Lanzamiento de actualización de seguridad de Microsoft de abril de 2018
El martes, 10 de abril de 2018, Microsoft publicará nuevas actualizaciones de seguridad que afectan a los siguientes productos de Microsoft:
| Familia de productos | Gravedad máxima | Impacto máximo |
Artículos de KB relacionados o páginas web de soporte técnico |
| Windows 10 y Windows Server 2016 (incluido Microsoft Edge) | Crítica | Ejecución del código remoto |
Windows 10, versión 1709: 4093112; Windows 10, versión 1703: 4093107; Windows 10, versión 1607: 4093119; Windows 10: 4093111; Windows Server 2016: 4093119. |
| Windows 8.1 y Windows Server 2012 R2 | Crítica | Ejecución del código remoto |
Paquete acumulativo mensual para Windows 8.1 y Windows Server 2012 R2: 4093114.Actualización de solo seguridad para Windows 8.1 y Windows Server 2012 R2: 4093115. |
| Windows Server 2012 | Crítica | Ejecución del código remoto |
Paquete acumulativo mensual para Windows Server 2012: 4093123.Actualización de solo seguridad para Windows Server 2012: 4093122. |
| Windows RT 8.1 | Crítica | Ejecución del código remoto |
Windows RT 8.1: 4093114.Nota: Las actualizaciones de Windows RT 8.1 solo están disponibles a través de Windows Update. |
| Windows 7 y Windows Server 2008 R2 | Crítica | Ejecución del código remoto |
Paquete acumulativo mensual para Windows 7 y Windows Server 2008 R2: 4093118.Actualización de solo seguridad para Windows 7 y Windows Server 2008 R2: 4093108. |
| Windows Server 2008 | Crítica | Ejecución del código remoto |
Las actualizaciones para Windows Server 2008 no se ofrecen de manera acumulativa ni en paquetes. En los siguientes artículos se hace referencia a una versión de Windows Server 2008: 4093223, 4093224, 4093227, 4091756, 4093257 y 4093478. |
| Internet Explorer | Crítica | Ejecución del código remoto |
Paquete acumulativo para Internet Explorer 9 IE: 4092946; paquete acumulativo mensual para Internet Explorer 10: 4093123; paquete acumulativo para Internet Explorer 10 IE: 4092946; paquete acumulativo mensual para Internet Explorer 11: 4093118 y 4093114; paquete acumulativo para Internet Explorer 11 IE: 4092946; actualización de seguridad para Internet Explorer 11: 4093107, 4093109, 4093111, 4093112, 4093119 y 4100375. |
| Software relacionado con Microsoft Office | Importante | Ejecución del código remoto |
El número de artículos de KB relacionados con Microsoft Office para cada lanzamiento de actualizaciones de seguridad mensual varía en función del número de CVE y del número de componentes afectados. Este más, hay más de 20 artículos de Knowledge Base relacionados con las actualizaciones de Office; demasiados para hacer un resumen. Revise el contenido de la Guía de actualizaciones de seguridad para obtener detalles sobre los artículos. |
| Microsoft SharePoint Server y SharePoint Enterprise Server | Importante | Ejecución del código remoto |
Microsoft SharePoint Server: 4011586, 4011712, 4018336 y 4018342. |
| Microsoft Visual Studio | Importante | Divulgación de información |
Microsoft Visual Studio 2015: 4087371, Microsoft Visual Studio 2013: 4089283, Microsoft Visual Studio 2012: 4089501, Microsoft Visual Studio 2010: 4091346, Microsoft Visual Studio 2017: Notas de la versión. |
| ChakraCore | Crítica | Ejecución del código remoto |
ChakraCore es el núcleo de Chakra, el motor de JavaScript de alto rendimiento que impulsa Microsoft Edge y aplicaciones de Windows escritas en HTML/CSS/JS. Hay más información disponible aquí: https://github.com/Microsoft/ChakraCore/wiki. |
| Adobe Flash Player | Crítica | Ejecución del código remoto |
Artículo de KB sobre Adobe Flash Player: 4093110. Aviso sobre Adobe Flash Player: ADV180007. |
Descripción de las vulnerabilidades de seguridad
A continuación se proporciona un resumen en el que se muestra el número de vulnerabilidades tratadas en esta versión, desglosado por producto o componente y por impacto.
| Detalles de la vulnerabilidad (1) |
RCE |
EOP |
ID |
SFB |
DOS |
TMP |
Divulgación pública |
Vulnerabilidad conocida |
CVSS máx. |
| Windows 10, versión 1709 |
7 |
3 |
12 |
2 |
4 |
0 |
0 |
0 |
8,4 |
| Windows 10, versión 1703 |
7 |
3 |
12 |
2 |
4 |
0 |
0 |
0 |
8,4 |
| Windows 10, versión 1607 y Windows Server 2016 |
7 |
3 |
11 |
2 |
4 |
0 |
0 |
0 |
8,4 |
| Windows 10 |
7 |
2 |
11 |
1 |
4 |
0 |
0 |
0 |
8,4 |
| Windows 8.1 y Server 2012 R2 |
7 |
2 |
11 |
0 |
3 |
0 |
0 |
0 |
8,4 |
| Windows Server 2012 |
7 |
2 |
9 |
0 |
3 |
0 |
0 |
0 |
8,4 |
| Windows 7 y Server 2008 R2 |
7 |
1 |
9 |
0 |
3 |
0 |
0 |
0 |
8,4 |
| Windows Server 2008 |
7 |
1 |
9 |
0 |
3 |
0 |
0 |
0 |
8,4 |
| Internet Explorer |
9 |
0 |
4 |
0 |
0 |
0 |
0 |
0 |
7,5 |
| Microsoft Edge |
8 |
0 |
3 |
0 |
0 |
0 |
0 |
0 |
4,3 |
| ChakraCore |
8 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
4,2 |
| Microsoft Office |
7 |
0 |
2 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| SharePoint Server ySharePoint Enterprise Server |
1 |
3 |
0 |
0 |
0 |
1 |
1 |
0 |
N/D (2) |
| Visual Studio |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
N/D (2) |
| RCE = Ejecución de código remoto | EOP = Elevación de privilegios | ID = Divulgación de informaciónSFB = Franqueo de características de seguridad | DOS = Denegación de servicio | SPF = Suplantación de identidad | TMP = Manipulación | |||||||||
(1) Es posible que las vulnerabilidades que aparecen en varios componentes se representen más de una vez en la tabla.
(2) En el momento de la publicación, las puntuaciones CVE solo estaban disponibles para Windows, Internet Explorer y Microsoft Edge.
Guía de actualizaciones de seguridad
La Guía de actualizaciones de seguridad es nuestro recurso recomendado para obtener información sobre actualizaciones de seguridad. Puede personalizar sus vistas y crear hojas de cálculo del software afectado, así como descargar datos a través de una API de RESTful. Le recordamos que la Guía de actualizaciones de seguridad ya ha sustituido a las páginas web de los boletines de seguridad habituales.
Portal de la Guía de actualizaciones de seguridad: https://aka.ms/securityupdateguide
Página web de preguntas más frecuentes (P+F) sobre la Guía de actualizaciones de seguridad: https://technet.microsoft.com/es-es/security/mt791750
Página web de tutoriales sobre la API de actualización de seguridad
En el canal de YouTube de Soporte técnico de Microsoft se publicaron una serie de vídeos de demostración sobre la API de actualización de seguridad. La serie lo guiará por la forma de acceder a la API y cómo recuperar datos de la actualización de seguridad mediante la API. ¡Disfrútela!
Página web de tutoriales sobre la API de actualización de seguridad: https://sugapitutorial.azurewebsites.net/.
Detalles de la vulnerabilidad
A continuación, encontrará los resúmenes de algunas de las vulnerabilidades de seguridad de esta versión. Estas vulnerabilidades se han seleccionado entre el conjunto global de vulnerabilidades existentes en la versión por alguno de los motivos siguientes: 1) Hemos recibido consultas relacionadas con la vulnerabilidad; 2) la vulnerabilidad se ha puesto de relieve en la prensa especializada; o 3) la vulnerabilidad puede resultar más perjudicial que otras de la misma versión. Dado que no proporcionamos resúmenes para todas las vulnerabilidades de la versión, debería consultar el contenido de la Guía de actualizaciones de seguridad
para buscar la información que no esté contenida en estos resúmenes.
| CVE-2018-1003 | Vulnerabilidad de ejecución de código remoto del motor de base de datos de Microsoft Jet |
| Resumen ejecutivo | Existe una vulnerabilidad de desbordamiento del búfer en el motor de base de datos de Microsoft JET que podría permitir la ejecución de código remoto en un sistema afectado. Un atacante que aprovechara esta vulnerabilidad con éxito podría tomar el control de un sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario. La actualización de seguridad resuelve la vulnerabilidad al modificar la forma en que el motor de base de datos de Microsoft Jet controla los objetos de la memoria. |
| Vectores de ataque | Para aprovechar esta vulnerabilidad, un usuario debe abrir un archivo Excel especialmente diseñado con una versión afectada del software de Microsoft Windows. En un escenario de ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad enviando al usuario un archivo Excel especialmente diseñado y convenciéndolo para que lo abra. |
| Factores mitigadores | Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Todas las versiones compatibles de Windows |
| Impacto | Ejecución del código remoto |
| Gravedad | Importante |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 1: vulnerabilidad más probable |
| Evaluación de vulnerabilidad, heredada: | 1: vulnerabilidad más probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-1003 |
| CVE-2018-0988 | Vulnerabilidad de daño de la memoria del motor de scripting |
| Resumen ejecutivo | Existe una vulnerabilidad de ejecución de código remoto en la forma en que los motores de scripting controlan los objetos de la memoria en Internet Explorer. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inició sesión con privilegios administrativos, un atacante que hubiera aprovechado la vulnerabilidad con éxito podría tomar el control de un sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario. La actualización de seguridad resuelve la vulnerabilidad modificando la forma en que el motor de scripting controla los objetos de la memoria. |
| Vectores de ataque | En un escenario de ataque web, un atacante podría hospedar una página web especialmente diseñada para aprovechar la vulnerabilidad a través de Internet Explorer y, a continuación, convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control de ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que hospeda el motor de representación IE. El atacante también podría aprovecharse de los sitios web en peligro y de los que aceptan u hospedan contenido proporcionado por el usuario o anuncios. Estos sitios web podrían albergar contenido especialmente diseñado para aprovechar esta vulnerabilidad. |
| Factores mitigadores | Un atacante no puede forzar de ninguna forma a los usuarios a realizar una acción insegura, como visitar un sitio web no seguro o abrir un documento no seguro. En cambio, el atacante tendría que convencer a los usuarios para que visitaran el sitio web no seguro o abrieran el documento mediante una o más técnicas de ingeniería social.Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Internet Explorer en todas las versiones compatibles de Windows |
| Impacto | Ejecución del código remoto |
| Gravedad | Crítica |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 1: vulnerabilidad más probable |
| Evaluación de vulnerabilidad, heredada: | 1: vulnerabilidad más probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-0988 |
| CVE-2018-1010 | Vulnerabilidad de ejecución de código remoto de gráficos de Microsoft |
| Resumen ejecutivo | Existe una vulnerabilidad de ejecución de código remoto cuando la biblioteca de fuentes de Windows controla de manera incorrecta fuentes integradas especialmente diseñadas. Un atacante que hubiera aprovechado esta vulnerabilidad con éxito podría tomar el control de un sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario. La actualización de seguridad resuelve la vulnerabilidad al corregir cómo la biblioteca de fuentes de Windows controla las fuentes integradas. |
| Vectores de ataque | En caso de un ataque basado en la Web, un atacante podría hospedar un sitio web especialmente diseñado para aprovechar la vulnerabilidad y luego convencer a los usuarios para que lo visiten. Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el contenido controlado por él. En cambio, el atacante tendría que convencer a los usuarios para que realicen alguna acción, normalmente consiguiendo que hagan clic en un enlace que aparece en un correo electrónico o mensaje instantáneo y que los lleva al sitio web del atacante, o que abran un archivo adjunto enviado por correo electrónico.En caso de ataque en el intercambio de archivos, el atacante podría proporcionar un archivo de documento especialmente diseñado para aprovechar esta vulnerabilidad y luego convencer a los usuarios para que abran el archivo de documento. |
| Factores mitigadores | Un atacante no puede forzar de ninguna forma a los usuarios a realizar una acción insegura, como visitar un sitio web no seguro o abrir un archivo no seguro. En cambio, el atacante tendría que convencer a los usuarios para que visitaran el sitio web no seguro o abrieran el archivo mediante una o más técnicas de ingeniería social.Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Todas las versiones compatibles de Windows |
| Impacto | Ejecución del código remoto |
| Gravedad | Crítica |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 1: vulnerabilidad más probable |
| Evaluación de vulnerabilidad, heredada: | 1: vulnerabilidad más probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-1010 |
| CVE-2018-0890 | Vulnerabilidad de franqueo de características de seguridad de Active Directory |
| Resumen ejecutivo | Existe una vulnerabilidad de franqueo de características de seguridad cuando Active Directory aplica incorrectamente opciones de configuración de aislamiento de red. Esta actualización corrige el comportamiento de la característica de seguridad al corregir el modo en que Active Directory administra las directivas de aislamiento de red que se aplican a las aplicaciones modernas. |
| Vectores de ataque | Para aprovechar esta vulnerabilidad, un atacante podría ejecutar una aplicación especialmente diseñada. Un atacante que aprovechara esta vulnerabilidad podría franquear las directivas de firewall que se aplican a las aplicaciones modernas. |
| Factores mitigadores | Microsoft no ha identificado ningún factor mitigador para esta vulnerabilidad. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Windows 10, versión 1709; Windows 10, versión 1703; Windows 10, versión 1607; Windows Server 2016; Windows Server 2016 (instalación de Server Core) y Windows Server, versión 1709 (instalación de Server Core). |
| Impacto | Derivación de la característica de seguridad |
| Gravedad | Importante |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 3: vulnerabilidad poco probable |
| Evaluación de vulnerabilidad, heredada: | 3: vulnerabilidad poco probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-0890 |
| CVE-2018-0956 | Vulnerabilidad de denegación de servicio de HTTP.sys |
| Resumen ejecutivo | Existe una vulnerabilidad de denegación de servicio en la pila de protocolo HTTP 2.0 (HTTP.sys) cuando HTTP.sys analiza incorrectamente solicitudes HTTP 2.0 especialmente diseñadas. Un atacante que aprovechara esta vulnerabilidad con éxito podría crear una condición de denegación de servicio y hacer que el sistema de destino dejara de responder.La actualización resuelve la vulnerabilidad al modificar la forma en que la pila de protocolo HTTP de Windows controla las solicitudes HTTP 2.0. Tenga en cuenta que la vulnerabilidad de denegación de servicio no permitiría al atacante ejecutar código ni elevar los derechos de usuario. |
| Vectores de ataque | Para aprovechar la vulnerabilidad, un atacante podría enviar un paquete HTTP diseñado especialmente a un servidor de destino y hacer que el sistema dejara de responder. |
| Factores mitigadores | Microsoft no ha identificado ningún factor mitigador para esta vulnerabilidad. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Versiones admitidas de Windows 10, Windows Server 2016, Windows Server 2016 (instalación de Server Core), Windows Server, y versión 1709 (instalación de Server Core). |
| Impacto | Denegación de servicio |
| Gravedad | Importante |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 3: vulnerabilidad poco probable |
| Evaluación de vulnerabilidad, heredada: | 3: vulnerabilidad poco probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-0956 |
| CVE-2018-1028 | Vulnerabilidad de ejecución de código remoto de gráficos de Microsoft Office |
| Resumen ejecutivo | Existe una vulnerabilidad de ejecución de código remoto cuando los gráficos de Office controlan de manera incorrecta fuentes integradas especialmente diseñadas. Un atacante que hubiera aprovechado esta vulnerabilidad con éxito podría tomar el control de un sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario.La actualización de seguridad resuelve la vulnerabilidad al corregir cómo la biblioteca de fuentes de Windows controla las fuentes integradas. |
| Vectores de ataque | En el caso de un ataque web, un atacante podría hospedar un sitio web especialmente diseñado para aprovechar la vulnerabilidad y luego convencer a un usuario para que lo visite.En caso de ataque en el intercambio de archivos, el atacante podría proporcionar un archivo de documento especialmente diseñado para aprovechar la vulnerabilidad y luego convencer a los usuarios para que abran el archivo de documento. |
| Factores mitigadores | Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el contenido controlado por él. En cambio, el atacante tendría que convencer a los usuarios para que realicen alguna acción, normalmente consiguiendo que hagan clic en un enlace que aparece en un correo electrónico o mensaje instantáneo y que los lleva al sitio web del atacante, o que abran un archivo adjunto enviado por correo electrónico.Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos. |
| Soluciones alternativas | Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
| Software afectado | Microsoft Office 2010, Office 2013, Office 2016, Office Web Apps 2010, Office Web Apps Server 2013, SharePoint Server 2013, SharePoint Enterprise Server 2016, Excel Services y Word Automation Services. |
| Impacto | Ejecución del código remoto |
| Gravedad | Importante |
| ¿Divulgación pública? | No |
| ¿Vulnerabilidades conocidas? | No |
| Evaluación de vulnerabilidad, más reciente: | 1: vulnerabilidad más probable |
| Evaluación de vulnerabilidad, heredada: | 1: vulnerabilidad más probable |
| Más detalles | https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-1028 |
| Criterio general en relación con la clasificación de gravedad de las vulnerabilidades que afectan a los componentes de Office: | En relación con las vulnerabilidades que afectan a los componentes de Office de esta versión, si en la tabla Productos afectados de la página web de la descripción CVE una gravedad se indica como Crítica, el panel de vista previa sería un vector de ataque para el componente correspondiente. Cuando la gravedad no figure como Crítica en la tabla Productos afectados, el componente correspondiente no tiene un vector de ataque en el panel de vista previa. |
Respecto a la coherencia de la información
Procuramos proporcionarle información precisa a través de contenido estático (este correo) y dinámico (basado en web). El contenido de seguridad de Microsoft publicado en la Web se actualiza con frecuencia para incluir la información más reciente. Si esto provoca incoherencias entre la información de aquí y la información del contenido de seguridad basado en web de Microsoft, la información autorizada es esta última.
Si tiene alguna pregunta respecto a esta alerta, póngase en contacto con su administrador técnico de cuentas (TAM) o director de prestación de servicios (SDM).
Saludos!
Microsoft CSS Security Team