Como cada mes, Microsoft ha revelado un adelanto de los boletines de seguridad que serán publicados dentro de su ciclo de actualizaciones, el próximo martes 10 de diciembre. En esta ocasión se trata de once boletines (del MS13-096 al MS13-106) que corregirán múltiples vulnerabilidades en diversos sistemas.
Entre estos boletines, cinco han sido calificados como críticos y corrigen vulnerabilidades que pueden dar lugar a la ejecución remota de código en los sistemas operativos Windows, la suite ofimática Office, el navegador Internet Explorer, Exchange y Microsoft Lync.
Los otros seis boletines restantes son de nivel importante y están relacionados con problemas de seguridad variados tales como ejecución remota de código, elevación de privilegios, salto de restricciones y revelación de información. Afectan a Microsoft Office, Microsoft Server Software, Microsoft Developer Tools y a los propios sistemas operativos Windows.
Al parecer quedará pendiente para 2014 la corrección de la vulnerabilidad 0-day en el componente NDProxy.sys del kernel de Windows XP y Windows Server 2003, que podría permitir a un atacante local realizar una elevación de privilegios (CVE-2013-5065). Desde Microsoft enuncian encontrarse aún trabajando en la solución de dicho problema de seguridad.
Microsoft también lanzará una actualización para su herramienta «Microsoft Windows Malicious Software Removal Tool» que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.
Desde Hispasec se informará puntualmente sobre los nuevos parches a través de este servicio de noticias, dando una información más detallada sobre los boletines de actualización de Microsoft.
Más información:
Microsoft Security Bulletin Advance Notification for December 2013
http://technet.microsoft.com/en-us/security/bulletin/ms13-dec
Microsoft publica una alerta por una vulnerabilidad 0-day en el Kernel de Windows
http://unaaldia.hispasec.com/2013/11/microsoft-publica-una-alerta-por-una.html
Fuente: http://unaaldia.hispasec.com
ItaSeg 