Como cada mes, Microsoft publica nuevas actualizaciones de seguridad. La lista de correcciones para mayo ya está disponible.
¿Qué recursos estaban afectados antes de aplicar los parches?
Como siempre hay un poco de todo.
– La familia server: Windows Server 2003, 2008, 2012 y R2.
– Los desktop: Vista, 7, 8, 8.1.
– MS Office
– Internet Explorer
– …
Las actualizaciones corresponden con 13 boletines de seguridad, clasificados como 3 críticos y 10 importantes:
De nivel crítico:
MS15-043: Actualización de seguridad que resuelve varias vulnerabilidades en Internet Explorer. La más grave de ellas puede permitir la ejecución remota de código si un usuario visita una página web manipulada.
MS15-044: Actualización de seguridad que resuelve varias vulnerabilidades en Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Microsoft Lync, y Microsoft Silverlight. La más grave de ellas puede permitir la ejecución remota de código si un usuario abre un documento manipulado o visita una página web no confiable que contengan fuentes TrueType alteradas.
MS15-045: Actualización de seguridad resuelve varias vulnerabilidades en Microsoft Windows. La más grave permite la ejecución remota de código si un usuario abre un archivo Journal manipulado.
De nivel importante:
MS15-046: Actualización de seguridad que resuelve varias vulnerabilidades en Microsoft Office. La más grave permite la ejecución remota de código si un usuario abre un archivo de la suite alterado.
MS15-047: Actualización de seguridad que resuelve varias vulnerabilidades en software de servidor Microsoft Office. Las vulnerabilidades permiten la ejecución remota de código si un atacante autentificado envía una página alterada maliciosamente a un servidor de SharePoint.
MS15-048: Actualización de seguridad que resuelve varias vulnerabilidades en Microsoft .NET Framework. La más grave de ellas permite la elevación de privilegios si un usuario instala una aplicación manipulada con confianza parcial.
MS15-049: Actualización de seguridad que resuelve una vulnerabilidad en Microsoft Silverlight. La vulnerabilidad permite la elevación de privilegios si una aplicación de Silverlight manipulada es ejecutada en un sistema afectado.
MS15-050: Actualización de seguridad que resuelve una vulnerabilidad en Windows Service Control Manager (SCM). Esta tiene su origen cuando SMC de forma incorrect verifica los niveles de suplantación. La vulnerabilidad permitiría la elevación de privilegios si un atacante inicia sesión por primera vez en el sistema y luego ejecuta una aplicación manipulada para aumentar los privilegios.
MS15-051: Actualización de seguridad que resuelve varias vulnerabilidades en Microsoft Windows.La más grave de ellas permitiría la elevación de privilegios si un atacante inicia sesión localmente y ejecuta código arbitrario en modo kernel.
MS15-052: Actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad permitiría sortear la función de seguridad si un atacante inicia sesión en un sistema afectado y ejecuta una aplicación manipulada.
MS15-053: Actualización de seguridad que resuelve una vulnerabilidad en Microsoft Windows, en JScript y VBScript Scripting Engines. Permitiría evadir la funcionalidad de seguridad ASLR en los motores de secuencias de comandos JScript y VBScript en Microsoft Windows. Un atacante podría usar esta vulnerabilidad del ASLR junto con otra, como una vulnerabilidad de ejecución remota de código, para ejecutar de forma más fiable código arbitrario en el sistema objetivo.
MS15-054: Actualización de seguridad que resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad permitiría la denegación de servicio si un atacante remoto no autentificado convence a un usuario para abrir un recurso compartido que contiene un archivo .msc manipulado.
MS15-055: Actualización de seguridad que resuelve una vulnerabilidad en Microsoft Windows. El fallo permitiría la divulgación de información cuando Secure Channel (Schannel) cuando se hace uso de una clave débil Diffie-Hellman efímera (DFE) de longitud de 512 bits en una sesión cifrada TLS.
En resumen, a actualizar.
Fuente
