Actualizaciones de seguridad de Microsoft de noviembre de 2017
El martes, 14 de noviembre de 2017, Microsoft publicará nuevas actualizaciones de seguridad que afectan a los siguientes productos de Microsoft:
Familia de productos |
Gravedad máxima |
Impacto máximo |
Artículos de KB relacionados o páginas web de soporte técnico |
Windows 10 y Windows Server 2016 (incluido Microsoft Edge) |
Crítica |
Ejecución del código remoto |
Windows 10 1709: 4048955; Windows 10 1703: 4048954; Windows 10 1607: 4048953; Windows 10 RTM: 4048956; Windows Server 2016: 4048953. |
Windows 8.1 y Windows Server 2012 R2 |
Importante |
Ejecución del código remoto |
Windows 8.1 y Windows Server 2012 R2: 4048961 (solo seguridad) y 4048958 (paquete cumulativo mensual). |
Windows Server 2012 |
Importante |
Ejecución del código remoto |
Windows Server 2012: 4048962 (solo seguridad) y 4048959 (paquete cumulativo mensual). |
Windows RT 8.1 |
Importante |
Ejecución del código remoto |
Windows RT 8.1: 4048958. Nota: Las actualizaciones de Windows RT 8.1 solo están disponibles a través de Windows Update. |
Windows 7 y Windows Server 2008 R2 |
Importante |
Ejecución del código remoto |
Windows 7 y Windows Server 2008 R2: 4048960 (solo seguridad) y 4048957 (paquete cumulativo mensual). |
Windows Server 2008 |
Importante |
Ejecución del código remoto |
Las actualizaciones para Windows Server 2008 no se ofrecen de manera acumulativa ni en paquetes. En los siguientes artículos se hace referencia a una versión de Windows Server 2008: |
Internet Explorer |
Crítica |
Ejecución del código remoto |
Internet Explorer 9: 4047206 (IE acumulativo); Internet Explorer 10: 4047206 (IE acumulativo) y 4048959 (paquete acumulativo mensual); Internet Explorer 11 (acumulativo): 4047206; Internet Explorer 11 (paquete acumulativo mensual): 4048957 y 4048958; Internet Explorer 11 (actualización de seguridad): 4041689, 4042895, 4048952, 4048953, 4048954, 4048955 y 4048956. |
Software relacionado con Microsoft Office |
Importante |
Ejecución del código remoto |
El número de artículos de KB relacionados con Microsoft Office para cada lanzamiento de actualizaciones de seguridad mensual varía en función del número de CVE y del número de componentes afectados. Los siguientes artículos de KB hacen referencia a Office o a componentes relacionados con Office: 2553204, 3162047, 4011197, 4011199, 4011205, 4011206, 4011220, 4011233, 4011242, 4011244, 4011245, 4011247, 4011250, 4011257, 4011262, 4011264, 4011265, 4011266, 4011267, 4011268, 4011270, 4011271 y 4011276. |
SharePoint Enterprise Server 2016 y Project Server 2013 |
Moderado |
Elevación de privilegios |
Microsoft SharePoint Server 2016: 4011244; Microsoft Project Server 2013: 4011257 |
.NET Core y ASP.NET Core |
Importante |
Elevación de privilegios |
.NET Core es una plataforma de desarrollo de uso general que mantienen Microsoft y la comunidad de .NET en GitHub. ASP.NET Core es un marco de código abierto, de alto rendimiento y multiplataforma para la compilación de aplicaciones modernas, basadas en la nube y conectadas a Internet. |
ChakraCore |
Crítica |
Ejecución del código remoto |
ChakraCore es el núcleo de Chakra, el motor de JavaScript de alto rendimiento que impulsa Microsoft Edge y aplicaciones de Windows escritas en HTML/CSS/JS. Hay más información disponible aquí: https://github.com/Microsoft/ChakraCore/wiki. |
Adobe Flash Player |
Crítica |
Ejecución del código remoto |
Actualizaciones de seguridad para Adobe Flash Player: 4048951. |
Descripción de las vulnerabilidades de seguridad
A continuación se proporciona un resumen en el que se muestra el número de vulnerabilidades tratadas en esta versión, desglosado por producto o componente y por impacto.
Detalles de la vulnerabilidad (1) | RCE | EOP | ID | SFB | DOS | SPF | Divulgación pública | Vulnerabilidad conocida | CVSS máx. |
Windows 10 1709 | 0 | 1 | 8 | 1 | 1 | 0 | 0 | 0 | 5,9 |
Windows 10 1703 | 0 | 1 | 8 | 1 | 1 | 0 | 0 | 0 | 5,9 |
Windows 10 1607 y Server 2016 | 0 | 1 | 8 | 1 | 1 | 0 | 0 | 0 | 5,9 |
Windows 10 RTM | 0 | 1 | 8 | 1 | 1 | 0 | 0 | 0 | 5,9 |
Windows 8.1 y Server 2012 R2 | 0 | 1 | 8 | 0 | 1 | 0 | 0 | 0 | 5,9 |
Windows Server 2012 | 0 | 1 | 9 | 0 | 1 | 0 | 0 | 0 | 5,9 |
Windows 7 y Server 2008 R2 | 0 | 1 | 9 | 0 | 1 | 0 | 0 | 0 | 5,9 |
Windows Server 2008 | 0 | 1 | 8 | 0 | 1 | 0 | 0 | 0 | 5,9 |
Internet Explorer | 9 | 0 | 3 | 0 | 0 | 0 | 2 | 0 | 7,5 |
Microsoft Edge | 18 | 0 | 4 | 3 | 0 | 0 | 1 | 0 | 4,3 |
Office | 4 | 1 | 0 | 1 | 0 | 0 | 0 | 0 | N/D (2) |
SharePoint Enterprise Server 2016 y Project Server 2013 | 0 | 1 | 0 | 0 | 0 | 0 | 0 | 0 | N/D (2) |
.NET Core y ASP.NET Core | 0 | 1 | 1 | 0 | 1 | 0 | 1 | 0 | N/D (2) |
ChakraCore | 14 | 0 | 1 | 1 | 0 | 0 | 0 | 0 | 4,3 |
RCE = Ejecución de código remoto | EOP = Elevación de privilegios | ID = Divulgación de informaciónSFB = Franqueo de características de seguridad | DOS = Denegación de servicio | SPF = Suplantación de identidad (spoofing) | |||||||||
(1) Es posible que vulnerabilidades que aparecen en varios componentes se representen más de una vez en la tabla.
(2) En el momento de la publicación, las puntuaciones CVE solo estaban disponibles para Windows, Internet Explorer y Microsoft Edge.
Guía de actualizaciones de seguridad
La Guía de actualizaciones de seguridad es nuestro recurso recomendado para obtener información sobre actualizaciones de seguridad. Puede personalizar sus vistas y crear hojas de cálculo del software afectado, así como descargar datos a través de una API de RESTful. Le recordamos que la Guía de actualizaciones de seguridad ya ha sustituido a las páginas web de los boletines de seguridad habituales.
Portal de la Guía de actualizaciones de seguridad: https://aka.ms/securityupdateguide
Página web de preguntas más frecuentes (P+F) sobre la Guía de actualizaciones de seguridad: https://technet.microsoft.com/es-es/security/mt791750
Detalles de la vulnerabilidad
A continuación, encontrará los resúmenes de algunas de las vulnerabilidades de seguridad de esta versión. Estas vulnerabilidades se han seleccionado entre el conjunto global de vulnerabilidades existentes en la versión por alguno de los motivos siguientes: 1) Hemos recibido consultas relacionadas con la vulnerabilidad; 2) la vulnerabilidad se ha puesto de relieve en la prensa especializada; o 3) la vulnerabilidad puede resultar más perjudicial que otras de la misma versión. Dado que no proporcionamos resúmenes para todas las vulnerabilidades de la versión, debería consultar el contenido de la Guía de actualizaciones de seguridad
para buscar la información que no esté contenida en estos resúmenes.
CVE-2017-11827 |
Vulnerabilidad de daño de la memoria del explorador de Microsoft |
Resumen ejecutivo |
Existe una vulnerabilidad de ejecución de código remoto en la forma en la que los exploradores de Microsoft acceden a los objetos en la memoria. La vulnerabilidad podría dañar la memoria de tal manera que podría permitir que un atacante ejecutara código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inició sesión con privilegios administrativos, el atacante podría tomar el control de un sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario. La actualización de seguridad resuelve la vulnerabilidad al modificar la forma en que los exploradores de Microsoft controlan los objetos de la memoria. |
Vectores de ataque |
Un atacante podría hospedar un sitio web especialmente diseñado para aprovechar la vulnerabilidad a través de los navegadores de Microsoft y, después, convencer a un usuario para que lo visitase. Asimismo, el atacante podría aprovecharse de los sitios web en peligro, o que aceptan u hospedan anuncios o contenidos proporcionados por el usuario, agregando contenido especialmente diseñado para aprovechar la vulnerabilidad. |
Factores mitigadores |
Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el contenido controlado por él. En su lugar, tendría que convencer a los usuarios para que realizaran alguna acción no segura, normalmente llamando su atención por correo electrónico o un mensaje instantáneo, o haciéndoles abrir un archivo adjunto en un correo electrónico. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Configurar las cuentas de usuario con menos permisos reduciría el riesgo. |
Soluciones alternativas |
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
Software afectado |
Internet Explorer y Microsoft Edge en todas las versiones compatibles de Windows. |
Impacto |
Ejecución del código remoto |
Gravedad |
Importante |
¿Divulgación pública? |
Sí |
¿Vulnerabilidades conocidas? |
No |
Evaluación de vulnerabilidad, más reciente: |
1: vulnerabilidad más probable |
Evaluación de vulnerabilidad, heredada: |
1: vulnerabilidad más probable |
Más detalles |
https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2017-11827 |
CVE-2017-11848 |
Vulnerabilidad de divulgación de información de Internet Explorer |
Resumen ejecutivo |
Existe una vulnerabilidad de divulgación de información cuando Internet Explorer no controla correctamente el contenido de una página, lo que podría permitir que un atacante detectara la navegación del usuario al salir de una página diseñada de forma malintencionada. La actualización de seguridad resuelve la vulnerabilidad al modificar la forma en que Internet Explorer controla el contenido de la página. |
Vectores de ataque |
Un atacante podría hospedar un sitio web especialmente diseñado para aprovechar la vulnerabilidad en Internet Explorer y, después, convencer a un usuario para que lo visite. Asimismo, el atacante podría aprovecharse de los sitios web en peligro, o que aceptan u hospedan anuncios o contenidos proporcionados por el usuario, agregando contenido especialmente diseñado para aprovechar la vulnerabilidad. |
Factores mitigadores |
Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el contenido controlado por él. En su lugar, tendría que convencer a los usuarios para que realizaran alguna acción no segura, normalmente llamando su atención por correo electrónico o un mensaje instantáneo, o haciéndoles abrir un archivo adjunto en un correo electrónico. |
Soluciones alternativas |
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
Software afectado |
Internet Explorer en todas las versiones compatibles de Windows |
Impacto |
Divulgación de información |
Gravedad |
Moderado |
¿Divulgación pública? |
Sí |
¿Vulnerabilidades conocidas? |
No |
Evaluación de vulnerabilidad, más reciente: |
2: vulnerabilidad menos probable |
Evaluación de vulnerabilidad, heredada: |
2: vulnerabilidad menos probable |
Más detalles |
https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2017-11848 |
CVE-2017-11882 |
Vulnerabilidad de daño de la memoria de Microsoft Office |
Resumen ejecutivo |
Existe una vulnerabilidad de ejecución de código remoto en el software de Microsoft Office cuando dicho software no logra controlar correctamente los objetos en la memoria. Un atacante que aprovechara la vulnerabilidad con éxito podría ejecutar un código arbitrario en el contexto del usuario actual. Si el usuario actual inició sesión con privilegios administrativos, un atacante podría tomar el control del sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos. La actualización de seguridad resuelve la vulnerabilidad al corregir cómo el componente afectado de Office controla los objetos en la memoria. |
Vectores de ataque |
La vulnerabilidad de seguridad requiere que un usuario abra un archivo especialmente diseñado con una versión afectada del software de Microsoft Office o de Microsoft WordPad. En un escenario de ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad enviando al usuario el archivo especialmente diseñado y convenciéndolo para que lo abriera. En un escenario de ataque web, un atacante podría hospedar un sitio web (o sacar provecho de un sitio web en peligro que acepta u hospeda contenido proporcionado por el usuario) que contiene un archivo especialmente diseñado para aprovechar la vulnerabilidad y, después, podría convencer al usuario para que interactuara con el archivo malintencionado en esa ubicación web. |
Factores mitigadores |
Un atacante no puede forzar de ninguna forma a los usuarios a abrir contenido no seguro. En su lugar, tendría que convencer a los usuarios para que realizaran una acción no segura, normalmente llamando su atención por correo electrónico o un mensaje instantáneo, y, a continuación, convencerlos para que abrieran el archivo especialmente diseñado a tal efecto. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Configurar las cuentas de usuario con menos permisos reduciría el riesgo. |
Soluciones alternativas |
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
Software afectado |
Microsoft Office 2007, Office 2010, Office 2013 y Office 2016. |
Impacto |
Ejecución del código remoto |
Gravedad |
Importante |
¿Divulgación pública? |
No |
¿Vulnerabilidades conocidas? |
No |
Evaluación de vulnerabilidad, más reciente: |
2: vulnerabilidad menos probable |
Evaluación de vulnerabilidad, heredada: |
2: vulnerabilidad menos probable |
Más detalles |
https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2017-11882 |
CVE-2017-11876 |
Vulnerabilidad de elevación de privilegios de Microsoft Project Server |
Resumen ejecutivo |
Existe una vulnerabilidad de elevación de privilegios en Microsoft Project cuando Microsoft Project Server no administra correctamente las sesiones de usuario. Para aprovechar esta vulnerabilidad de falsificación de solicitud entre sitios (CSRF/XSRF), la víctima debe estar autenticada (con la sesión iniciada) en el sitio de destino. La actualización resuelve la vulnerabilidad al modificar la forma en que Microsoft Project Server administra la autenticación de la sesión del usuario. |
Vectores de ataque |
En un escenario de ataque web, un atacante podría hospedar un sitio web (o sacar provecho de un sitio web en peligro que acepte u hospede contenido proporcionado por el usuario) que contenga un página web especialmente diseñada para aprovechar la vulnerabilidad. Un atacante que aproveche correctamente esta vulnerabilidad podría leer contenido que no está autorizado a leer, usar la identidad de la víctima para realizar acciones en la aplicación web en nombre de la víctima, como cambiar los permisos y eliminar contenido, e inyectar contenido malintencionado en el explorador de la víctima. |
Factores mitigadores |
Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el sitio web. En su lugar, tendría que convencer a los usuarios para que realizaran alguna acción no segura, como por ejemplo, hacer clic en un vínculo de un correo electrónico o mensaje instantáneo. |
Soluciones alternativas |
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
Software afectado |
Microsoft Project Server 2013 y Microsoft SharePoint Enterprise Server 2016 |
Impacto |
Elevación de privilegios |
Gravedad |
Moderado |
¿Divulgación pública? |
No |
¿Vulnerabilidades conocidas? |
No |
Evaluación de vulnerabilidad, más reciente: |
3: vulnerabilidad poco probable |
Evaluación de vulnerabilidad, heredada: |
3: vulnerabilidad poco probable |
Más detalles |
https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2017-11876 |
CVE-2017-11879 |
Vulnerabilidad de elevación de privilegios de ASP.NET Core |
Resumen ejecutivo |
Existe una vulnerabilidad de redirección abierta en ASP.NET Core que podría dar lugar a una elevación de privilegios. La actualización resuelve la vulnerabilidad al corregir cómo ASP.NET Core controla las solicitudes de redirección abiertas. |
Vectores de ataque |
Para aprovechar la vulnerabilidad, un atacante podría enviar un vínculo con una URL especialmente diseñada y convencer al usuario para que hiciera clic en dicho vínculo. Cuando un usuario autenticado hace clic en el vínculo, la sesión del explorador del usuario autenticado podría redirigirse a un sitio web malintencionado diseñado para robar información de la sesión de inicio de sesión, como las cookies o los tokens de autenticación. |
Factores mitigadores |
Un atacante no puede forzar de ninguna forma a los usuarios a visualizar el contenido controlado por él. En su lugar, tendría que convencer a los usuarios para que realizaran alguna acción no segura, normalmente llamando su atención por correo electrónico o un mensaje instantáneo. |
Soluciones alternativas |
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad. |
Software afectado |
ASP.NET Core 2.0 |
Impacto |
Elevación de privilegios |
Gravedad |
Importante |
¿Divulgación pública? |
No |
¿Vulnerabilidades conocidas? |
No |
Evaluación de vulnerabilidad, más reciente: |
2: vulnerabilidad menos probable |
Evaluación de vulnerabilidad, heredada: |
2: vulnerabilidad menos probable |
Más detalles |
https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2017-11879 |
Respecto a la coherencia de la información
Procuramos proporcionarle información precisa a través de contenido estático (este correo) y dinámico (basado en web). El contenido de seguridad de Microsoft publicado en la Web se actualiza con frecuencia para incluir la información más reciente. Si esto provoca incoherencias entre la información de aquí y la información del contenido de seguridad basado en web de Microsoft, la información autorizada es esta última.
Si tiene alguna pregunta respecto a esta alerta, póngase en contacto con su administrador técnico de cuentas (TAM) o director de prestación de servicios (SDM).
Saludos!
Microsoft CSS Security Team