Publicado el boletín de seguridad Microsoft de octubre 2016


Microsoft ha publicado el boletín de seguridad correspondiente a octubre de 2016, en el cual se describe los principales fallos de seguridad corregidos en Windows y otros productos de la compañía de Redmond.

En esta ocasión nos encontramos con 10 vulnerabilidades, de las cuales 5 han sido consideradas como críticas.

  • MS16-118: (Crítica) Actualización de Seguridad Acumulativa para Internet Explorer (3192887). Esta actualización de seguridad resuelve vulnerabilidades halladas en Internet Explorer. Las más severas de estas vulnerabilidades permitían la ejecución de código en remoto si un usuario visitaba una página web específicamente diseñada. El atacante que explotase con éxito las vulnerabilidades podía adquirir los permisos del usuario en ejecución, siendo los daños mayores en caso de utilizar un administrador, lo que daría al atacante la posibilidad de hasta modificar el sistema.
  • MS16-119: (Crítica) Actualización de Seguridad Acumulativa para Microsoft Edge (3192890). Esta actualización de seguridad resuelve vulnerabilidades halladas en Microsoft Edge. Las más severas de estas vulnerabilidades permitían la ejecución de código en remoto si un usuario visitaba una página web específicamente diseñada. El atacante que explotase con éxito las vulnerabilidades podía adquirir los permisos del usuario en ejecución, siendo los daños mayores en caso de utilizar un administrador, lo que daría al atacante la posibilidad de hasta modificar el sistema.
  • MS16-120: (Crítica) Actualización para el componente de gráficos de Microsoft (3192884). Esta actualización de seguridad resuelve vulnerabilidades halladas en Microsoft Windows, .NET Framework, Microsoft Office, Skype para Empresas, Silverlight y Lync. Las más severas de esas vulnerabilidades podían permitir la ejecución de código en remoto si un usuario visitaba una página web específicamente diseñada o abría un documento específicamente diseñado. Los usuarios con menos privilegios sobre el sistema tendrán un impacto menor que aquellos que hagan uso de privilegios de administrador.
  • MS16-121: (Importante) Actualización de seguridad para Microsoft Office (3194063). Esta actualización de seguridad resuelve una vulnerabilidad hallada en Microsoft Office. Dicha vulnerabilidad se explotaba cuando la suite manejaba incorrectamente ficheros RTF, lo que dejaba expuesto una vulnerabilidad de ejecución de código en remoto en Office RTF. El atacante que consiguiera explotar la vulnerabilidad con éxito podía ejecutar código arbitrario dentro del contexto del usuario en ejecución.
  • MS16-122: (Crítica) Actualización de seguridad para el control de vídeo de Microsoft (3195360). Esta actualización de seguridad resuelve una vulnerabilidad hallada en Windows que podía permitir la ejecución de código en remoto si el Control de Vídeo de Microsoft (Microsoft Video Control) fallaba a la hora de manejar objetos en memoria. Un atacante que explotase con éxito la vulnerabilidad podía ejecutar código arbitrario dentro del contexto del usuario en ejecución. Sin embargo, el atacante tenía que convencer a su víctima para que abriera un fichero específicamente diseñado o un programa procedente de una página web o un email.
  • MS16-123: (Importante) Actualización de seguridad para el modo de kernel seguro de Windows (3192892). Esta actualización de seguridad resuelve vulnerabilidades halladas en Microsoft Windows. Las más severas de esas vulnerabilidades podían permitir una escalada de privilegios si un atacante accedía a un sistema afectado y ejecutaba una aplicación específicamente diseñada que podía explotar las vulnerabilidades y tomar el control del sistema afectado.
  • MS16-124: (Importante) Actualización de seguridad para el Registro de Windows (3193227). Esta actualización de seguridad resuelve vulnerabilidades halladas en Windows. Dichas vulnerabilidades podían permitir una escalada de privilegios si un atacante accedía a información sensible del registro.
  • MS16-125: (Importante) Actualización de seguridad para Diagnostics Hub (3193229). Esta actualización de seguridad resuelve una vulnerabilidad hallada en Windows que podía permitir una escalada de privilegios si un atacante accedía a un sistema afectado y ejecuta una aplicación específicamente diseñada.
  • MS16-126: (Moderada) Actualización de seguridad para la API de mensajería de Internet de Microsoft (3196067). Esta actualización de seguridad resuelve una vulnerabilidad hallada en Windows. Una vulnerabilidad de filtración de información se presentaba cuando la API de mensajería de Internet de Microsoft manejaba de forma inapropiada un objeto en memoria. Un atacante que consiguiese explotar esta vulnerabilidad con éxito podía realizar pruebas para la presencia de ficheros en disco.
  • MS16-127: (Crítica) Actualización de seguridad Adobe Flash Player (3194343). Esta actualización de seguridad resuelve vulnerabilidades halladas en Adobe Flash Player cuando es instalado en todas las ediciones de Windows soportadas de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 y Windows 10.