2002, 2003 y 2007.

      Los boletines clasificados como "importantes" son:

      * MS10-065: Actualización para corregir tres vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código elevación de privilegios, en Internet Information Services (IIS). Afecta a IIS 5.1, 6.0, 7.0 y 7.5.

      * MS10-066: Actualización para corregir una vulnerabilidad en RPC que podría permitir la ejecución remota de código en Windows XP y Windows Server 2003.

      * MS10-067 Boletín en el que se ofrece una actualización para evitar una vulnerabilidad en los conversores de texto de WordPad que podría permitir la ejecución remota de código. Afecta a Windows XP y Windows Server 2003.

      * MS10-068: Esta actualización de seguridad resuelve una vulnerabilidad de elevación de privilegios en Active Directory, Active Directory Application Mode (ADAM) y servicio de directorio ligero de Active Directory (AD LDS).

      * MS10-069: Boletín destinado a corregir una vulnerabilidad de elevación de privilegios en CSRSS (Client/Server Runtime Subsystem). El problema reside en la asignación incorrecta de memoria al procesar determinadas transacciones de usuarios. Solo se ven afectados los sistemas con configuración regional en chino, japonés o coreano.

      Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.



      Más Información:

      Resumen del boletín de seguridad de Microsoft de septiembre de 2010
      Resumen del boletín de seguridad de Microsoft de septiembre de 2010

      Boletín de seguridad de Microsoft MS10-061 � Crítico
      Una vulnerabilidad en el servicio de administrador de trabajos de impresión podría permitir la ejecución remota de código (2347290)
      Boletín de seguridad de Microsoft MS10-061 – Crítico: Una vulnerabilidad en el servicio de administrador de trabajos de impresión podría permitir la ejecución remota de código (2347290)

      Boletín de seguridad de Microsoft MS10-062 � Crítico
      Una vulnerabilidad en el códec MPEG-4 podría permitir la ejecución remota de (975558)
      Boletín de seguridad de Microsoft MS10-062 – Crítico: Una vulnerabilidad en el códec MPEG-4 podría permitir la ejecución remota de (975558)

      Boletín de seguridad de Microsoft MS10-063 � Crítico
      Una vulnerabilidad en el procesador de scripts Unicode podría permitir la ejecución remota de código (2320113)
      Boletín de seguridad de Microsoft MS10-063 – Crítico: Una vulnerabilidad en el procesador de scripts Unicode podría permitir la ejecución remota de código (2320113)

      Boletín de seguridad de Microsoft MS10-064 � Crítico
      Una vulnerabilidad en Microsoft Outlook podría permitir la ejecución remota de código (2315011)
      Boletín de seguridad de Microsoft MS10-064 – Crítico: Una vulnerabilidad en Microsoft Outlook podría permitir la ejecución remota de código (2315011)

      Boletín de seguridad de Microsoft MS10-065 - Importante
      Vulnerabilidades en Microsoft Internet Information Services (IIS) podrían permitir la ejecución remota de código (2267960)
      Boletín de seguridad de Microsoft MS10-065 - Importante: Vulnerabilidades en Microsoft Internet Information Services (IIS) podrían permitir la ejecución remota de código (2267960)

      Boletín de seguridad de Microsoft MS10-066 - Importante
      Una vulnerabilidad en la llamada a procedimiento remoto podría permitir la ejecución remota de código (982802)
      Boletín de seguridad de Microsoft MS10-066 - Importante: Una vulnerabilidad en la llamada a procedimiento remoto podría permitir la ejecución remota de código (982802)

      Boletín de seguridad de Microsoft MS10-067 - Importante
      Una vulnerabilidad en los convertidores de texto de WordPad podría permitir la ejecución remota de código (2259922)
      Boletín de seguridad de Microsoft MS10-067 - Importante: Una vulnerabilidad en los convertidores de texto de WordPad podría permitir la ejecución remota de código (2259922)

      Boletín de seguridad de Microsoft MS10-068 - Importante
      Una vulnerabilidad en el servicio de subsistema de autoridad de seguridad local podría permitir la elevación de privilegios (983539)
      Boletín de seguridad de Microsoft MS10-068 - Importante: Una vulnerabilidad en el servicio de subsistema de autoridad de seguridad local podría permitir la elevación de privilegios (983539)

      Boletín de seguridad de Microsoft MS10-069 - Importante
      Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2121546)
      Boletín de seguridad de Microsoft MS10-069 - Importante: Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2121546)

      Fuente

    4. #4
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención Boletín de seguridad para ASP.NET fuera de ciclo.

      Microsoft acaba de publicar el boletín de seguridad MS10-070 de carácter importante, en el que se soluciona una vulnerabilidad en ASP.NET. Aunque la vulnerabilidad no se considera crítica Microsoft publica esta actualización con carácter de urgencia debido a la importancia de la plataforma .net y la importancia del problema al permitir obtener información sensible del servidor.

      Microsoft no suele publicar boletines fuera de ciclo para vulnerabilidades que no se consideren críticas, esto es, que permitan el compromiso de sistemas remotos y que además estén siendo aprovechadas por atacantes. Pero en esta ocasión, el problema afecta a millones de sitios web que hacen uso de las funciones de cifrado AES incluidas en ASP.NET para proteger la integridad de datos, como las cookies, durante las sesiones de usuario. Además estos datos de sesiones se usan en aplicaciones web de gran importancia como banca online, venta on-line y en general cualquier sitio web que precise de un login para identificarse. Todo esto ha convertido una vulnerabilidad de revelación de información (importante según la clasificación de Microsoft) en un problema especialmente preocupante.

      La vulnerabilidad afecta a Microsoft. NET Framework v1.0 SP3, v1.1 SP1, v2.0 SP2, v3.5, v3.5 SP1, v3.5.1 y v4.0, para ASP.NET en Microsoft Internet Information Services (IIS). El problema reside en un error al mostrar errores en ASP.NET. Un atacante remoto podría obtener información sensible (datos cifrados por el servidor) a través de múltiples peticiones que causen errores.

      Entre los posibles efectos se cuentan el descifrar y modificar el View State (__VIEWSTATE), los datos del formulario y, posiblemente cookies o leer archivos de la aplicación, a través de un ataque "padding oracle attack". El objeto ViewState se cifra y envía al cliente en una variable oculta, pero un atacante podría acceder a su contenido descifrado.

      De esta forma, muchos de los efectos podrán depender de la propia aplicación ASP.Net. Por ejemplo, si la aplicación almacena información sensible, como contraseñas o cadenas de conexión a bases de datos, en el objeto ViewState estos datos podrían verse comprometidos.

      Como es habitual, la actualización publicada puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de la vulnerabilidad se recomienda la actualización de los sistemas afectados con la mayor brevedad posible.



      ]Más Información:

      Microsoft Security Bulletin MS10-070 - Important
      Vulnerability in ASP.NET Could Allow Information Disclosure (2418042)
      http://www.microsoft.com/technet/sec.../MS10-070.mspx

      Fear, uncertainty and the padding oracle exploit in ASP.NET
      Troy Hunt: Fear, uncertainty and the padding oracle exploit in ASP.NET

      Understanding the ASP.NET Vulnerability
      Understanding the ASP.NET Vulnerability - Security Research & Defense - Site Home - TechNet Blogs

      Security researchers 'destroy' Microsoft ASP.NET security
      Security researchers 'destroy' microsoft asp.net security - The Inquirer

      Fuente Hispasec

    5. #5
      Usuario Avatar de babydash
      Registrado
      mar 2010
      Ubicación
      El Salvador.
      Mensajes
      1.461

      Re: Microsoft corrige 11 vulnerabilidades de seguridad

      Ya esta actualizado.

      Gracias.

      Saludos

    6. #6
      Usuario Avatar de AnYong
      Registrado
      ene 2008
      Ubicación
      Argentina
      Mensajes
      103

      Re: Microsoft corrige 11 vulnerabilidades de seguridad

      Gracias por la info.

      Ayer me sorprendio el aviso de actualizaciones en Mi PC pero la actualice de todas maneras.

      Ahora me explico el porque de este lanzamiento no programado.