El martes, 9 de octubre de 2018, Microsoft publicará nuevas actualizaciones de seguridad que afectan a los siguientes productos de Microsoft:
| Familia de productos | Gravedad máxima |
Impacto máximo |
Artículos de KB relacionados o páginas web de soporte técnico |
| Windows 10 v1809, v1803, v1709, v1703, v1607, Windows 10 para sistemas de 32 bits y Windows 10 para sistemas basados en x64 (sin incluir Edge) | Crítica |
Ejecución del código remoto |
Windows 10 v1809: 4464330; Windows 10 v1803: 4462919; Windows 10 v1709: 4462918; Windows 10 v1703: 4462937; Windows 10 v1607: 4462917 y Windows 10: 4462922 |
| Microsoft Edge | Crítica |
Ejecución del código remoto |
Microsoft Edge: 4464330, 4462919, 4462918, 4462937, 4462917, 4462922 |
| Instalaciones de Windows Server 2019, Windows Server 2016 y Server Core (2019, 2016, v1803 y v1709) | Crítica |
Ejecución del código remoto |
Windows Server 2019: 4464330; Windows Server 2016: 4462917 |
| Windows 8.1 y Windows Server 2012 R2 | Crítica |
Ejecución del código remoto |
Paquete acumulativo mensual para Windows 8,1 y Windows Server 2012 R2: 4462926 Actualización de solo seguridad para Windows 8,1 y Windows Server 2012 R2: 4462941 |
| Windows Server 2012 | Crítica |
Ejecución del código remoto |
Paquete acumulativo mensual para Windows Server 2012: 4462929 Windows Server 2012 (solo seguridad): 4462931 |
| Windows RT 8.1 | Crítica |
Ejecución del código remoto |
Windows RT 8.1: 4462926 Nota: Las actualizaciones de Windows RT 8.1 solo están disponibles a través de Windows Update. |
| Windows 7 y Windows Server 2008 R2 | Crítica |
Ejecución del código remoto |
Paquete acumulativo mensual para Windows 7 y Windows Server 2008 R2: 4462923 Actualización de solo seguridad para Windows 7 y Windows Server 2008 R2: 4462915 |
| Windows Server 2008 | Crítica |
Ejecución del código remoto |
Las actualizaciones para Windows Server 2008 ahora se ofrecen en forma de paquetes acumulativos mensuales de solo seguridad. Paquete acumulativo mensual para Windows Server 2008: 4463097 Windows Server 2008 (solo seguridad): 4463104 |
| Internet Explorer | Crítica |
Ejecución del código remoto |
Paquete acumulativo mensual para Internet Explorer 11: 4462923 y 4462926; Paquete acumulativo para Internet Explorer 11 IE: Actualización de seguridad para Internet Explorer 11: 4464330, 4462937, 4462922, 4462919, 4462918 |
| Software relacionado con Microsoft Office | Importante |
Ejecución del código remoto |
El número de artículos de KB relacionados con Microsoft Office para cada lanzamiento de actualizaciones de seguridad mensual varía en función del número de CVE y del número de componentes afectados. Hay varios artículos de soporte técnico relacionados con las actualizaciones de Office; demasiados para hacer un resumen. Revise el contenido de la Guía de actualizaciones de seguridad para obtener detalles sobre los artículos. |
| Software relacionado con Microsoft SharePoint | Importante |
Elevación de privilegios |
Software relacionado con Microsoft SharePoint: 4461450, 4461447 y 4092481 |
| Microsoft Exchange Server | Importante |
Ejecución del código remoto |
Microsoft Exchange Server: 4459266 y 2565063 |
| SQL Server Management Studio | Importante |
Divulgación de información |
Las actualizaciones de Microsoft SQL Server están disponibles en https://docs.microsoft.com/es-es/sql/. |
| ChakraCore | Crítica |
Ejecución del código remoto |
ChakraCore es el núcleo de Chakra, el motor de JavaScript de alto rendimiento que impulsa Microsoft Edge y aplicaciones de Windows escritas en HTML/CSS/JS. Encontrará más información en https://github.com/Microsoft/ChakraCore/wiki. |
Descripción de las vulnerabilidades de seguridad
A continuación se proporciona un resumen en el que se muestra el número de vulnerabilidades tratadas en esta versión, desglosado por producto o componente y por impacto.
| Detalles de la vulnerabilidad (1) |
RCE |
EOP |
ID |
SFB |
DOS |
SPF |
Divulgación pública |
Vulnerabilidad conocida |
CVSS máx. |
| Windows 10 1809 y Windows Server 2019 |
6 |
5 |
6 |
2 |
0 |
0 |
2 |
1 |
7,8 |
| Windows 10 1803 y Windows Server v1803 |
5 |
6 |
7 |
3 |
0 |
0 |
2 |
1 |
7,8 |
| Windows 10 1709 y Windows Server v1709 |
6 |
5 |
7 |
3 |
0 |
0 |
2 |
1 |
7,8 |
| Windows 8.1 y Server 2012 R2 |
4 |
4 |
6 |
1 |
0 |
0 |
1 |
1 |
7,8 |
| Windows Server 2012 |
4 |
4 |
5 |
1 |
0 |
0 |
1 |
1 |
7,8 |
| Windows 7 y Server 2008 R2 |
5 |
3 |
5 |
1 |
0 |
0 |
1 |
1 |
7,8 |
| Windows Server 2008 |
4 |
3 |
6 |
1 |
0 |
0 |
1 |
1 |
7,8 |
| Internet Explorer |
2 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
7,5 |
| Microsoft Edge |
7 |
0 |
0 |
2 |
0 |
0 |
0 |
0 |
4,3 |
| Software relacionado con Microsoft Office |
4 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| Software relacionado con Microsoft SharePoint |
0 |
4 |
0 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| Microsoft Exchange Server |
2 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| SQL Server Management Studio |
0 |
0 |
3 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| ChakraCore |
7 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
(1) Es posible que las vulnerabilidades que aparecen en varios componentes se representen más de una vez en la tabla.
(2) En el momento de la publicación, las puntuaciones CVE solo estaban disponibles para Windows, Internet Explorer y Microsoft Edge.
Guía de actualizaciones de seguridad
La Guía de actualizaciones de seguridad es nuestro recurso recomendado para obtener información sobre actualizaciones de seguridad. Puede personalizar sus vistas y crear hojas de cálculo del software afectado, así como descargar datos a través de una API de RESTful. Le recordamos que la Guía de actualizaciones de seguridad ya ha sustituido a las páginas web de los boletines de seguridad habituales.
Portal de la Guía de actualizaciones de seguridad: https://aka.ms/securityupdateguide
Página web de preguntas más frecuentes (P+F) sobre la Guía de actualizaciones de seguridad: https://technet.microsoft.com/es-es/security/mt791750
Detalles de la vulnerabilidad
A continuación, encontrará los resúmenes de algunas de las vulnerabilidades de seguridad de esta versión. Estas vulnerabilidades se han seleccionado entre el conjunto global de vulnerabilidades existentes en la versión por alguno de los motivos siguientes: 1) Hemos recibido consultas relacionadas con la vulnerabilidad; 2) la vulnerabilidad se ha puesto de relieve en la prensa especializada; o 3) la vulnerabilidad puede resultar más perjudicial que otras de la misma versión. Dado que no proporcionamos resúmenes para todas las vulnerabilidades de la versión, debería consultar el contenido de la Guía de actualizaciones de seguridad
para buscar la información que no esté contenida en estos resúmenes.
| CVE-2018-8423 | Vulnerabilidad de ejecución de código remoto del motor de base de datos de Microsoft Jet |
| Resumen ejecutivo | Existe una vulnerabilidad de ejecución de código remoto del motor de base de datos de Microsoft Jet Un atacante que aprovechara esta vulnerabilidad con éxito podría tomar el control de un sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario. La actualización de seguridad resuelve la vulnerabilidad al modificar la forma en que el motor de base de datos de Microsoft Jet controla los objetos de la memoria. |
| Vectores de ataque | Para aprovechar esta vulnerabilidad, un usuario debe abrir o importar un archivo de base de datos de Microsoft Jet especialmente diseñado. En un escenario de ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad enviando al usuario un archivo especialmente diseñado y convenciéndolo para que lo abra. |
| Factores mitigadores | Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el contenido controlado por él. En cambio, el atacante tendría que convencer a los usuarios para que realicen alguna acción, normalmente consiguiendo que hagan clic en un enlace que aparece en un correo electrónico o mensaje instantáneo y que los lleva al sitio web del atacante, o que abran un archivo adjunto enviado por correo electrónico. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Todas las versiones compatibles de Windows |
| Impacto | Ejecución del código remoto |
| Gravedad | Importante |
| ¿Divulgación pública? | Sí |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 2: vulnerabilidad menos probable |
| Evaluación de vulnerabilidad, heredada: | 2: vulnerabilidad menos probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8423 |
| CVE-2018-8453 | Vulnerabilidad de elevación de privilegios de Win32k |
| Resumen ejecutivo | Existe una vulnerabilidad de elevación de privilegios en Windows cuando el componente de Win32k no controla correctamente los objetos de la memoria. Un atacante que aprovechara esta vulnerabilidad con éxito podría ejecutar código arbitrario en modo de kernel. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario. La actualización resuelve la vulnerabilidad al corregir el modo en que Win32k controla los objetos de la memoria. |
| Vectores de ataque | Para aprovechar esta vulnerabilidad, un atacante tendría que iniciar sesión en el sistema primero. Así, un atacante podría ejecutar una aplicación especialmente diseñada para aprovechar la vulnerabilidad y tomar el control del sistema afectado. |
| Factores mitigadores | Microsoft no ha identificado ningún factor mitigador para esta vulnerabilidad. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Todas las versiones compatibles de Windows |
| Impacto | Elevación de privilegios |
| Gravedad | Importante |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | Sí |
| Evaluación de vulnerabilidad, más reciente: | 1: vulnerabilidad más probable |
| Evaluación de vulnerabilidad, heredada: | 0: vulnerabilidad detectada |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8453 |
| CVE-2018-8493 | Vulnerabilidad de divulgación de información de TCP/IP de Windows |
| Resumen ejecutivo | Existe una vulnerabilidad de divulgación de información cuando la pila TCP/IP de Windows gestiona de manera incorrecta los paquete IP fragmentados. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener información que pondrá en mayor peligro el sistema del usuario. La actualización resuelve la vulnerabilidad al corregir cómo la pila TCP/IP Windows controla los paquetes IP fragmentados. |
| Vectores de ataque | Para aprovechar esta vulnerabilidad, un atacante tendría que enviar paquetes IP especialmente diseñados a un equipo Windows remoto. La vulnerabilidad no permitiría al atacante ejecutar código ni elevar los derechos de usuario directamente, pero podría usarse para obtener información que podría emplearse para poner en riesgo aún más el sistema. |
| Factores mitigadores | Microsoft no ha identificado ningún factor mitigador para esta vulnerabilidad. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Windows 10 v1803, Windows 10 v1709, Windows 10 v1703, Windows 10 v1607, Windows 10 para sistemas de 32 bits, Windows 10 para sistemas basados en x64, Windows 8.1, Windows RT 8.1, Windows Server v1803 (Server Core), Windows Server v1709 (Server Core), Windows Server 2016, Windows Server 2016 (Server Core), Windows Server 2012 R2 y Windows Server 2012 R2 (Server Core). |
| Impacto | Divulgación de información |
| Gravedad | Importante |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 1: vulnerabilidad más probable |
| Evaluación de vulnerabilidad, heredada: | 1: vulnerabilidad más probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8493 |
| CVE-2018-8432 | Ejecución de código remoto de componentes de gráficos de Microsoft |
| Resumen ejecutivo | Existe una vulnerabilidad de ejecución de código remoto en la forma en la que los componentes de gráficos de Microsoft gestionan los objetos en la memoria. Un atacante que aprovechara la vulnerabilidad con éxito podría ejecutar código arbitrario en un sistema de destino. La actualización de seguridad resuelve la vulnerabilidad al corregir la manera en que los componentes de gráficos de Microsoft gestionan los objetos en la memoria. |
| Vectores de ataque | Para aprovechar la vulnerabilidad, un atacante debería incitar a un usuario a que abra un archivo especialmente diseñado. |
| Factores mitigadores | Un atacante no puede forzar de ninguna forma a los usuarios a abrir contenido el archivo. En cambio, un atacante tendría que convencer a los usuarios para que hagan clic en un enlace, normalmente llamando su atención por correo electrónico o mensaje instantáneo, y, a continuación, convencerlos para que abran el archivo especialmente diseñado a tal efecto. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Microsoft Excel Viewer 2007, Office 2016 para Mac, Office 2019, Office Compatibility Pack, Word Viewer, PowerPoint Viewer 2007, Office 365 ProPlus, Windows 10, versión 1809, Windows 7, Windows Server 2019, Windows Server 2019 (Server Core), Windows Server 2008 R2, Windows Server 2008 R2 (Server Core), Windows Server 2008 y Windows Server 2008 (Server Core). |
| Impacto | Ejecución del código remoto |
| Gravedad | Importante |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 2: vulnerabilidad menos probable |
| Evaluación de vulnerabilidad, heredada: | 2: vulnerabilidad menos probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8432 |
| CVE-2018-8498 | Vulnerabilidad de elevación de privilegios de Microsoft SharePoint |
| Resumen ejecutivo | Existe una vulnerabilidad de elevación de privilegios cuando Microsoft SharePoint Server no logra corregir correctamente una solicitud web especialmente diseñada a SharePoint Server. Un atacante autenticado podría aprovechar la vulnerabilidad al enviar una solicitud especialmente diseñada a un servidor SharePoint afectado. La actualización de seguridad resuelve la vulnerabilidad al ayudar a garantizar que SharePoint Server corrige correctamente las solicitudes web. |
| Vectores de ataque | Un atacante que aprovechara la vulnerabilidad con éxito podría ejecutar llevar a cabo ataques de scripting entre sitios en los sistemas afectados y ejecutar script en el contexto de seguridad del usuario actual. Estos ataques podrían permitir al atacante leer contenido que no está autorizado a leer, usar la identidad de la víctima para tomar medidas en el sitio SharePoint en nombre del usuario, como cambiar los permisos y eliminar contenido, e inyectar contenido malintencionado en el explorador del usuario. |
| Factores mitigadores | Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Microsoft SharePoint Enterprise Server 2016 y SharePoint Enterprise Server 2013. |
| Impacto | Elevación de privilegios |
| Gravedad | Importante |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 2: vulnerabilidad menos probable |
| Evaluación de vulnerabilidad, heredada: | 2: vulnerabilidad menos probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8498 |
Respecto a la coherencia de la información
Procuramos proporcionarle información precisa a través de contenido estático (este correo) y dinámico (basado en web). El contenido de seguridad de Microsoft publicado en la Web se actualiza con frecuencia para incluir la información más reciente. Si esto provoca incoherencias entre la información de aquí y la información del contenido de seguridad basado en web de Microsoft, la información autorizada es esta última.
Si tiene alguna pregunta respecto a esta alerta, póngase en contacto con su administrador técnico de cuentas (TAM) o director de prestación de servicios (SDM).
Saludos!
Microsoft CSS Security Team