Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Actualización acumulativa de seguridad para Microsoft Edge (3089665)
Publicado: 8 de septiembre de 2015
Versión: 1.0
Resumen ejecutivo
Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Edge. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario ve una página web especialmente diseñada mediante Microsoft Edge. Un atacante que aprovechara correctamente estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario actual. Los clientes cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los que operan con derechos de usuario administrativos.
Esta actualización de seguridad se clasifica como Crítica para Microsoft Edge en los clientes windows afectados. Para obtener más información, consulte la sección Software afectado.
La actualización de seguridad aborda las vulnerabilidades modificando cómo Microsoft Edge controla los objetos en la memoria.
Para obtener más información sobre las vulnerabilidades, consulte la sección Información de vulnerabilidades.
Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3089665.
Software afectado
Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
Software afectado
| Sistema operativo | Componente | Impacto máximo en la seguridad | Clasificación de gravedad agregada | Novedades reemplazado |
|---|---|---|---|---|
| Microsoft Edge | ||||
| Windows 10 para sistemas de 32 bits[1](3081455) | Microsoft Edge | Ejecución remota de código | Crítico | 3081444 |
| Windows 10 para sistemas basados en x64[1](3081455) | Microsoft Edge | Ejecución remota de código | Crítico | 3081444 |
[1]La actualización de Windows 10 es acumulativa. Además de contener actualizaciones que no son de seguridad, también contiene todas las correcciones de seguridad para todas las vulnerabilidades afectadas por Windows 10 que se envían con la versión de seguridad de este mes. Consulte el artículo de Microsoft Knowledge Base 3081455 para obtener más información y vínculos de descarga.
Nota Windows Server Technical Preview 2 y Windows Server Technical Preview 3 se ven afectados. Se recomienda a los clientes que ejecutan este sistema operativo aplicar la actualización, que está disponible a través de Windows Update.
Clasificaciones de gravedad e identificadores de vulnerabilidad
Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad e impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de septiembre.
Cuando se especifica en la tabla Clasificaciones de gravedad e Impacto, los valores Crítico, Importante y Moderado indican clasificaciones de gravedad. Para obtener más información, consulte Sistema de clasificación de gravedad del boletín de seguridad. Consulte la siguiente clave para ver las abreviaturas usadas en la tabla para indicar el impacto máximo:
| Abreviatura | Impacto máximo |
|---|---|
| RCE | Ejecución remota de código |
| EoP | Elevación de privilegios |
| ID | Divulgación de información |
| SFB | Omisión de características de seguridad |
| Clasificaciones e impactos de gravedad de vulnerabilidad | ||
|---|---|---|
| Número cve | Título de vulnerabilidad | Microsoft Edge |
| CVE-2015-2485 | Vulnerabilidad de daños en la memoria | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE |
| CVE-2015-2486 | Vulnerabilidad de daños en la memoria | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE |
| CVE-2015-2494 | Vulnerabilidad de daños en la memoria | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE |
| CVE-2015-2542 | Vulnerabilidad de daños en la memoria | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE |
Información de vulnerabilidad
Varias vulnerabilidades de daños en la memoria
Existen vulnerabilidades de ejecución remota de código cuando Microsoft Edge accede incorrectamente a los objetos en la memoria. Estas vulnerabilidades podrían dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.
Un atacante podría hospedar un sitio web especialmente diseñado para aprovechar estas vulnerabilidades a través de Microsoft Edge y, a continuación, convencer a un usuario de ver el sitio web. El atacante también podría aprovechar los sitios web y sitios web comprometidos que aceptan o hospedan contenido o anuncios proporcionados por el usuario agregando contenido especialmente diseñado que podría aprovechar estas vulnerabilidades. Sin embargo, en todos los casos, un atacante no tendría forma de forzar a los usuarios a ver el contenido controlado por el atacante. En su lugar, un atacante tendría que convencer a los usuarios de tomar medidas, normalmente obteniendo que hagan clic en un vínculo en un mensaje instantáneo de mensajería o correo electrónico que lleve a los usuarios al sitio web del atacante, o obteniendo que abran un archivo adjunto enviado a través del correo electrónico.
Un atacante que aprovechara correctamente estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que aprovechara correctamente estas vulnerabilidades podría tomar el control de un sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos. Los sistemas en los que se usa Microsoft Edge con frecuencia, como estaciones de trabajo o servidores terminales, corren el mayor riesgo de estas vulnerabilidades.
La actualización aborda las vulnerabilidades modificando cómo Microsoft Edge controla los objetos en la memoria. La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de daños en la memoria | CVE-2015-2485 | No | No |
| Vulnerabilidad de daños en la memoria | CVE-2015-2486 | No | No |
| Vulnerabilidad de daños en la memoria | CVE-2015-2494 | No | No |
| Vulnerabilidad de daños en la memoria | CVE-2015-2542 | Sí | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para estas vulnerabilidades.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para estas vulnerabilidades.
Implementación de actualizaciones de seguridad
Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.
Agradecimientos
Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (8 de septiembre de 2015): Boletín publicado.
Página generada 2015-09-28 14:03Z-07:00.