Boletines de seguridad de Microsoft, Noviembre 2010
Posted: 10/11/10 by komz in Etiquetas: Arbitrary Code Execution Vulnerability, boletin de seguridad de microsoft, internet explorer, Local Privilege Escalation Vulnerability, microsoft, update, Vulnerabilidades, zero day vulnerability
0
Microsoft ha publicado los boletines de seguridad del mes de Noviembre del año 2010 que solucionan diversas vulnerabilidades en Microsoft Office y Microsoft Forefront Unified Gateway. Esta actualización corrige un total de once vulnerabilidades mediante tres boletines, siendo uno de ellos crítico y los otros dos importantes.
Los boletines publicados son los siguientes:
Nota: Esta actualización no soluciona la vulnerabilidad 0day en Internet Explorer publicada el pasado 3 de Noviembre.
BOLETIN DE SEGURIDAD DE MICROSOFT, NOVIEMBRE 2010
fuente: cert.inteco.es | microsoft.com
- MS10-087 . Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código. Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y cuatro vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. La vulnerabilidad más grave podría permitir la ejecución remota de código si un usuario abre un mensaje de correo electrónico RTF especialmente diseñado u obtiene una vista previa de él. Esta actualización soluciona las siguiente vulnerabilidades:
- CVE-2010-3333 Vulnerabilidad de desbordamiento del búfer de la pila de RTF.
- CVE-2010-3334 Vulnerabilidad de registro de dibujos de Office.
- CVE-2010-3335 Vulnerabilidad de control de excepciones de dibujos.
- CVE-2010-3337 Vulnerabilidad en la carga de bibliotecas no seguras.
- CVE-2010-3336 Vulnerabilidad de lectura de AV de SPID grande en MSO.
- MS10-088 .Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código. Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Office que podrían permitir la ejecución remota de código si un usuario abre un archivo de PowerPoint especialmente diseñado. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría lograr el control total de un sistema afectado. Esta actualización soluciona las siguientes vulnerabilidades:
- CVE-2010-2572 Vulnerabilidad de desbordamiento de búfer de la pila de RTF.
- CVE-2010-2573 Vulnerabilidad de desbordamiento de enteros en PowerPoint que provoca daños en el montón.
- MS10-089 .Vulnerabilidades en Forefront Unified Access Gateway (UAG) podrían permitir la elevación de privilegios. Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privada en Forefront Unified Access Gateway (UAG). La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un usuario visita un sitio web afectado mediante una URL especialmente diseñada. Esta actualización soluciona las siguientes vulnerabilidades:
- CVE-2010-2733 Vulnerabilidad XSS en UAG que permite la elevación de privilegios.
- CVE-2010-2734 Vulnerabilidad de problema de XSS en sitio web de portal para móviles de UAG en Forefront Unified Access Gateway.
- CVE-2010-3936 Vulnerabilidad de XSS en Signurl.asp.
- CVE-2010-2732 Vulnerabilidad de suplantación de identidad de redireccionamiento de UAG.
Nota: Esta actualización no soluciona la vulnerabilidad 0day en Internet Explorer publicada el pasado 3 de Noviembre.
BOLETIN DE SEGURIDAD DE MICROSOFT, NOVIEMBRE 2010
fuente: cert.inteco.es | microsoft.com